未发现后门:开源加密软件TrueCrypt安全审计结束

转载 2016年06月02日 12:07:35

TrueCrypt是一款流行的开源文件加密软件,该软件用户包括大量的“敏感人士”(如商人、政要、记者),因此其安全性一直广受关注。

2014年5月,开源加密软件TrueCrypt突然在其官网上警告Windows用户改用微软的BitLocker加密磁盘,并用大红字警告使用TrueCrypt不安全。

放心用吧,没后门

面对诸多针对TrueCrypt是否藏后门的担心,来自NCC安全审计人员和密码学专家对TrueCrypt进行了安全审计全方位的安全审计,好在结果让人长舒口气:

"TrueCrypt是一款相对设计优秀的加密软件,NCC审计没有发现软件存在后门的证据,或是任何可能导致软件不安全的严重的设计漏洞。"

一年前ISEC完成对TrueCrypt的第一阶段代码审计,虽然没有发现重大安全问题,不过发现了11个中等和低危的软件漏洞。

此次NCC的审计人员日前发表了一份长达21页的公开报告,公开了对TrueCrypt的随机数生成程序和关键密钥算法等加密方法的检查结果。

漏洞描述

报告中披露了TrueCrypt中的4个漏洞,不过这些漏洞都不影响到加密性。

1、密钥文件的混合从密码学角度上说不够彻底———低危
2、加密卷头部有未授权的密文——待定
3、CryptAcquireContext在某些场景下可能会失败——高危
4、AES加密可能受"缓存时序攻击"影响——高危

*参考来源THN,译/Sphinx,文章有修改,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)

加密软件推荐PGP、TrueCrypt、GPG

PGP 目前已知的最好的加密软件就是PGP,全名Pretty Good Privacy。此软件公司前几年被赛门铁克收购,成为赛门铁克旗下的旗舰加密产品。 PGP的算法是公开的,但其使用受到...
  • mydriverc2
  • mydriverc2
  • 2015年10月25日 20:23
  • 1553

TrueCrypt 6.2a原理及代码分析

TrueCrypt 6.2a原理及代码分析   3 comments   25th Apr 10   rafa   1 项目物理布局 Project     |____ Boot /* ...
  • lzda
  • lzda
  • 2014年08月02日 22:18
  • 1038

开源堡垒机或者运维安全审计系统

堡垒机有以下两个至关重要的功能:   权限管理 当你公司的服务器变的越来越多后,需要操作这些服务器的人就肯定不只是一个运维人员,同时也可能包括多个开发人员,那么这么多的人操作业务系统,如果权限分配...
  • English0523
  • English0523
  • 2016年05月19日 15:08
  • 6077

论下一代在线安全审计软件

现在市面上的扫描软件五花八门,可总结为两种 1.  客户端软件(如wvs, nessus., metaspolit..) 2.  B/S方式的 (像360的在线扫描,知道创宇...) 先说客...
  • zeropool
  • zeropool
  • 2012年07月23日 09:30
  • 590

Android软件安全审计及漏洞修复经验谈

  • 2015年09月26日 17:33
  • 2.33MB
  • 下载

wpa2无线wifi网络密码破解软件下载无线网络安全审计系统V2015.02傻瓜版

  • 2015年05月06日 11:04
  • 19.63MB
  • 下载

绿盟安全审计系统官方文档

  • 2017年12月26日 17:09
  • 152KB
  • 下载

安全审计扫描

  • 2011年09月13日 14:03
  • 610KB
  • 下载

SAS_4.1.黑盾安全审计系统产品功能列表

  • 2011年12月17日 14:49
  • 93KB
  • 下载

安全审计技术

  • 2012年09月24日 22:51
  • 200KB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:未发现后门:开源加密软件TrueCrypt安全审计结束
举报原因:
原因补充:

(最多只允许输入30个字)