Proprietäre Software gegen Open-Source-Verschlüsselung / Sicherheit

1

Ich hatte gerade einen Streit mit Kollegen über die Nützlichkeit von Microsoft BitLocker Laufwerksverschlüsselung, um Vertreter des Staates (FBI usw.) von Daten fernzuhalten. Sie waren überzeugt, dass Anbieter von proprietärer Software Hintertüren in ihren Algorithmen haben, die in schweren Fällen verwendet werden können, d. H. Bei Verdacht auf Terrorismus usw.

Die Alternative ist natürlich TrueCrypt weil der Code theoretisch offen ist und von der Öffentlichkeit überprüft werden kann. Obwohl ich die Programmiersprache kenne, habe ich in der Praxis nicht genügend Kenntnisse des Algorithmus, um eine mögliche Hintertür oder ein Merkmal erkennen zu können, das einem absichtlichen kryptografischen Angriff einen Vorteil verschaffen könnte. Weiß jemand, ob der Code von einer vertrauenswürdigen dritten Partei überprüft wurde? Und wenn ja, wie wird ihre Vertrauenswürdigkeit festgestellt?

Um zu den allgemeinen Fragen zu kommen:

  1. Wie würde sich ein Unternehmen, das seine Dateien wirklich geheim halten möchte, für seine kryptographische Lösung entscheiden? Sie können nicht zu 100% sicher sein, dass BitLocker sicher ist. Würden sie in der Praxis jedoch sicherstellen, dass TrueCrypt ist?

  2. Wie schätzen Sie die Chance ein, dass Microsoft und ähnliche Unternehmen mit Regierungsbehörden zusammenarbeiten, und ihnen einen Vorteil verschaffen, wenn sie ihre Sicherheit brechen, so dass es nicht Tausende von Jahren dauert, bis sie kaputt gehen können (wie lang sollte BitLocker sein)?

security open-source truecrypt bitlocker proprietary Felix Dombek
quelle
3
"Ich kenne die Programmiersprache, ich habe nicht genug Kenntnisse über den Algorithmus, um eine mögliche Hintertür oder eine Funktion erkennen zu können, die einem absichtlichen kryptografischen Angriff von Vorteil sein könnte." Kein Problem, denn es gibt wahrscheinlich Hunderte von Menschen auf der ganzen Welt, die dieses Wissen für Sie tun.
Linker3000
3
Hast du schon vom "Underhanded C Contest" gehört? Bei einer absichtlichen Fälschung gibt es keine Garantie, dass jemand sie erkennen würde.
Felix Dombek

Antworten:

5

Microsoft hat ziemlich genau erklärt, dass es in Bitlocker keine Hintertür gibt, und ich denke nicht, dass dies in ihrem besten Interesse ist, da die Rückwirkung enorm sein würde.

Das Leck der Microsoft COFFEE-Tools enthält im Wesentlichen eine Vielzahl von Methoden, die der Sicherheitsbranche bereits bekannt sind, und zwar in einem einfach zu verwendenden Produkt für die Strafverfolgung, aber keine Stelle für Hacklocker.

Ich sage nicht, dass es nicht existiert, aber ich finde es höchst unwahrscheinlich.

Es gibt nichts, was Sie davon abhält, ein Bitlocker-Laufwerk zu verwenden und dann eine Truecrypt-verschlüsselte Datei darin zu haben!

Ich denke, die wahrscheinlichste Art der Verschlüsselung ist die reine Brachialisierung durch Supercomputer-Power.

William Hilsum
quelle
4

Um Ihre erste Frage zu beantworten, könnte das Unternehmen:

  • Erstellen Sie ein eigenes Verschlüsselungssystem (sehr schwierig)
  • Beauftragen Sie einen Berater oder einen vertrauenswürdigen / rechtlich haftenden Dritten, um öffentlich verfügbaren Code zu überprüfen
  • Melden Sie sich für das SharedSource-Programm von Microsoft an, und überprüfen Sie den Code von Microsoft
  • Mehrere Verschlüsselungsebenen verwenden (z. B. Bitlocker und Truecrypt zusammen)

Ich überlasse die Beantwortung der zweiten Frage jemandem, der sich mit BitLocker auskennt.

LawrenceC
quelle
1

Ich finde es sehr unwahrscheinlich, dass es eine Hintertür zu Bitlocker gibt. Wenn man bedenkt, wie viel Kontrolle Microsoft immer unter Kontrolle hat, gibt es viele großartige Programmierer, die in der Lage sind, Microsofts Versuche einer Hintertür auszuloten. Darüber hinaus gibt es viele hochkarätige Clients, die Microsoft verlassen würden.

Es klingt einfach nach einem insgesamt schlechten Geschäftsplan.

surfasb
quelle
4
Microsoft ist auch eine US-amerikanische Firma mit vielen Regierungsaufträgen - es würde sehr schwierig sein, eine Anfrage für einen speziellen Zugriff abzulehnen.
Martin Beckett