Проприетарное и открытое программное обеспечение для шифрования / безопасности

Я только что поспорил с коллегами о полезности шифрования диска Microsoft BitLocker для защиты данных от представителей государства (ФБР и т. Д.). Они были убеждены, что поставщики проприетарного программного обеспечения имеют в своих алгоритмах бэкдоры, которые могут использоваться в серьезных случаях, например, при подозрении на терроризм и т. Д.

Альтернатива, конечно, TrueCrypt, потому что теоретически код является открытым и может быть рассмотрен общественности. На практике, хотя я знаю язык программирования, у меня недостаточно знаний об алгоритме, чтобы определить возможный бэкдор или функцию, которая может дать преимущество преднамеренной криптографической атаке. Кто-нибудь знает, был ли код проверен заслуживающей доверия третьей стороной? И если да, то как устанавливается их достоверность?

Итак, чтобы перейти к общим вопросам:

  1. Как может компания, которая действительно хочет сохранить свои файлы в тайне, принять решение о своем криптографическом решении? Они не могут быть на 100% уверены, что BitLocker безопасен, не так ли? Однако смогут ли они на практике убедиться, что TrueCrypt работает?

  2. Как бы вы оценили вероятность того, что Microsoft и аналогичные компании будут работать с правительственными учреждениями и дать им преимущество в том, что они нарушат свою безопасность, чтобы не взломать тысячи лет (это то, сколько должен занять BitLocker)?

Источник

5 ответов

Решение

Microsoft в значительной степени заявила, что в Bitlocker нет бэкдора, и я не думаю, что это в их интересах, поскольку негативная реакция будет огромной.

Утечка средств Microsoft COFFEE в основном объединяет множество методов, уже известных индустрии безопасности, в простой в использовании продукт для правоохранительных органов, но нигде нет взлома / бэкдора для Bitlocker.

Я не говорю, что его не существует, но я нахожу это крайне маловероятным.

Ничто не мешает вам использовать диск Bitlocker и затем иметь зашифрованный файл Truecrypt внутри!

Я думаю, что наиболее вероятный способ такого шифрования будет взломан с помощью чистой грубой силы с помощью суперкомпьютера.

Источник

Чтобы ответить на ваш первый вопрос, компания может:

  • Создать собственную систему шифрования (очень сложно)
  • Наймите консультанта или доверенного / юридически ответственного третьего лица для просмотра общедоступного кода
  • Зарегистрируйтесь в программе Microsoft SharedSource и просмотрите код Microsoft
  • Используйте несколько уровней шифрования (например, Bitlocker и Truecrypt вместе)

Я оставляю ответ на второй вопрос кому-то более осведомленному о BitLocker.

Источник

Я считаю крайне маловероятным, что у Битлокера есть черный ход. Принимая во внимание то, как пристально следит за Microsoft, существует множество замечательных программистов, способных вынюхивать попытки Microsoft зайти в черный ход. Кроме того, есть много известных клиентов, которые покидают Microsoft.

Это звучит как плохой бизнес-план.

Источник

1) Если кто-то хочет криптографию, он не ищет инструмент с закрытым исходным кодом с неизвестным кодом. По какой причине трастовая компания продает вам программу без кода?

2) Не стоит винить в этом Microsoft. Вы можете упростить вопрос: если компания x будет вынуждена законом или секретной службой внедрять бэкдоры, будет ли она их реализовывать или нет?

Вас может заинтересовать литература Брюса Шнайера на эту тему для дальнейшего чтения. Да, на Truecrypt были проверки. Однако доверенное программное обеспечение не очень помогает, если вы не можете доверять своему оборудованию.

Источник

Вот некоторые общие препятствия для шифрования.

  1. Плохое программирование приводит к переполнению буфера, внедрению кода и т. Д.
  2. Аппаратные ошибки, такие как Spectre, допускают утечку ключей безопасности
  3. Слабые пароли
  4. Пользователь или ошибка пользователя

Это как раз в 2-28-19 ThunderClap подвиг молнии, который позволяет прямой доступ к памяти. Обнаружен еще один способ получить ключ шифрования в памяти.

Как может компания, которая действительно хочет сохранить свои файлы в тайне, принять решение о своем криптографическом решении? Они не могут быть на 100% уверены, что BitLocker безопасен, не так ли? Однако смогут ли они на практике убедиться, что TrueCrypt работает?

TrueCrypt не является безопасным VeraCrypt - это клон TrueCrypt, который исправляется и поддерживается. Google "Веракрипт Аудит"

Двойной, тройной и т. Д. Уровни шифрования.

Убедиться, что каждый аспект вашего ПК является актуальным. BIOS,Intel ME, прошивка, операционная система, все программное обеспечение на указанной ОС и т. Д.

https://ostif.org/the-veracrypt-audit-results/

В StackExchange есть тема безопасности / группа / и т. Д., Где пользователи могут изложить более мелкие детали.

Для компаний с "Active Directory" ключ восстановления битлокера может храниться в AD. Тогда любой ИТ-специалист, имеющий доступ, может использовать указанный ключ восстановления для расшифровки любого устройства, зашифрованного в нашей сети. Эта функция была включена нашей компанией, потому что пользователь является самой слабой ссылкой! Многие забывают пароль и нуждаются в ИТ для предоставления ключа восстановления.

Источник
Другие вопросы по тегам