- Сообщения
- 3.471
- Реакции
- 2.112
Немецкое Федеральное управление по информационной безопасности (бывший криптографический отдел Федеральной разведывательной службы Германии)
Более того, детальный анализ кода показал, что TrueCrypt безопаснее, чем предполагалось в свете ранее выявленных компанией Google локальных
Что касается
В итоге, авторы аудита делают вывод, что код и архитектуру TrueCrypt можно считать корректными, а выявленные проблемы незначительными и легко устраняемыми (в
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
88-страничный
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
с результатом полного аудита реализации алгоритмов шифрования в пакете TrueCrypt. Результаты аудита не выявили серьёзных проблем, подтвердили надёжность применяемых методов шифрования и отсутствие возможных закладок. Напомним, что ранее
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
проектом Open Crypto Audit Project независимый аудит также не выявил значительных проблем.Более того, детальный анализ кода показал, что TrueCrypt безопаснее, чем предполагалось в свете ранее выявленных компанией Google локальных
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
, специфичных для драйвера для платформы Windows. Уязвимости, позволяющие поднять привилегии, являются типичными для драйверов, работающих на уровне ядра Windows и позволяют уже авторизованному пользователю получить доступ администратора. Данные проблемы не оказывают негативного влияния на защиту данных и не могут быть использованы атакующим для упрощения несанкционированного доступа к зашифрованной информации. Для эксплуатации уязвимость атакующий уже должен иметь доступ к системе, например, в результате внедрения троянского ПО. TrueCrypt же, как и другие подобные средства дискового шифрования, не использующие аппаратные механизмы скрытия ключей во время работы, изначально не рассчитан на защиту данных в случае наличия у атакующего доступа к системе и, как следствие, имеющих возможность обращения к примонтированным дисковым разделам.Что касается
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
, выявленных проектом Open Crypto Audit Project, изучение имевшихся переполнений буфера показало, что данные уязвимости не проявляются во время выполнения и не могут быть эксплуатированы. Кроме того, в процессе нового аудита были выявлены ранее не замеченные проблемы с получением значений от генератора псевдослучайных чисел. Недостаток энтропии при инициализации генератора случайных чисел теоретически упрощает процесс подбора ключа шифрования, но данная проблема не затрагивает используемый в подавляющем большинстве случаев интерактивный режим генерации ключей. В неинтерактивном режиме для проявления проблемы требуется наличие специфичных настроек доступа в Windows, что делает проблему не применимой на практике.В итоге, авторы аудита делают вывод, что код и архитектуру TrueCrypt можно считать корректными, а выявленные проблемы незначительными и легко устраняемыми (в
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
, форке TrueCrypt, ошибки уже устранены). Для некоторых частей рекомендовано провести рефакторинг, но, в целом, продукт выполняет те функции, для которых он был разработан. В отчёте говориться, что TrueCrypt не хуже и не лучше аналогов, при этом упускается, что с учётом скрупулезного изучения кода и алгоритмов TrueCrypt, проведённого в разное время несколькими независимыми группами, TrueCrypt может заслуживать большего доверия, так как ни один аналогичный продукт пока не удостоился столь пристального внимания экспертов по криптографии и компьютерной безопасности.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
