私は最近誰かと話していて、特定の当局が持っている「マスターキー」パスワードを持っているTrueCryptに沿って何かを言った。
さて、TrueCryptがどのように機能するかについて私が知っていることから、それは不可能ではありませんか?
またはそれは可能/もっともらしいですか?
バックドアが存在する可能性があります。これを実現する簡単な方法は、パスフレーズを公開鍵で暗号化し、ハードディスクのデータ部分とともにどこかに保存することです。これにより、一致する秘密鍵でパスフレーズを復元できます。
ただし、TrueCryptはオープンソースであり、ピアレビューが可能です。
TrueCrypt FAQから
パスワードを忘れました– TrueCryptボリュームからファイルを復元する方法(「バックドア」)はありますか?
ソフトウェアの目的に反するため、TrueCryptには「バックドア」を実装していません(政府機関から要求されても実装しません)。 TrueCryptは、正しいパスワードまたはキーを知らない限り、データの復号化を許可しません。選択したパスワードまたはTrueCryptを使用して生成したキーがわからないため、データを回復できません。ファイルを回復する唯一の方法は、パスワードまたはキーを「解読」することですが、パスワードまたはキーファイルの長さと品質、ソフトウェア/ハードウェアのパフォーマンス、アルゴリズムに応じて、数千または数百万年かかる場合があります、およびその他の要因)。これが信じ難い場合は、FBIでさえ1年の試行後にTrueCryptボリュームを復号化できなかったという事実を考慮してください。
この:
TrueCryptがオープンソースなのはなぜですか?利点は何ですか?
TrueCryptのソースコードは公開されているため、独立した研究者は、ソースコードにセキュリティ上の欠陥や秘密の「バックドア」が含まれていないことを確認できます。ソースコードが利用できない場合、レビュー担当者は実行可能ファイルをリバースエンジニアリングする必要があります。ただし、このようなリバースエンジニアリングされたコードの分析と理解は非常に難しいため、実行することは事実上不可能です(特に、コードがTrueCryptコードと同じ大きさの場合)。
備考:同様の問題が暗号化ハードウェアにも影響します(たとえば、自己暗号化ストレージデバイス)。セキュリティ上の欠陥や秘密の「バックドア」が含まれていないことを確認するためにリバースエンジニアリングすることは非常に困難です。
TrueCryptが大きなハニーポットにすぎないという興味深いディスカッションも見つかりました: https://groups.google.com/d/topic/alt.computer.security/LlbvEfGlnwE/discussion