truecrypt

truecrypt
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
TrueCrypt漏洞分析：比人们想象的更加安全 dawner专栏作者2015-11-24金币奖励+4共356498人围观 ，发现 4 个不明物体 数据安全漏洞
truecrypt.jpg

TrueCrypt是一款被数以百万计的安全隐私爱好者所喜爱的数据加密工具，但是最近它爆出了一些漏洞。然而，据知名信息安全技术研究所Fraunhofer出的一份安全分析报告称，它可能还是要比人们想象的要安全一些。

TrueCrypt安全漏洞浅析

这篇长达77页的报告，是在谷歌的Project Zero安全团队透露TrueCrypt存在两个漏洞后，Fraunhofer研究所于五周后发出的。这两个漏洞中最严重的，是利用TrueCrypt可以让某个应用以普通权限运行，或者在一个不完整的沙箱里将权限级别提升到系统级甚至内核级。Fraunhofer的研究人员表示，他们还发现了一些未知的TrueCrypt安全漏洞。

尽管TrueCrypt爆出了这些漏洞，但是分析报告却认为它作为一种在电脑内存以及挂载盘中进行数据加密存储的工具，主要功能仍然是相当安全的。安全研究人员表示，Project Zero发现的漏洞以及在Fraunhofer分析报告中的那些，确实应该得到修复。然而没有证据表明，黑客可以利用这些漏洞获取加密存储的数据。下面是德国达姆施塔特工业大学的Eric Bodden教授，也就是Fraunhofer安全审计小组的负责人的总结内容：

“许多人并不太明白，TrueCrypt本来是不太适合保护那些黑客拿下的系统中加密的数据的。这是因为，当TrueCrypt卷可以通过文件系统访问时，黑客可以通过植入键盘记录器等等手段取得key值。然而只有当TrueCrypt卷并没有挂载文件系统里，且内存里不存在key时，TrueCrypt才能保证数据的安全。
最后结论就是，TrueCrypt为在离线加密的数据存储，提供了良好的保护效果。如果你需要在硬盘上进行离线备份存储，比如存在一个随身带的U盘里面，那么里面经过TrueCrypt加密的数据可以被认为是相对安全的。”
没有发现致命的缺陷，但TrueCrypt的未来仍然让人不安

德国联邦信息技术安全局出了一个分析报告，这与四月份对TrueCrypt进行的一个安全审计结果很相似。Fraunhofer的研究人员还发现了部分编程问题。其中最严重的问题之一，就是TrueCrypt使用了windows编程接口来生成密钥所要用的随机数。此外，Fraunhofer的研究人员还发现了TrueCrypt在取随机数的方式上存在漏洞。

Bodden教授说道：

“从理论上来讲，生成随机数的漏洞可以让黑客更容易取得加密数据时的密钥，从而对数据进行解密。因此，为了安全本应该建议大家用已经修复过漏洞的TrueCrypt版本，对数据进行重新加密。”
不幸的是，在18个月前TrueCrypt软件开发的突然停止，官方可能再也没有机会对它进行修复了。某些匿名的开发人员透露，这个项目大家应该慎重使用了。

Bodden教授表示：

“在四月份的安全审计中，曾经发现了部分缓冲区溢出漏洞。然而Fraunhofer的研究人员经过尝试发现，在TrueCrypt正在运行时这些漏洞其实是利用不了的。”
TrueCrypt的问题总结

总而言之，TrueCrypt大部分的代码其实是没有问题的。此前发现的漏洞，对于TrueCrypt数据存储加密这个主要功能而言，并没有太大的影响，类似的问题可能也会发生在其他加密软件上。在这点，它并不比其他的替代品好或者差。不过它的代码质量确实是有提升空间的，部分地方也许重构会更好，文档设计说明有待改进。但是，这款软件确实做到了它设计之初所要做到的一切。

TrueCrypt原软件设计者，曾根据威胁模型写出了相应的说明文档，他表示TrueCrypt是不能在正在运行的系统里妥善保存数据的，这与我们的研究结果相符。而如果使用智能卡或者其他硬件作为Key进行存储加密的话，应该是没人可以绕过的，这样能够更好的保护你的秘密。这样的加密系统也可能由其他方式攻陷，但明显相对来讲是更加优秀的。

所以使用TrueCrypt的用户们可以继续放心地使用这款软件，直到VeraCrypt或者另一款TrueCrypt的替代品的产生。虽然现在TrueCrypt没了更新来源，但是现在必须马上更换TrueCrypt的传言显然是胡扯。Fraunhofer的研究人员表示，至少在一段时期内，大家可以继续耐心等待下一个合适的加密产品。

*参考来源：AR，FB小编dawner编译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM)

dawner
dawner
285 篇文章
等级： 9级
||
上一篇：音乐众筹网站Patreon数据泄露后遭邮件勒索下一篇：社交网站LinkedIn（领英）修复帮助中心处的XSS
发表评论已有 4 条评论

可爱的科蜜 2015-11-24回复 1楼
公司用的就这个 看来我要好好研究研究嘻嘻

亮了(2)

hxdef_tiffany (3级) 这家伙很懒，什么都没有留下。 2015-11-24回复 2楼
用了几年TrueCrypt，上次报道出事后没多久就换成了VeraCrypt，感觉还不错

亮了(2)

嗯要回家 2015-11-24回复 3楼
公司用的就这个 看来我要好好研究研究嘻嘻

亮了(2)

翘上天的狗尾巴 2015-11-24回复 4楼
公司用的就这个 看来我要好好研究研究嘻嘻

亮了(2)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
dawner
dawner专栏作者

黎明已经过去，黑暗就在眼前！

285
文章数
404
评论数
最近文章
浅谈扫描器之插件篇
2018.10.11

浅谈扫描器之加速篇
2018.09.01

selenium爬虫中的post坑
2018.04.18

浏览更多
相关阅读
还在使用TrueCrypt？当心这两个危险漏洞疑似Group 123 APT团伙利用HWP软件未公开漏洞的定向攻击分析易想团购系统通杀SQL注入漏洞分析及利用Joomla!3.7.0 SQL注入攻击漏洞分析正则表达式基础库源码审计与漏洞分析
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank