TrueCrypt 真的安全吗？

Question

我已经使用 TrueCrypt 很长时间了。但是，有人向我指出了一个描述许可证问题的链接。

IANAL 所以这对我来说真的没有多大意义；然而，我希望我的加密软件是开源的——不是因为我可以侵入它，而是因为我可以信任它。

我注意到它的一些问题：

• 源代码没有 VCS。
• 没有更改日志。
• 论坛是一个糟糕的地方。即使您提出真正的问题，他们也会禁止您。
• 谁真正拥有 TrueCrypt？
• 有一些关于修改 MD5 校验和的报告。

老实说，我使用 TrueCrypt 的唯一原因是因为它是开源的。但是，有些事情就是不对的。

有没有人验证过 TrueCrypt 的安全性？我真的应该担心吗？是的，我是偏执狂；如果我使用加密软件，我会终生信赖它。

如果我所有的担忧都是真实的，那么 TrueCrypt 是否还有其他开源替代品？

Answer 1

我将逐点浏览这篇文章：

没有人知道谁写了 TrueCrypt。没有人知道谁在维护 TC。

紧接着有一句话说该商标由居住在捷克共和国的 Tesarik 持有。可以很安全地假设拥有商标的人维护该产品。

TC 论坛的版主禁止提问的用户。

有没有证据证明这一点，还是只是轶事？我所说的证明是指第一人称证明、屏幕截图等。

TC 声称基于大众加密 (E4M)。他们还声称是开源的，但不维护公共 CVS/SVN 存储库

源代码控制当然是组编程项目的重要组成部分，但它的缺失当然不会降低该项目的可信度。

并且不发布更改日志。

是的，他们这样做。http://www.truecrypt.org/docs/?s=version-history。并非所有 OSS 都会发布非常清晰的更改日志，因为有时时间太长了。

他们禁止论坛上要求更改日志或旧源代码的人。

因为这是一个愚蠢的问题，考虑到有一个更改日志并且旧版本已经可用。http://www.truecrypt.org/downloads2

他们还默默地更改二进制文件（md5 哈希更改），没有任何解释......零。

这是什么版本？有其他证据吗？可下载、已签名的旧版本？

该商标由捷克共和国的一名男子持有（（注册人）Tesarik, David INDIVIDUAL CZECH REPUBLIC Taussigova 1170/5 Praha CZECH REPUBLIC 18200。）

所以呢？捷克共和国的某人拥有一项主要加密技术的商标。为什么这有关系？

域名是通过代理注册的。有些人声称它有一个后门。

WHO？在哪里？什么？

谁知道？这些人说他们可以找到 TC 卷：http : //16systems.com/TCHunt/index.html

呃，截图中的 TC 卷都是 END WITH .tc。

有人在联系页面上看到过这张图片吗？

Answer 2

阅读这些文章，FBI 未能解密 5 个受 truecrypt 保护的硬盘

http://www.net-security.org/secworld.php?id=9506

http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html

Answer 3

我相信 TrueCrypt 可能是由 NSA、CIA 或那些大型联邦机构之一提供的，目的是为了推广他们有后门的加密，以减少他们无法破解的其他加密的使用。这就是他们对其保密的原因，这也是为什么尽管它既不是商业产品，也没有开源开发人员的广泛参与，它也是如此精心打磨的产品，并具有良好的文档。

请参阅此文件，其中解释了政府的目标是鼓励广泛使用加密，以便他们可以恢复密钥：http : //www.justice.gov/criminal/cybercrime/cryptfaq.htm

实际上，政府鼓励设计、制造和使用允许恢复加密数据明文的加密产品和服务，包括开发明文恢复系统，允许通过各种技术方法及时访问明文数据所有者或根据合法授权行事的执法机关。只有广泛使用此类系统，才能更好地保护数据并保护公共安全。

....

该部门的目标——以及政府的政策——是促进强加密的开发和使用，以增强通信和存储数据的隐私，同时保持执法部门目前获取证据的能力，作为合法授权搜查或监视。

...

在这方面，我们希望提供恢复系统的高度可靠的加密的可用性将减少对其他类型加密的需求，并增加犯罪分子使用可恢复加密的可能性。