Auditoría completado: TrueCrypt 7.1 en gran medida segura

(Foto: AP, Oliver Bergs)

El proyecto de auditoría de Crypto abierta (OCAP) ha detectado deficiencias menores en la herramienta de cifrado TrueCrypt en su auditoría, aunque no se oponen a su uso.

La última versión 7.1a del programa de cifrado TrueCrypt es seguro y puede ser utilizado con seguridad. Esta es la conclusión del proyecto de auditoría de Crypto abierta (OCAP) se produjo después de un análisis de la herramienta y el código fuente asociado. El proyecto ha llevado a cabo una amplia auditoría y que ahora se publica el informe final en un archivo PDF.

TrueCrypt se movió en el interés de la comunidad científica como parte de las revelaciones de Snowden. Esto había recogido donaciones y refinar la búsqueda del código fuente en puertas traseras y los errores de programación. El sistema establecido en este contexto Abrir proyecto de auditoría de Crypto (OCAP) había examinado primer gestor de arranque y el conductor del núcleo de Windows del programa y no descubierto deficiencias graviernden. Ahora, se ha completado la segunda y última parte de la auditoría.

Los investigadores han identificado cuatro OCAP debilidades en TrueCrypt fuente de la que se clasifican como grave. Esto implica la generación de números aleatorios para la generación de claves en la versión de Windows. En circunstancias muy poco probable, es posible que el API de Windows Crypto no se llamará limpio, sin que esto sea observado por TrueCrypt. En estos casos, la generación de clave de cifrado de disco insegura TrueCrypt.

Los resultados de OCAP se refieren explícitamente a la última publicación oficial de TrueCrypt (también disponible en Heise descarga), pero no a su sucesor. Los desarrolladores de las herramientas de código abierto muy usado habían declarado repentinamente en de mayo de 2014 para haber perdido interés en la continuación del proyecto. El código fue supuestamente inseguros, los usuarios deben preferir utilizar el cifrado de disco BitLocker herramienta de Windows. Incluso hoy en día, no está claro lo que ha llevado a esta declaración. La extensa auditoría de código de OCAP, al menos, no pudo confirmar la existencia de vulnerabilidades de seguridad graves.(Levantado)