TrueCrypt audits noslēdzies: atzīts par drošu

[samurajs]

Kriptogrāfu grupa, kura analizēja datu šifrēšanas programmas TrueCrypt atvērto kodu, ir pilnībā pabeigusi darbu un publicējusi 21 lappusi garu atskaiti. Verdikts: TrueCrypt joprojām atzīstams par drošu, un nav atrastas būtiskas kļūdas, kas varētu novest pie ievainojamību rašanās.

Protams, neviens kods nav ideāls, un arī šajā gadījumā auditoriem izdevās atrast dažas kļūdas un neuzmanīgas programmēšanas piemērus. Viens no tiem saistīts ar nejaušo skaitļu ģeneratoru (RNG), kas patapināts no 1998. gada Petera Gutmena idejas par “entropijas pūlu”. Tas nozīmē, ka informācija nejaušajiem skaitļiem tiek ņemta no visdažādākajām vietām, ieskaitot Windows Crypto API un peles kursora acumirklīgās koordinātes. Ļoti retos gadījumos Crypto API neizdodas korekti palaisties; tad TrueCrypt vajadzētu celt trauksmi un apturēt darbību. Bet nē – nejaušo skaitļu ģenerācija turpinās. Tas gan vairāk ir tīri teorētisks bugs, un īpašus apdraudējumus nerada.

[img]https://notepad.lv/userpix/28_0024700x352_1.jpg[/img]

Atskaite

[MeistarsUnVergs]

Cik saprotams no paša TrueCrypt dokumentācijas tad CryptoAPI nav galvenais randomness avots. Galvenais ir ir tas ģenerēšanas logs kurā ir jādročī pele.

[Autors]

Ieraksti