TrueCrypt漏洞分析:比人们想象的更加安全

2015-11-24 +4 427725人围观 ,发现 4 个不明物体 数据安全漏洞

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

TrueCrypt是一款被数以百万计的安全隐私爱好者所喜爱的数据加密工具,但是最近它爆出了一些漏洞。然而,据知名信息安全技术研究所Fraunhofer出的一份安全分析报告称,它可能还是要比人们想象的要安全一些。

TrueCrypt安全漏洞浅析

这篇长达77页的报告,是在谷歌的Project Zero安全团队透露TrueCrypt存在两个漏洞后,Fraunhofer研究所于五周后发出的。这两个漏洞中最严重的,是利用TrueCrypt可以让某个应用以普通权限运行,或者在一个不完整的沙箱里将权限级别提升到系统级甚至内核级。Fraunhofer的研究人员表示,他们还发现了一些未知的TrueCrypt安全漏洞。

尽管TrueCrypt爆出了这些漏洞,但是分析报告却认为它作为一种在电脑内存以及挂载盘中进行数据加密存储的工具,主要功能仍然是相当安全的。安全研究人员表示,Project Zero发现的漏洞以及在Fraunhofer分析报告中的那些,确实应该得到修复。然而没有证据表明,黑客可以利用这些漏洞获取加密存储的数据。下面是德国达姆施塔特工业大学的Eric Bodden教授,也就是Fraunhofer安全审计小组的负责人的总结内容

“许多人并不太明白,TrueCrypt本来是不太适合保护那些黑客拿下的系统中加密的数据的。这是因为,当TrueCrypt卷可以通过文件系统访问时,黑客可以通过植入键盘记录器等等手段取得key值。然而只有当TrueCrypt卷并没有挂载文件系统里,且内存里不存在key时,TrueCrypt才能保证数据的安全。
最后结论就是,TrueCrypt为在离线加密的数据存储,提供了良好的保护效果。如果你需要在硬盘上进行离线备份存储,比如存在一个随身带的U盘里面,那么里面经过TrueCrypt加密的数据可以被认为是相对安全的。”

没有发现致命的缺陷,但TrueCrypt的未来仍然让人不安

德国联邦信息技术安全局出了一个分析报告,这与四月份对TrueCrypt进行的一个安全审计结果很相似。Fraunhofer的研究人员还发现了部分编程问题。其中最严重的问题之一,就是TrueCrypt使用了windows编程接口来生成密钥所要用的随机数。此外,Fraunhofer的研究人员还发现了TrueCrypt在取随机数的方式上存在漏洞。

Bodden教授说道:

“从理论上来讲,生成随机数的漏洞可以让黑客更容易取得加密数据时的密钥,从而对数据进行解密。因此,为了安全本应该建议大家用已经修复过漏洞的TrueCrypt版本,对数据进行重新加密。”

不幸的是,在18个月前TrueCrypt软件开发的突然停止,官方可能再也没有机会对它进行修复了。某些匿名的开发人员透露,这个项目大家应该慎重使用了。

Bodden教授表示:

“在四月份的安全审计中,曾经发现了部分缓冲区溢出漏洞。然而Fraunhofer的研究人员经过尝试发现,在TrueCrypt正在运行时这些漏洞其实是利用不了的。”

TrueCrypt的问题总结

总而言之,TrueCrypt大部分的代码其实是没有问题的。此前发现的漏洞,对于TrueCrypt数据存储加密这个主要功能而言,并没有太大的影响,类似的问题可能也会发生在其他加密软件上。在这点,它并不比其他的替代品好或者差。不过它的代码质量确实是有提升空间的,部分地方也许重构会更好,文档设计说明有待改进。但是,这款软件确实做到了它设计之初所要做到的一切。

TrueCrypt原软件设计者,曾根据威胁模型写出了相应的说明文档,他表示TrueCrypt是不能在正在运行的系统里妥善保存数据的,这与我们的研究结果相符。而如果使用智能卡或者其他硬件作为Key进行存储加密的话,应该是没人可以绕过的,这样能够更好的保护你的秘密。这样的加密系统也可能由其他方式攻陷,但明显相对来讲是更加优秀的。

所以使用TrueCrypt的用户们可以继续放心地使用这款软件,直到VeraCrypt或者另一款TrueCrypt的替代品的产生。虽然现在TrueCrypt没了更新来源,但是现在必须马上更换TrueCrypt的传言显然是胡扯。Fraunhofer的研究人员表示,至少在一段时期内,大家可以继续耐心等待下一个合适的加密产品。

*参考来源:AR,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关推荐
发表评论

已有 4 条评论

取消
Loading...
dawner

黎明已经过去,黑暗就在眼前!

289 文章数 421 评论数 4 关注者

文章目录

    特别推荐

    推荐关注

    官方公众号

    聚焦企业安全

    填写个人信息

    姓名
    电话
    邮箱
    公司
    行业
    职位
    css.php