Nyere historie av TrueCrypt kryptering programvare er en merkelig. For det første, det var en crowdfunding-kampanje for å få programvaren revidert for sikkerhetsspørsmål i 2013 etter Edward Snowden lekket hemmeligstemplet informasjon fra National Security Agency (NSA) som starter i juni 2013.
Så i Mai 2014, en kunngjøring ble offentliggjort på TrueCrypt nettstedet hevder at TrueCrypt var ikke sikker lenger, og at brukerne bør finne et annet program til bruk for dette formålet.
Utviklerne lansert den endelige versjonen av TrueCrypt som ble brutt (design) i mange forhold. Den endelige kildekoden for den fullstendige versjonen av programmet ble publisert av Gibson Research Corporation og alternativer som VeraCrypt eller CipherShed dukket opp kort tid etterpå.
På den tiden, TrueCrypt er revisjon var ikke komplett som bare fase én av revisjonen hadde blitt gjennomført av forskere.
Forskning begrepet gjort beslutningen om å fortsette med revisjon av TrueCrypt 7.1 til tross for at prosjektet utviklere forlatt prosjektet i mellomtiden.
I dag, fase 2 av TrueCrypt analyse har gjennomført. Undersøkelsene har lastet opp den endelige rapporten som en PDF-dokumentet til den offisielle nettsiden fra der det kan lastes ned.
Totalt fire sårbarheter som ble oppdaget:
- Nøkkelfil blanding er ikke kryptografisk lyd (lav).
- Uautorisert ciphertext i volum overskrifter (ubestemt).
- CryptAcquireContext kan stille mislykkes i uvanlig scenarier (høy).
- AES gjennomføring utsatt for cache-timing-angrep (høy).
Den mest alvorlige funn knytter seg til bruk av Windows API for å generere tilfeldige tall for master-og krypteringsnøkkelen materiale blant andre ting. Mens CS mener disse samtalene vil lykkes i alle vanlige scenarier,minst en uvanlig scenario vil føre samtaler til å mislykkes, og stole på dårlige kilder entropi; det er uklart i hvilke andre situasjoner de kan mislykkes.
I tillegg, CS identifisert at volume header dekryptering er avhengig av feil integritet sjekker for å oppdage inngrep, og at metoden for å blande entropi av keyfiles var ikke kryptografisk lyd.
Til slutt, CS identifisert flere inkludert AES implementeringer som kan være sårbare for cache-timing angrep. Den enkleste måten å utnytte dette ville være å bruke native-kode, potensielt levert gjennom NaCl i Chrome, men den enkleste metoden for utnyttelse gjennom at angrepsvektor ble nylig stengt av. #
Rapporten fremhever hvert sikkerhetsproblem i detalj som skal hjelpe prosjekter som bruker TrueCrypt kilde som sin base for å løse problemer i fremtidige oppdateringer.
Det må bemerkes at revisjonen var smale i omfang og ikke en fullstendig kode anmeldelse. Teamet konsentrert om viktige deler av TrueCrypt og her spesielt den kryptografiske implementering og bruk.