کمیته رکن چهارم – چندی پیش و پس از پایان عمر ویندوز XP، توسعهدهندگان این نرمافزار اعلام کردند فناوریهای رمزنگاری موجود در نسخههای جدید ویندوز، وجود Truecrypt را غیرضروری ساخته، و در نتیجه دیگر به توسعهی آن ادامه نخواهند داد.
به گزارش کمیته رکن چهارم،این نرمافزارهای محبوب رمزنگاری، Truecrypt بود. چندی پیش و پس از پایان عمر ویندوز XP، توسعهدهندگان این نرمافزار اعلام کردند فناوریهای رمزنگاری موجود در نسخههای جدید ویندوز، وجود Truecrypt را غیرضروری ساخته، و در نتیجه دیگر به توسعهی آن ادامه نخواهند داد.
به دلیل محبوبیت بالای این نرمافزار میان جامعهی رمزنگاری، و همچنین متنباز بودن این نرمافزار، گروهی از داوطلبان اعلام کردند با تامین هزینه، گروهی را جهت بازرسی کد برنامه برای یافتن ضعفهای احتمالی و آسیبپذیریهای عمدی در آن استخدام خواهند نمود. وظیفهی بازرسی کد برنامهی Truecrypt برعهدهی گروه امنیتی NCC Crypto Services گذاشته شد؛ و اکنون این گروه گزارش خود را منتشر ساخته است.
در این گزارش اعلام شده Truecrypt یک نرمافزار رمزنگاری با طراحی مناسب است. در بازرسی NCC هیچگونه شواهدی از درهای پشتی، یا نقصهای طراحی جدی که آن را ناامن ساخته باشد، وجود ندارد.
البته این به معنی بینقص بودن Truecrypt نیست. بازرسان تعدادی اشکال و نشانههایی از برنامهنویسی بیدقت را در آن یافتهاند؛ از جملهی آنها دو اشکال است که در شرایط خاص میتواند باعث شود Truecrypt امنیت مورد نیاز را تامین نکند.
به عنوان مثال: مهمترین مشکل یافته شده در گزارش Truecrypt مربوط به تولیدکنندهی اعداد تصادفی (RNG) در نسخهی ویندوزی این نرمافزار است. RNG مسئولیت ایجاد کلیدهای مورد استفاده در رمزنگاری Truecrypt را برعهده دارد. اهمیت این بخش از نرمافزار در آن است که اعداد تصادفی که قابل حدس زدن باشند، میتوانند امنیت تمام سامانه را برهم بزنند.
توسعهدهندگان Truecrypt برای RNG خود از یک طراحی مربوط به سال ۱۹۹۸ متعلق به پیتر گاتمن استفاده کردهاند. در این شیوه از یک مجموعه ورودی داده برای جمعآوری مقادیر «غیرقابل پیشبینی» از منابع مختلف سامانه، شامل Crypto API خود ویندوز، استفاده میشود. یکی از مشکلات Truecrypt این است که در شرایط بسیار خاص، ممکن است Crypto API به درستی اجرا نشود. تحت این شرایط به جای اینکه Truecrypt خطایی نمایش دهد، مشکل را بی سروصدا قبول کرده و بازهم به ایجاد کلیدهای رمزنگاری میپردازد.
truecrypt
البته این پایان دنیا نیست؛ زیرا احتمال وقوع چنین شرایطی بسیار اندک است. علاوه بر این، حتی اگر Crypto API ویندوز بر روی سامانهی شما به درستی اجرا نشود، Truecrypt از منابع دیگری همچون اشارهگرهای سامانه و حرکات موس دادههای تصادفی جمعآوری میکند. این منابع جایگزین به اندازهی کافی قدرت دارند تا از دادههای شما حفاظت کنند. اما این طراحی مشکل دارد و باید در کدهایی که از کد Truecrypt اقتباس میشوند، اصلاح شود.
علاوه بر مشکلات RNG، بازرسان NCC نگرانیهایی در مورد مقاومت کد AES برنامهی Truecrypt در برابر حملات زمانبندی کش ابزار کردهاند. این مسئله مادامی که شما رمزنگاری و رمزگشایی را بر روی یک رایانهی اشتراکی و یا محیطی که مهاجم بتواند در آن به اجرای کد بپردازد (یک یک سندباکس و یا یک مرورگر) انجام ندهید، باعث نگرانی نخواهد بود. با این حال، این نیز مشکلی است که باید در پروژههایی که بر اساس Truecrypt بنا شدهاند، رفع شود.
Truecrypt واقعا نرمافزار منحصر به فردی است. فقدان توسعهدهندگان Truecrypt توسط کسانی که بر رمزنگاری کامل دادههای خود تکیه دارند، شدیدا حس میشود. اگر بخت یار باشد، کد این نرمافزار توسط دیگران توسعه خواهد یافت. امیدواریم این گزارش باعث جلب اعتماد توسعهدهندگان به این نرمافزار شود.
منبع:رسانه خبری امنیت اطلاعات
