آخرین اخبار
صفحه اصلی
اخبار

تایید امنیت نرم‌افزار رمزنگاری Truecrypt

تاریخ:
در: اخبار, امنیت سایبری
دیدگاهتان را بنویسید:
791 نمایش ها

۱کمیته رکن چهارم –  چندی پیش و پس از پایان عمر ویندوز XP، توسعه‌دهندگان این نرم‌افزار اعلام کردند فناوری‌های رمزنگاری موجود در نسخه‌های جدید ویندوز، وجود Truecrypt را غیرضروری ساخته، و در نتیجه دیگر به توسعه‌ی آن ادامه نخواهند داد.

به گزارش کمیته رکن چهارم،این نرم‌افزارهای محبوب رمزنگاری، Truecrypt بود. چندی پیش و پس از پایان عمر ویندوز XP، توسعه‌دهندگان این نرم‌افزار اعلام کردند فناوری‌های رمزنگاری موجود در نسخه‌های جدید ویندوز، وجود Truecrypt را غیرضروری ساخته، و در نتیجه دیگر به توسعه‌ی آن ادامه نخواهند داد.
به دلیل محبوبیت بالای این نرم‌افزار میان جامعه‌ی رمزنگاری، و همچنین متن‌باز بودن این نرم‌افزار، گروهی از داوطلبان اعلام کردند با تامین هزینه، گروهی را جهت بازرسی کد برنامه برای یافتن ضعف‌های احتمالی و آسیب‌پذیری‌های عمدی در آن استخدام خواهند نمود. وظیفه‌ی بازرسی کد برنامه‌ی Truecrypt برعهده‌ی گروه امنیتی NCC Crypto Services گذاشته شد؛ و اکنون این گروه گزارش خود را منتشر ساخته است.
در این گزارش اعلام شده Truecrypt یک نرم‌افزار رمزنگاری با طراحی مناسب است. در بازرسی NCC هیچگونه شواهدی از درهای پشتی، یا نقص‌های طراحی جدی که آن را ناامن ساخته باشد، وجود ندارد.
البته این به معنی بی‌نقص بودن Truecrypt نیست. بازرسان تعدادی اشکال و نشانه‌هایی از برنامه‌نویسی بی‌دقت را در آن یافته‌اند؛ از جمله‌ی آن‌ها دو اشکال است که در شرایط خاص می‌تواند باعث شود Truecrypt امنیت مورد نیاز را تامین نکند.
به عنوان مثال: مهمترین مشکل یافته شده در گزارش Truecrypt مربوط به تولیدکننده‌ی اعداد تصادفی (RNG) در نسخه‌ی ویندوزی این نر‌م‌افزار است. RNG مسئولیت ایجاد کلیدهای مورد استفاده در رمزنگاری Truecrypt را برعهده دارد. اهمیت این بخش از نرم‌افزار در آن است که اعداد تصادفی که قابل حدس زدن باشند، می‌توانند امنیت تمام سامانه را برهم بزنند.
توسعه‌دهندگان Truecrypt برای RNG خود از یک طراحی مربوط به سال ۱۹۹۸ متعلق به پیتر گاتمن استفاده کرده‌اند. در این شیوه از یک مجموعه ورودی داده برای جمع‌آوری مقادیر «غیرقابل پیش‌بینی» از منابع مختلف سامانه، شامل Crypto API خود ویندوز، استفاده می‌شود. یکی از مشکلات Truecrypt این است که در شرایط بسیار خاص، ممکن است Crypto API به درستی اجرا نشود. تحت این شرایط به جای اینکه Truecrypt خطایی نمایش دهد، مشکل را بی سروصدا قبول کرده و بازهم به ایجاد کلیدهای رمزنگاری می‌پردازد.
truecrypt
البته این پایان دنیا نیست؛ زیرا احتمال وقوع چنین شرایطی بسیار اندک است. علاوه بر این، حتی اگر Crypto API ویندوز بر روی سامانه‌ی شما به درستی اجرا نشود، Truecrypt از منابع دیگری همچون اشاره‌گرهای سامانه و حرکات موس داده‌های تصادفی جمع‌آوری می‌کند. این منابع جایگزین به اندازه‌ی کافی قدرت دارند تا از داده‌های شما حفاظت کنند. اما این طراحی مشکل دارد و باید در کدهایی که از کد Truecrypt اقتباس می‌شوند، اصلاح شود.
علاوه بر مشکلات RNG، بازرسان NCC نگرانی‌هایی در مورد مقاومت کد AES برنامه‌ی Truecrypt در برابر حملات زمان‌بندی کش ابزار کرده‌اند. این مسئله مادامی که شما رمزنگاری و رمزگشایی را بر روی یک رایانه‌ی اشتراکی و یا محیطی که مهاجم بتواند در آن به اجرای کد بپردازد (یک یک سندباکس و یا یک مرورگر) انجام ندهید، باعث نگرانی نخواهد بود. با این حال، این نیز مشکلی است که باید در پروژه‌هایی که بر اساس Truecrypt بنا شده‌اند، رفع شود.
Truecrypt واقعا نرم‌افزار منحصر به فردی است. فقدان توسعه‌دهندگان Truecrypt توسط کسانی که بر رمزنگاری کامل داده‌های خود تکیه دارند، شدیدا حس می‌شود. اگر بخت یار باشد، کد این نرم‌افزار توسط دیگران توسعه خواهد یافت. امیدواریم این گزارش باعث جلب اعتماد توسعه‌دهندگان به این نرم‌افزار شود.

منبع:رسانه خبری امنیت اطلاعات

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Red Captcha Characters Below.