Os pesquisadores por trás da auditoria do software de criptografia de disco TrueCrypt segurança ter concluído o seu trabalho e dizer que eles não encontraram nenhuma evidência de quaisquer backdoors deliberados ou graves falhas de projeto em seu código.
"Com base nesta auditoria, Truecrypt parece ser um pedaço relativamente bem concebido de software de criptografia", disse crypto boffin Matthew Green em um post de blog na quinta-feira.
A atenção da comunidade de segurança tornou-se navalha focada na auditoria em curso do TrueCrypt após desenvolvedores do software abandonou seu trabalho em circunstâncias misteriosas no ano passado. A mensagem postada a página oficial do TrueCrypt incentivou os usuários para desinstalá-lo imediatamente ", pois pode conter falhas de segurança não corrigidas" e sugeriu do Microsoft BitLocker como uma alternativa.
Esta segunda fase da auditoria examinou geradores de números aleatórios do TrueCrypt e outros conjuntos de codificação, na sequência de uma primeira fase que analisou os planos do software. Mas, embora os auditores fez encontrar alguns problemas com o código do TrueCrypt, eles eram menores e só poderia comprometer a segurança em circunstâncias muito específicas e limitadas.
Por exemplo, a versão Windows do TrueCrypt baseia-se na API do Windows Crypto, que pode falhar ao inicializar corretamente em algumas circunstâncias, permitindo TrueCrypt para gerar chaves criptográficas com base em números previsíveis, ao invés de os aleatórios.
"Este não é o fim do mundo, uma vez que a probabilidade de tal falha é extremamente baixo," Green observado. "Mas é uma má concepção e, certamente, deve ser fixado em qualquer garfos TrueCrypt."
Um número de tais forquilhas já estão em desenvolvimento, utilizando o código TrueCrypt original como referência, entre eles CipherShed e VeraCrypt . A aparente falta de quaisquer falhas de segurança graves no TrueCrypt, no entanto, deixa em aberto a questão de por que os desenvolvedores TrueCrypt escolheu para fechar a loja, para começar.
Uma teoria é que a mensagem codificada enviada para a página inicial do software foi concebido como uma espécie de " canário mandado ", destinada a alertar os usuários de que a pressão de um ou mais governos fizeram contínuo desenvolvimento do software difícil ou impossível. Se for verdade, que poderia ter implicações nefastas para todos os derivados TrueCrypt futuras.
"A perda de desenvolvedores do TrueCrypt é profundamente sentida por um número de pessoas que dependem de criptografia completa de disco para proteger seus dados", escreveu Verde. "Com sorte, o código será exercida por outros. Estamos esperançosos de que esta revisão irá fornecer alguma confiança adicional no código que está começando com".
Os resultados completos da auditoria de segurança TrueCrypt estão disponíveis em formato PDF, aqui . ®
Nenhum comentário:
Postar um comentário