70 votes

Utilisateur non enregistré avatar

TrueCrypt est-il vraiment sûr ?

Demandé el 15 de Juillet, 2010
Quand la question a-t-elle été
31747 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'utilise TrueCrypt depuis longtemps maintenant. Cependant, quelqu'un m'a indiqué un lien qui décrit les problèmes de la licence .

Je ne suis pas d'accord et cela n'a pas vraiment de sens pour moi ; cependant, je veux que mon logiciel de cryptage soit open source, non pas parce que je peux le pirater mais parce que je peux lui faire confiance.

J'ai remarqué certains des problèmes qu'elle pose :

  • Il n'y a pas de VCS pour le code source.
  • Il n'y a pas de journal des modifications.
  • Les forums sont un mauvais endroit pour être. Ils vous bannissent même si vous posez une vraie question.
  • Qui possède réellement TrueCrypt ?
  • Il y a eu quelques rapports de bricolage avec les sommes de contrôle MD5.

Pour être honnête, la seule raison pour laquelle j'ai utilisé TrueCrypt était qu'il était open source. Mais cependant, certaines choses ne sont tout simplement pas correctes.

Quelqu'un a-t-il déjà validé la sécurité de TrueCrypt ? Dois-je vraiment m'inquiéter ? Oui, je suis paranoïaque ; si j'utilise un logiciel de cryptage, je lui fais confiance sur toute la ligne.

Si toutes mes préoccupations sont réelles, existe-t-il une autre alternative open source à TrueCrypt ?

Demandé el 15 de Juillet, 2010 par Utilisateur non enregistré

Réponses

Trop de publicités?

29voto

David Rodríguez - dribeas avatar
David Rodríguez - dribeas Points 123005

Je vais reprendre l'article point par point :

Personne ne sait qui a écrit TrueCrypt. Non personne ne sait qui maintient TC.

Il y a une citation juste après qui dit que la marque est détenue par Tesarik, qui vit en République tchèque. On peut supposer que celui qui détient la marque maintient le produit.

Les modérateurs du forum TC bannissent les utilisateurs qui demandent questions.

Y a-t-il une preuve de cela, ou est-ce juste anecdotique ? Et par preuve, j'entends des preuves à la première personne, des captures d'écran, etc.

TC prétend être basé sur Encryption for the Masses (E4M). Ils également prétendre être open source, mais ne mais ne maintiennent pas de dépôts CVS/SVN publics

Le contrôle des sources est certainement une partie importante d'un projet de programmation de groupe, mais son absence ne diminue en rien la crédibilité d'un tel projet.

et n'émettent pas de journal des modifications.

Oui, ils le font. http://www.truecrypt.org/docs/?s=version-history . Les logiciels libres ne publient pas tous des journaux de modifications extrêmement clairs, car cela prend parfois trop de temps.

Ils bannissent les gens des forums qui demandent des journaux de modifications ou d'anciens code source.

Parce que c'est une question stupide, étant donné qu'il existe un journal des modifications et que les anciennes versions sont déjà disponibles. http://www.truecrypt.org/downloads2

Ils changent aussi silencieusement binaires (les hachages md5 changent) sans aucune explication... zéro.

De quelle version s'agit-il ? Y a-t-il d'autres preuves ? Des anciennes versions téléchargeables et signées ?

La marque est détenue par un homme en République Tchèque ((REGISTRANT) Tesarik, David INDIVIDUELLE RÉPUBLIQUE TCHÈQUE Taussigova 1170/5 Praha RÉPUBLIQUE TCHÈQUE 18200).

Et alors ? Quelqu'un en République tchèque possède une marque pour une technologie de cryptage majeure. En quoi cela est-il important ?

Les domaines sont enregistrés de manière privée par proxy. Certaines personnes prétendent qu'il y a une porte dérobée.

Qui ? Où ? Quoi ?

Qui sait ? Ces gars disent qu'ils peuvent trouver des volumes de TC : http://16systems.com/TCHunt/index.html

Duh, les volumes TC dans la capture d'écran se terminent tous par .tc .

Et quelqu'un a vu cette image sur la page Contact ?

TrueCrypt Foundation address

Répondu el 15 de Juillet, 2010 par David Rodríguez - dribeas (123005 Points )

18voto

Moab avatar
Moab Points 56700

Lisez ces articles, le FBI n'a pas réussi à décrypter 5 disques durs protégés par truecrypt.

http://www.net-security.org/secworld.php?id=9506

http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html

Répondu el 15 de Juillet, 2010 par Moab (56700 Points )

11voto

Mike Rowave avatar
Mike Rowave Points 1895

Je pense que TrueCrypt pourrait être fourni par la NSA, la CIA ou l'une de ces grandes agences fédérales dans le but de promouvoir le cryptage pour lequel ils disposent d'une porte dérobée, afin de réduire l'utilisation d'autres cryptages qu'ils ne peuvent pas craquer. C'est la raison de leur secret à son sujet, et c'est pourquoi il s'agit également d'un produit si bien conçu avec une bonne documentation, bien qu'il ne s'agisse pas d'un produit commercial et qu'il ne bénéficie pas de la participation étendue des développeurs open source.

Voir ce document, qui explique que l'objectif du gouvernement est d'encourager l'utilisation généralisée du cryptage pour lequel ils peuvent récupérer les clés : http://www.justice.gov/criminal/cybercrime/cryptfaq.htm

En fait, l'administration encourage la conception, la fabrication, et l'utilisation de produits et services de cryptage services qui permettent de récupérer le texte en clair des données cryptées, y compris le développement de systèmes de récupération du texte en clair de récupération du texte en clair, qui permettent par une variété d'approches techniques d'accéder rapidement au texte en clair à l'adresse DeepL, soit par les propriétaires des données ou par les autorités autorités chargées de l'application de la loi agissant sous autorité légale. Seule l'utilisation généralisée de tels systèmes permettra à la fois de fournir une meilleure protection des données et la sécurité publique.

....

L'objectif du ministère -- et le politique de l'administration - est de promouvoir le développement et l'utilisation de d'un cryptage fort qui améliore la la confidentialité des communications et des données stockées données stockées, tout en préservant la capacité la capacité actuelle des forces de l'ordre à accéder d'accéder aux preuves dans le cadre d'une d'une perquisition ou d'une surveillance.

...

À cet égard, nous espérons que la disponibilité de systèmes de cryptage qui permet la récupération de récupération réduira la demande pour d'autres types de cryptage, et augmentera la probabilité que les criminels utilisent un cryptage récupérable.

Répondu el 3 de Juillet, 2011 par Mike Rowave (1895 Points )

4voto

sherbang avatar
sherbang Points 2675

Eh bien, le projet TrueCrypt peut très bien être géré d'une manière inhospitalière/hostile pour les étrangers (développeurs anonymes, pas de Changelog), mais je ne vois pas en quoi cela a un rapport avec le fait qu'il soit sécurisé ou non.

Voyez les choses comme ça : Si les développeurs vraiment voulait tromper les gens en mettant des backdoors dans TrueCrypt, il serait logique qu'ils soient gentils, afin que les gens soient moins méfiants.

En d'autres termes, la question de savoir si le logiciel est digne de confiance est tout à fait indépendante du fait que les développeurs soient des personnes sociables ou non. Si vous pensez que la disponibilité du code source n'est pas suffisante pour garantir la sécurité, vous devrez organiser un audit du code. Il y a certainement des personnes extérieures au projet TrueCrypt qui regardent le code source, donc une porte dérobée délibérée est probablement difficile à cacher, mais il peut y avoir des bugs cachés. Ce bug dans le paquet OpenSSL de Debian est passée inaperçue pendant un certain temps.

Répondu el 15 de Juillet, 2010 par sherbang (2675 Points )

4voto

David J. Liszewski avatar
David J. Liszewski Points 228

Je pense que le point que tout le monde oublie est que si quelqu'un envisage d'utiliser Truecrypt, cette personne doit être sûre à 100% que c'est sécurisé, sinon sa vie peut être en danger, ce n'est pas Flash Player ou une application de pet pour votre iPhone, c'est une application où si elle échoue, quelqu'un peut être tué pour les informations découvertes.

Si l'intégrité de Truecrypt est mise en doute, pourquoi utiliser cette application ?

btw aucune question n'est une question stupide sur Truecrypt ou quoi que ce soit.

Répondu el 29 de Août, 2010 par David J. Liszewski (228 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X