Die jüngste Geschichte des TrueCrypt-Verschlüsselung-software ist eine seltsame. Zunächst gab es eine crowdfunding-Kampagne, um die software geprüft, die für Sicherheitsfragen im Jahr 2013 nach Edward Snowden zugespielt Verschlusssachen von der National Security Agency (NSA) ab Juni 2013.
Dann im Mai 2014, wurde eine Ankündigung veröffentlicht, auf der TrueCrypt-Webseite behauptet, dass TrueCrypt war sicher nicht mehr und dass der Nutzer finden, ein anderes Programm für diesen Zweck.
Der Entwickler veröffentlichte eine final version von TrueCrypt, war gebrochen (by design) in vielen Bereichen. Der Finale Quellcode der Vollversion des Programms veröffentlicht wurde, von Gibson Research Corporation und alternativen wie VeraCrypt oder CipherShed erschien kurz danach.
Damals, TrueCrypt-audit noch nicht abgeschlossen war, als nur eine phase der Prüfung abgeschlossen war, indem die Forscher.
Die Forschung Begriff aus der Entscheidung, weiterhin mit dem audit von TrueCrypt 7.1 a trotz der Tatsache, dass die Projekt-Entwickler verlassen das Projekt in der Zwischenzeit.
Heute phase 2 des TrueCrypt-Analyse abgeschlossen hat. Die Forschungen hochgeladen haben, der Abschlussbericht als PDF-Dokument auf der offiziellen website, wo es heruntergeladen werden kann.
Insgesamt vier Sicherheitslücken wurden entdeckt:
- Keyfile mischen ist nicht kryptografisch sound (tief).
- Nicht authentifizierte verschlüsselte Text in der volume-Header (unbestimmt).
- CryptAcquireContext-kann im hintergrund fehl, in ungewöhnlichen Szenarien (hoch).
- AES-Implementierung anfällig für cache-timing-Attacken (hoch).
Der schwerwiegendste Befund bezieht sich auf die Verwendung der Windows-API zum generieren von Zufallszahlen für die master encryption key material unter anderem. Während die CS glaubt, dass diese Anrufe gelingen wird, alle normalen Szenarien,mindestens eine ungewöhnliche Szenario würde bewirken, dass die Aufrufe fehlschlagen, und verlassen sich auf schlechte Quellen der Entropie; es ist unklar, in welchen weiteren Situationen, die Sie möglicherweise fehl.
Zusätzlich, CS identifiziert, die volume-header Entschlüsselung beruht auf unsachgemäße Integrität überprüft werden, Manipulationen zu erkennen, und dass die Methode der Vermischung der Entropie des keyfiles war nicht kryptographisch sound.
Schließlich, CS identifiziert mehrere enthalten AES-Implementierungen, die anfällig für cache-timing-Attacken. Der einfachste Weg, dies zu nutzen, wäre die Verwendung von native code, potentiell geliefert durch NaCl in Chrom; jedoch ist die einfachste Methode der Ausbeutung durch diese Angriffsmethode wurde vor kurzem geschlossen. #
Der Bericht weist jede Sicherheitsanfälligkeit im detail, die dazu beitragen sollen, Projekte, die auf dem TrueCrypt Quellcode als Basis zur Bewältigung der Probleme in zukünftigen updates.
Es muss darauf hingewiesen werden, dass das audit wurde schmal im Rahmen und nicht um eine vollständige code-review. Das team konzentrierte sich auf wichtige Teile von TrueCrypt und hier insbesondere dessen kryptographische Implementierungen und verwenden.