我已经使用 TrueCrypt 很长时间了。然而,有人告诉我描述许可证问题的链接。
我不是律师,所以这对我来说真的没有多大意义;然而,我希望我的加密软件是开源的——不是因为我可以侵入它,而是因为我可以信任它。
我注意到它的一些问题:
- 源代码没有 VCS。
- 没有变更日志。
- 论坛是个糟糕的地方。即使你问了一个真诚的问题,他们也会封禁你。
- TrueCrypt 的真正所有者是谁?
- 有报告称 MD5 校验和被篡改。
说实话,我使用 TrueCrypt 的唯一原因是它是开源的。但是,有些事情就是不对劲。
有人验证过 TrueCrypt 的安全性吗?我真的应该担心吗?是的,我很偏执;如果我使用加密软件,我会一生都信任它。
如果我的所有担心都是真实的,那么还有其他 TrueCrypt 的开源替代品吗?
答案1
我将逐一介绍本文的内容:
没有人知道谁编写了 TrueCrypt。没有人知道谁维护 TC。
后面有一段引文说,该商标由居住在捷克共和国的 Tesarik 持有。可以相当肯定地认为,拥有该商标的人将维护该产品。
TC 论坛的版主禁止提问的用户。
有任何证据吗?还是只是传闻?我所说的证据是指第一人称证据、屏幕截图等。
TC 声称基于大众加密 (E4M)。他们还声称是开源的,但不维护公共 CVS/SVN 存储库
源代码控制当然是小组编程项目的重要组成部分,但是它的缺失并不会降低该项目的可信度。
并且不发布变更日志。
是的。http://www.truecrypt.org/docs/?s=version-history。并非所有 OSS 都会发布非常清晰的变更日志,因为有时这实在是太耗时间了。
他们禁止论坛上索要变更日志或旧源代码的人。
因为这是一个愚蠢的问题,考虑到有一个变更日志并且旧版本已经可用。http://www.truecrypt.org/downloads2
他们还会默默地更改二进制文件(md5 哈希值更改),没有任何解释......零。
这是哪个版本的?还有其他证据吗?可以下载、签名的旧版本吗?
该商标由捷克共和国的一名男子持有((注册人)Tesarik,David 个人捷克共和国 Taussigova 1170/5 Praha 捷克共和国 18200。)
那又怎么样?捷克共和国有人拥有一项重要加密技术的商标。这有什么关系呢?
域名通过代理进行私人注册。有些人声称它有后门。
谁?在哪里?什么?
谁知道?这些人说他们可以找到 TC 卷: http://16systems.com/TCHunt/index.html
呃,屏幕截图中的 TC 卷都以 END WITH 结尾.tc。
有人在“联系”页面上看到过这张图片吗?
答案2
阅读这些文章,FBI 未能解密 5 个受 truecrypt 保护的硬盘
http://www.net-security.org/secworld.php?id=9506
http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html
答案3
我认为 TrueCrypt 可能是由 NSA、CIA 或某个大型联邦机构提供的,目的是推广他们有后门的加密技术,以减少他们无法破解的其他加密技术的使用。这就是他们对其保密的原因,也是为什么它是一款如此精致的产品,具有良好的文档,尽管它既不是商业产品,也没有开源开发人员的广泛参与。
请参阅此文档,其中解释了政府的目标是鼓励广泛使用他们可以恢复密钥的加密: http://www.justice.gov/criminal/cybercrime/cryptfaq.htm
实际上,政府鼓励设计、生产和使用能够恢复加密数据明文的加密产品和服务,包括开发明文恢复系统,通过各种技术手段,让数据所有者或执法机构依法及时获取明文。只有广泛使用这样的系统,才能更好地保护数据,保障公共安全。
....
该部门的目标——以及政府的政策——是促进强加密技术的开发和使用,以增强通信和存储数据的隐私,同时保留执法部门在合法授权的搜查或监视中获取证据的能力。
...
在这方面,我们希望提供恢复系统的高可靠性加密将减少对其他类型加密的需求,并增加犯罪分子使用可恢复加密的可能性。
答案4
我认为每个人都忽略的一点是,如果有人考虑使用 Truecrypt,那么这个人必须 100% 确定它是安全的,如果不是,他们的生命可能会受到威胁,它不是 Flash Player 或 iPhone 的 Fart 应用程序,它是一种应用程序,如果它失败,可能意味着有人会因为发现的信息而丧命。
如果对 Truecrypt 的完整性存在疑问,为什么要使用该应用程序?
顺便说一句,关于 Truecrypt 或任何东西的任何问题都不是愚蠢的问题。