TrueCrypt是一款免费开源的加密软件,同时支持Windows Vista,7/XP, Mac OS X, Linux 等操作系统。TrueCrypt不需要生成任何文件即可在硬盘上建立虚拟磁盘,用户可以按照盘符进行访问,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。
2014年1月,安全组织iSEC宣布启动TrueCrypt代码审计项目,将重点审计TrueCrypt以下几个部分:Windows内核代码、引导程序、文件系统驱动程序等
在2014年4月中旬的时候,iSEC公布了加密软件TrueCrypt第一阶段的安全审计报告,初步分析显示TrueCrypt没有发现含有后门或其它故意加入的恶意代码的证据。TrueCrypt是流行的加密软件,但从未进行过安全审计,在NSA大规模监控活动曝光之后安全研究人员发起了对 TrueCrypt的完整安全审计,iSEC负责此次审计。研究人员在代码中发现了一些小的漏洞——例如TrueCrypt使用的迭代次数是1000或 2000,不足以保护密码抵抗暴力破解攻击——但没有一个大到足以称之为后门。第一阶段的安全评估重点是TrueCrypt 引导程序和Windows内核驱动等。第二阶段的安全审计将调查TrueCrypt加密套件、随机数生成器和关键密钥算法是否正确实现。
报告中声明没有完成高危的安全问题,也没有发现任何后门和恶意代码。并提到了TrueCrypt虽然编程风格不是最高雅的,但是这样也不影响大局。
报告查看地址 https://opencryptoaudit.org/report
成长值: 48690
发表于 2014-4-26 00:17
