TrueCrypt真的安全吗？

我已经使用TrueCrypt很久了。但是，有人指出我指向描述许可证问题的链接。

IANAL，所以对我来说真的没有多大意义。但是，我希望我的加密软件是开源的-不是因为我可以入侵它，而是因为我对它的信任。

我注意到的一些问题：

• 源代码没有VCS。
• 没有更改日志。
• 论坛是一个糟糕的地方。即使您提出真正的问题，他们也会禁止您。
• 谁真正拥有TrueCrypt？
• 有报告称修改MD5校验和。

老实说，我使用TrueCrypt的唯一原因是因为它是开源的。但是，有些事情是不正确的。

有没有人验证过TrueCrypt的安全性？我真的应该担心吗？是的，我很偏执。如果我使用加密软件，我将终生信赖它。

如果我所有的担心都是真实的，TrueCrypt是否有其他开源替代品？

我将逐篇阅读本文：

没有人知道谁写过TrueCrypt。没有人知道谁维护TC。

紧接着有一个引号，表示该商标由居住在捷克共和国的Tesarik拥有。可以肯定的是，拥有商标的人可以维护产品。

TC论坛的主持人禁止提出问题的用户。

是否有任何证据，或者只是轶事？作为证明，我的意思是第一人称证明，屏幕截图等。

TC声称基于大众加密（E4M）。他们还声称自己是开源的，但不维护公共CVS / SVN存储库

源代码控制当然是团队编程项目的重要组成部分，但是缺少源代码控制肯定不会降低此类项目的可信度。

并且不发布更改日志。

是的，他们愿意。http://www.truecrypt.org/docs/?s=version-history。并非所有OSS都会发布极其清晰的更改日志，因为有时时间太长。

他们禁止论坛中要求更改日志或旧源代码的人员。

因为这是一个愚蠢的问题，所以考虑到存在更改日志并且旧版本已经可用。http://www.truecrypt.org/downloads2

他们也无提示地默默地更改二进制文件（md5哈希值更改）...零。

这是什么版本？还有其他证明吗？可下载的，已签名的旧版本？

商标由捷克共和国的一名男子持有（（REGISTRANT）Tesarik，David个人捷克共和国Taussigova 1170/5 Praha捷克共和国18200。）

所以呢？捷克共和国某人拥有一项主要加密技术的商标。为什么这有关系？

域是通过代理私人注册的。一些人声称它有后门。

谁？哪里？什么？

谁知道？这些家伙说他们可以找到TC卷：http : //16systems.com/TCHunt/index.html

嗯，屏幕快照中的TC卷全部为END WITH .tc。

有人在“联系人”页面上看到此图像吗？

阅读这些文章，FBI无法解密5个受truecrypt保护的硬盘

http://www.net-security.org/secworld.php?id=9506

http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html

我认为，TrueCrypt可能是由NSA，CIA或那些大型联邦机构之一提供的，目的是促进他们拥有后门的加密技术，以便减少使用他们无法破解的其他加密技术。这就是他们对此保密的原因，这就是为什么它也是经过精心打磨的产品，具有良好的文档记录，尽管它既不是商业产品，也不是开源开发人员的广泛参与。

请参阅此文档，该文档说明政府的目标是鼓励广泛使用可以恢复密钥的加密：http : //www.justice.gov/criminal/cybercrime/cryptfaq.htm

实际上，主管机关鼓励设计，制造和使用允许恢复加密数据的明文的加密产品和服务，包括开发明文恢复系统，该系统可以通过多种技术手段及时通过以下方式访问明文：数据的所有者或由在合法权限下采取行动的执法机构。只有此类系统的广泛使用，才能为数据提供更大的保护并保护公共安全。

....

该部门的目标以及政府的政策是促进开发和使用强大的加密技术，以增强通信和存储的数据的隐私性，同时还保留执法人员当前获得证据的能力，这是合法授权的搜索或监视。

...

在这方面，我们希望提供恢复系统的高度可靠的加密将减少对其他类型加密的需求，并增加犯罪分子使用可恢复加密的可能性。

好吧，TrueCrypt项目的运行方式很可能对局外人不友好/敌对（匿名开发者，没有Changelog），但是我不知道这与它是否安全有什么关系。

像这样看：如果开发人员真的想通过将后门放入TrueCrypt来使人迷惑，那么让他们变得友善就变得有意义，因此人们不必那么怀疑。

换句话说，软件是否值得信赖与开发人员是否善于交际完全无关。如果您认为源代码的可用性不足以确保安全性，则必须组织一次代码审核。在TrueCrypt项目之外肯定还有其他人在查看源代码，因此故意隐藏后门可能很难隐藏，但可能存在隐藏的错误。Debian的OpenSSL软件包中的这个错误已经有一段时间没有引起人们的注意了。

我认为，每个人都缺少的一点是，如果有人正在考虑使用Truecrypt，则该人必须100％确定其安全性，如果不是他们的生命可能处于危险之中，那不是Flash Player或iPhone的Fart应用程序，那是一个应用程序，如果失败，可能意味着有人被发现的信息杀死。

如果对Truecrypt的完整性有疑问，为什么要使用此应用程序？

顺便说一句，关于Truecrypt或其他任何问题都是毫无疑问的问题。

我已经使用Truecrypt几年了，当您查看它们的加密方案时，您指出的其他小问题对其安全性没有任何作用。即使是15年的计算机工程师/密码学家也对此印象深刻。

仅仅因为它没有存储库并不意味着它不是开源的。我可以转到下载部分并获取所有源代码，实际上这是您所需要的。

论坛是唯一的弱点。我没有看到任何禁令，只有火焰大战。您有禁令的证明吗？

到目前为止，已经讨论了TrueCrypt加密中可以信任的程度。根据文档，TrueCrypt使用良好的加密算法。但是，这只是故事的一部分，因为加密算法并不是安全性高的程序中最难的部分。TrueCrypt的源代码可供查看，这是对它的支持。

在评估保护机密数据的程序时，还需要考虑其他几点。

• 该程序还提供数据完整性吗？TrueCrypt没有。数据完整性意味着对您的计算机具有临时访问权的人无法通过修改后的数据替换您的数据。保护您的操作系统尤为重要：如果有人在追踪您的数据，他们可能会安装键盘记录器以在您下次键入密码时捕获您的密码，或者安装了其他一些恶意软件，而不是间接允许他们访问您的数据。因此，如果您没有检测到此类篡改的方法，请不要让计算机无人看管。

• 如何广泛使用的程序？在这一点上，TrueCrypt的比率相当高：它在所有主要的桌面操作系统（Windows，Mac，Linux）上都可用；它是免费的，因此您不必担心许可证成本；它是开源的，因此如果当前的开发团队突然消失，其他人可以进行开发。它被广泛使用，因此如果当前团队消失，则有人可能会加紧努力。但是，缺乏对源代码管理系统的公共访问权限（带有更改消息的单个补丁程序）是反对的。

除了冷启动攻击，Truecrypt不是100％安全的。它的引导加载程序中有取证痕迹，这会使您的敌人（如果他知道计算机取证）会迫使您输入密码。