Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
TrueCrypt không chứa backdoor theo dõi người dùng
Việc kiểm tra an ninh phần mềm mã hóa ổ đĩa TrueCrypt vừa được các chuyên gia của NCC (hãng kiểm tra an ninh mạng có trụ sở tại Anh) hoàn thành. Kết quả không có bằng chứng cho thấy tồn tại lỗ hổng nghiêm trọng hoặc backdoor trong code phần mềm.
TrueCrypt là một trong những phần mềm mã hóa file nguồn mở phổ biến nhất trên thế giới với hàng triệu người dùng để đảm bảo an ninh và riêng tư. Phần mềm đã được các chuyên gia tiến hành kiểm tra trong 2 năm nay kể từ khi Edward Snowden - cựu nhân viên tình báo NSA tiết lộ chứa backdoor theo dõi người dùng.
Chương trình mã hóa nguồn mở TrueCrypt đa nền tảng, dùng cho thiết bị Windows, OS X và Linux, và có thể được sử dụng để mã hóa các tập tin cá nhân hoặc mã hóa toàn bộ ổ đĩa bao gồm cả ổ đĩa hệ thống.
Không chứa backdoor của NSA
Các chuyên gia NCC đã công bố thông tin về việc kiểm tra TrueCrypt trước các mối lo ngại về việc phần mềm chứa backdoor như thông tin tiết lộ của Edward Snowden.
Đợt kiểm tra đầu tiên của NCC liên quan tới các bản thiết kế phần mềm và tình trạng hoạt động của TrueCrypt được hoàn thành gần 1 năm trước. Kết quả cho thấy, có 11 vấn đề nguy cơ ở mức nguy hiểm trung bình và thấp.
Hiện tại, các chuyên gia vừa hoàn thành và công bố bản báo cáo dài 21 trang về đợt kiểm tra thứ 2 liên quan đến việc thực hiện sinh số ngẫu nhiên và thuật toán khóa quan trọng, và các đường truyền mã hóa của TrueCrypt.
Phát hiện 4 lỗ hổng
Trong báo cáo, các chuyên gia phát hiện 4 lỗ hổng trong phiên bản mới nhất của phần mềm. Tuy nhiên, không có lỗ hổng nào trong số này cho phép qua mặt an ninh phần mềm hay sử dụng các đầu vào đã được thay đổi để phá hủy TrueCrypt. Các lỗ hổng bao gồm:
Trộn keyfile không là mã hóa - Mức nguy hiểm thấp
Mã hóa không hợp pháp trong các tiêu đề khối lượng ổ - Chưa xác định
CryptAccquireContext có thể ngầm không hoạt động trong những ngữ cảnh bất thường - Mức độ nguy hiểm cao
Thực thi AES dễ bị tấn công cache timing - Mức nguy hiểm cao
TrueCrypt là một trong những phần mềm mã hóa file nguồn mở phổ biến nhất trên thế giới với hàng triệu người dùng để đảm bảo an ninh và riêng tư. Phần mềm đã được các chuyên gia tiến hành kiểm tra trong 2 năm nay kể từ khi Edward Snowden - cựu nhân viên tình báo NSA tiết lộ chứa backdoor theo dõi người dùng.
Chương trình mã hóa nguồn mở TrueCrypt đa nền tảng, dùng cho thiết bị Windows, OS X và Linux, và có thể được sử dụng để mã hóa các tập tin cá nhân hoặc mã hóa toàn bộ ổ đĩa bao gồm cả ổ đĩa hệ thống.
Không chứa backdoor của NSA
Các chuyên gia NCC đã công bố thông tin về việc kiểm tra TrueCrypt trước các mối lo ngại về việc phần mềm chứa backdoor như thông tin tiết lộ của Edward Snowden.
Đợt kiểm tra đầu tiên của NCC liên quan tới các bản thiết kế phần mềm và tình trạng hoạt động của TrueCrypt được hoàn thành gần 1 năm trước. Kết quả cho thấy, có 11 vấn đề nguy cơ ở mức nguy hiểm trung bình và thấp.
Hiện tại, các chuyên gia vừa hoàn thành và công bố bản báo cáo dài 21 trang về đợt kiểm tra thứ 2 liên quan đến việc thực hiện sinh số ngẫu nhiên và thuật toán khóa quan trọng, và các đường truyền mã hóa của TrueCrypt.
Phát hiện 4 lỗ hổng
Trong báo cáo, các chuyên gia phát hiện 4 lỗ hổng trong phiên bản mới nhất của phần mềm. Tuy nhiên, không có lỗ hổng nào trong số này cho phép qua mặt an ninh phần mềm hay sử dụng các đầu vào đã được thay đổi để phá hủy TrueCrypt. Các lỗ hổng bao gồm:
Trộn keyfile không là mã hóa - Mức nguy hiểm thấp
Mã hóa không hợp pháp trong các tiêu đề khối lượng ổ - Chưa xác định
CryptAccquireContext có thể ngầm không hoạt động trong những ngữ cảnh bất thường - Mức độ nguy hiểm cao
Thực thi AES dễ bị tấn công cache timing - Mức nguy hiểm cao
Nguồn: The Hacker News