Пользователь
192,1
рейтинг
2 апреля 2015 в 19:15

Разработка → Завершен аудит кода TrueCrypt

Сайт Open Crypto Audit Project сообщает о завершении второй стадии аудита кода популярного открытого средства шифрования TrueCrypt, разработчики которого 28 мая 2014 года очень странно покинули сцену, посоветовав переходить на BitLocker — решение для шифрования данных от Microsoft. По сути, аудит кода завершен, ребятам из OCAP осталось только написать финальный документ с выводами.

Согласно результатам аудита, никакой закладки в TrueCrypt 7.1a нет. Аудиторы отметили только 4 потенциально нехороших места, которые не приводили к компрометации каких-либо данных при обычных условиях:
  1. Отсутствие проверки подлинности зашифрованных данных в заголовке тома
  2. Смешивание ключевого файла происходит не криптографически устойчивым образом
  3. Реализация AES может быть уязвима к атаке по времени
  4. CryptAcquireContext может оказаться неинициализированным без сообщений об ошибке

opencryptoaudit.org/reports/TrueCrypt_Phase_II_NCC_OCAP_final.pdf — результаты второго раунда аудита.
blog.cryptographyengineering.com/2015/04/truecrypt-report.html — выводы Matthew Green, одного из членов OCAP.
Влад @ValdikSS
карма
621,0
рейтинг 192,1
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (69)

  • 0
    «которые не приводили к компрометации каких-либо данных при обычных условиях» — а какие условия считаются обычными?
    «Реализация AES может быть уязвима к атаке по времени» — значит ли это, что при наличии суперкомпьютеров, возможен взлом?
    Ждем более полной статьи.
    • +2
      а какие условия считаются обычными?
      Использование программы на домашнем компьтере без домена.
      значит ли это, что при наличии суперкомпьютеров, возможен взлом?
      Нет, суперкомпьютеры тут ни при чем. По идее, злоумышленник может украсть симметричный ключ, если имеет возможность выплонять произвольный нативный код на машине атакуемого.
      • +5
        Насколько я понимаю, при этом нужно ещё сидеть в ядре, иначе не очень понятно как сбрасывать строки кэша, соответствующие таблицам AES, расположенным в ядерном модуле трукрипта. Но если сидеть в ядре, то можно и ключ AES утащить, ибо он лежит в первых 16-32 байтах состояния.
        • 0
          Elcomsoft Forensic Disk Decryptor

          Продукт поддерживает три метода извлечения ключей расшифровки.
          Анализом файла гибернации (исследуемый компьютер выключен);
          Анализом слепка оперативной памяти компьютера *
          Атакой через порт FireWire ** (компьютер должен быть включен, а зашифрованные тома – подключены).
          • 0
            Против этого разве что TRESOR может помочь.
          • 0
            В принципе против первых двух методов достаточно предварительно размонтировать том, а вот насчет третьего я затрудняюсь ответить, нашел информацию что в 8.1 и в X Lion 10.7.2 DMA отключен пока пользователь не залогинен, но может здесь кто-нибудь объяснить мне про устойчивость truecrypt перед DMA-атакой через firewire? Я про третий вариант, когда тот же самый Inception через DMA ищет аутентификационные модули в памяти и обходит их?
  • +2
    Известно что-либо о дальшейшей судьбе проекта? Кто-нибудь будет его поддерживать и развивать? Будут ли исправлены выявленные потенциально нехорошие места?
    • +1
      Все достаточно печально. Из живых есть только VeraCrypt и GostCrypt. В последнем используется ГОСТ 28147-89 в качестве асимметричной функции.
      • +2
        Как может этот ГОСТ использоваться в качестве асимметричной функции, если это алгоритм симметрического шифрования(улучшеный DES, если быть точным)?
        • +3
          Ой, конечно же симметричной. Думаю об одном, а пишу другое.
      • 0
        VeraCrypt вроде как неплохо развивается. Причем шифрование по сравнению с tc там усложнили, совершая гораздо больше итераций при генерации пароля, что должно на порядки осложнить брутфорс.

        GostCrypt вот никогда не пробовал. А в GostCrypt можно использовать несколько независимых шифраций — сначала одним шифруется, затем другим, в tc вроде 3 алгоритма можно было так последовательно использовать?

        Я сам-то пока на tc сижу. Но тоже присматриваюсь помаленьку )
      • +8
        Лично я, пожалуй, продолжу пользоваться TC 7.1. Выявленные проблемы выглядят (для меня) совсем некритичными, а в форках — кто его знает, что там.
        • 0
          Загрузочные тома с UEFI не поддерживаются *((

          Пока это не очень критично, но уже скоро станет.
      • –9
        Эй, постой, а как же DiskCryptor? У него, не смотря на изначально свою ветку развития, есть полная поддержка TC-контейнера, а с точки зрения реализации — на голову выше, имхо. Это же пацан с нашего двора, а ты предательски пырнул его в спину.
        • 0
          Ну, в линуксовом cryptsetup тоже есть полная поддержка томов TrueCrypt, но это не форк же.
      • 0
        VeraCrypt у меня не смог открыт том созданный в TrueCrypt.
        Да и родные тома он монтирует очень долго. Не знаю с чем это связано.
        Вобщем погонял его, и удалил.
        • 0
          возможно это поможет в Вашей ситуации
    • 0
      Эти места, насколько я понимаю, «нехорошие» в случае исполнения кода на самой машине. Тут уже ничего не поможет.
      • +1
        Ну, авторы говорят, что в последнее время javascript в браузерах очень продвинулся, и, в общем, это можно попытаться сделать через него.
        • 0
          Думаю, судя по темпу нахождения новых 0day, это не имеет значения. Код на машине — твои данные слиты. А как — напрямую с расшифрованного подмонтированного тома слиты или ключ + зашифрованный том — неважно.
    • 0
      Да, известно. Проект развивается другими теперь уже разработчиками вне США и переехал на новый адрес https://truecrypt.ch/.
    • 0
      Бесплатный Cryptic Disk поддерживает TrueCrypt-формат из коробки.
      Вполне достойно выглядит и фишек много:
      www.exlade.com/ru/cryptic-disk
  • +1
    Когда действительно требуется защитить данные от прочтения любой ценой,
    нет ничего лучше физического разрушения носителя при попытке несанкционированного доступа.
    Для всех остальных случаев TrueCrypt пока что вполне справляется.
    • 0
      Зашифровать весь жесткий диск не вариант (dm-crypt)?
      • +1
        Всегда есть малая вероятность, что зашифрованное может быть расшифровано.
        Либо подбором пароля, либо через закладки в коде программы шифровальщика, или эксплуатацией недостатков алгоритмов шифрования.
        Все 100% гарантии невозможности расшифровать, и прочитать данные, дает лишь уничтожение носителя.
        Лучше всего, конечно сочетать оба метода :) Шифровать данные, и обеспечить уничтожение носителя при несанкционированном доступе.
        • 0
          Физически устранить можно когда есть такая возможность. Как вы узнаете что пришла пора уничтожать? Неприятели могут постучаться в любое время, в том числе когда их не ждут (не учитывая даже удаленных серверов). Так что полное шифрование носителей тоже необходимо, а дальше уже можно и физически уничтожать если дадут такую возможность.
          • 0
            Соглашусь на все 100%. Потому я и написал в комментарии выше, что лучше всего сочетать оба метода защиты информации :)
            • 0
              Когда я начал писать этого не видел, теперь согласен тоже :) Но все таки уничтожать физически это больше к голивудским фильмам относится.
              • +3
                Главное, что физическое уничтожение носителя делает бессмысленным применение терморектального криптоанализатора,
                чтобы получить пароли/ключи доступа.
                А значит, шансы избежать этой пренеприятнейшей процедуры заметно вырастают :)
                • +4
                  Это как сказать, если попасть в поле зрения ценителей подобного рода анализа, то возможно при наличии носителя информации ваша жизнь была бы длинее на время проведения этого анализа.
                  • +2
                    Осознавая со злорадством, что все таки инфы они не получат, и умирать было бы приятнее :)
                  • +8
                    Ох, не уверен, что мне бы этот эпизод моей жизни очень понравился.
                • 0
                  Анализатор все равно применят. А вдруг у вас есть копия? Надо же выяснить ее местонахождение и пароль к ней.
          • +1
            Даже если неприятель стучится в дверь или даже тянет руки к компу есть «последний довод королей» — устройства семейства Стек и Импульс. www.detsys.ru/?spage=goods>c=16
            Есть и в 5 дюймовый слот, есть и встроенные, есть серверные. Срабатывают и по кнопке и по вскрытию и по удалёной комманде.
            • 0
              Для ssd эти ЭМИ девайсы не эффективны
              • 0
                Посмотри внимательнее, есть там устройство и для ssd.
                • 0
                  Да, точно. Не заметил. Но сомнения все равно есть, ибо SSD может быть экранированный. Мне понравилось решение некоторых производителей самих SSD, которое подает на линию питания чипов повышенное напряжение гарантированно сжигающее микросхемы.
              • 0
                А если за принцип действия спорить, то какая разница, спалишь ты выходной буфер в микросхеме или сотрёшь информацию в ячейках? И так, и так информация будет недоступна. В первом случае кристалл будет неработоспособен, а во втором сотрётся информация из ячеек.
                • НЛО прилетело и опубликовало эту надпись здесь
                  • +3
                    Дак что за метод-то? а то заинтриговали, теперь мучиться.
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • 0
                        Термит, что-ли? А разжигать его время будет?
                        • 0
                          Электрозапал на большую красную кнопку?
                          • 0
                            Можно ещё надпись «не нажимать», что бы сократить срок ожидания нажатия на эту кнопку до минимума. То так может пару-тройку месяцев понадобиться.
                    • НЛО прилетело и опубликовало эту надпись здесь
                  • +1
                    Какой способ то??? Пользоваться счётами??
  • +1
    А где можно взять именно ту версию, которую проверяли?
    • +13
      • 0
        и типа мы должны поверить что там нет закладки?
        • 0
          ну можно ещё самостоятельно изучить весь код, и самостоятельно собрать бинарник
          • 0
            Кто-то уже даже собирал бинарник из сорцов и «научно доказывал», что он функционально совпадает со стоковым бинарником. Можно банально повторить его действия дабы убедиться.
            От себя могу добавить, что можно существенно упростить задачу, если взять IDA Pro и patchdiff2.
            • 0
              Не функционально, там байт в байт совпало, не считая даты компиляции и тому подобного.

              • 0
                Я примерно это и хотел сказать. Инструкции те же, но файлы побайтово не совпадают из-за мелочей.
      • 0
        Я сохранил себе бинарники и исходники, которые были на момент «ухода со сцены».
        Чтобы не сомневаться в их подлинности :)
    • +1
      del
  • 0
    «CryptAcquireContext может оказаться неинициализированным без сообщений об ошибке» — меньшая половина информации о проблеме, судя по blog.cryptographyengineering.com/2015/04/truecrypt-report.html
    CryptoAPI используется как один из источников энтропии, и при невозможности получить контекст этот источник становится недоступен, то есть энтропии становится меньше.
    • 0
      Ну, я написал так, как оно озаглавлено в PDF.
      • 0
        Ну какбэ неинициализированная переменная — одно, а отвал части функциональности — несколько другое :-)
  • 0
    Так-же эксперты отметили высокое качество кода в закладках от АНБ.

    Багов нет, но значит ли это, что нет закладок, оформленных в виде функций с комментариями?
    Что сама «компания iSECpartners», не аффинированное спец-службами лицо?
    Что ни одному из аудиторов не обещали маленький остров/крипто-паяльник, если он закроет/не закроет глаза на строчки 13904-14234.
    • +1
      Так рядом сбинарниками исходники, берите проверяйте, мне проще зашифровать весь винт чем искать что-то стоящее доверия среди сомнительных программ.
    • 0
      Номера строк от потолка или это указание на конкретный кусок кода?
  • 0
    То есть 1000 (или сколько там было) итераций в PBKDF2 это нормально?
  • +9
    Согласно результатам аудита, никакой закладки в TrueCrypt 7.1a нет.

    Посе данного заявления аудиторы так же очень странно покинули сцену…
  • 0
    Отличные новости.
    Вот только ужасно не хватает поддержки GPT в TrueCrypt, из-за этого не получается шифровать системный раздел на Windows 8.1.
    Печаль конечно, что авторы забросили проект :(
    • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Windows 8.1 работает и с MBR. Я успешно сконвертировал системный диск из GPT в MBR без переустановки системы и потери/переноса данных с помощью AOMEI Partition Assistant Professional. Потом произвёл Truecrypt шифрование всего системного диска. Всё прекрасно работает.
  • 0
    Я никогда не доверял TrueCrypt — эта программа в свое время очень подозрительно появилась из ниоткуда практически готовой и теперь так же подозрительно растворилась. Я уверен, что она создана с участием спецслужб. А то, что закладка не найдена — это еще не значит, что ее там нет.
  • 0
    А почему они не 7.2 то проверяли?
    • +1
      потому что в 7.2 возможность шифрования вообще удалена: есть только расшифровка.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.