Den senaste tidens historia av TrueCrypt-kryptering programvara är en märklig man. För det första, det var en crowdfunding kampanj för att få den programvara som granskats för säkerhetsfrågor i 2013 efter ljuset läckt sekretessbelagda uppgifter från National Security Agency (NSA) i början av juni 2013.
Sedan i Maj 2014, ett meddelande som publicerades på TrueCrypt hemsida som påstår att TrueCrypt var inte säker längre och att en användare bör ta ett annat program att använda för detta ändamål.
Utvecklarna släppt en slutlig version av TrueCrypt som var trasig (design) i många avseenden. Den slutliga källkoden av den fullständiga versionen av programmet publicerades av Gibson Research Corporation och alternativ som VeraCrypt eller CipherShed dök upp strax därefter.
På den tiden, TrueCrypt revision var inte komplett, eftersom endast en fas av granskningen hade slutförts av forskare.
Den forskning sikt fattat beslutet att fortsätta med revision av TrueCrypt 7.1 trots att projektet utvecklare övergav projektet i tiden.
Idag, fas 2 av TrueCrypt analysen har slutförts. Undersökningar har laddat upp den slutliga rapporten som en PDF-dokumentet till den officiella hemsidan där det kan laddas ner.
Totalt fyra sårbarheter har upptäckts:
- Nyckelfil blandning är inte kryptografiskt ljud (låg).
- Icke-autentiserade chiffertext i volym rubriker (obestämd).
- CryptAcquireContext kan tyst misslyckas i ovanliga fall (hög).
- AES genomförandet mottagliga för cache timing attacker (hög).
De mest svåra att hitta avser användning av Windows API för att generera slumptal för huvudkrypteringsnyckel material bland andra saker. Medan CS anser att dessa samtal kommer att lyckas i alla normala scenarier,minst en ovanligt scenario skulle orsaka samtal för att misslyckas och förlita sig på dåliga källor av entropi; det är oklart i vad som ytterligare situationer de kan misslyckas.
Dessutom, CS identifierat att volymhuvudet dekryptering bygger på felaktig integritet kontroller för att upptäcka manipulation, och att metoden att blanda entropi keyfiles var inte kryptografiskt ljud.
Slutligen, CS identifierat flera ingår AES-implementationer som kan vara utsatta för cache-timing attacker. Det enklaste sättet att utnyttja detta skulle vara att använda ursprunglig kod, eventuellt levereras via NaCl i Chrome, men den enklaste metoden för utnyttjande genom att angreppspunkten var nyligen stängt av. #
Rapporten belyser varje sårbarhet i detalj som ska hjälpa projekt att använda TrueCrypt källa som bas för att hantera frågorna i framtida uppdateringar.
Det måste noteras att granskningen var snäv räckvidd och inte en fullständig granskning av kod. Laget koncentrerade sig på viktiga delar av TrueCrypt och här särskilt dess kryptografiska implementation och användning.