web-dev-qa-db-ja.com

暗号化ソフトウェアは信頼できますか?

暗号化ソフトウェアをダウンロードして使用している場合、e。 g。 VeracryptまたはDiskcryptor、このソフトウェアが偽物ではないかどうかをどうやって知るのですか?バックドアまたはその他のセキュリティホール?そのようなプログラムが雨の日曜日の午後にニトウィットによってコーディングされていないと仮定すると、人的資源が必要ですが、それらは無料です!オープンソースであっても、ほとんどのユーザーはコードをチェックする知識も時間もありません。正しい軌道に乗ることを確実にするためのあなたの方法は何ですか?アドバイスや提案をありがとうございました!

1
Joe

ソフトウェアが人気があり、セキュリティ関連でオープンソース(Veracryptなど)の場合、ソフトウェアを監査して脆弱性を報告する人がよくいます。 VeraCryptはTrueCrypt7.1に基づいており、 しばらく前に包括的な監査を受けました 。多くのオープンソースプロジェクトには、既知のバグが報告されている公開バグトラッカーもあります。

ただし、信頼できないミラーからプログラムのコピーをダウンロードすると、元のsourcedcodeからコンパイルされているかどうかを確認できません。そのため、多くのプロジェクトでは、ミラーによって提供されるファイルが公式ビルドと同一であることを確認するために、暗号化チェックサムまたはPGP署名を公開しています。たとえば、 VeraCryptからのダウンロードサイト を見ると、ダウンロードごとに公開PGP鍵とPGP署名があることがわかります。 GnuPG を使用して、これらのファイルを確認できます。

しかし、ソフトウェアのソースコードが利用できない場合、脆弱性がないことを証明するものはすべて(意図的かどうかにかかわらず)次の言葉です。開発者(そしておそらくレビューのためにソースコードを提供したサードパーティの開発者)。そのため、一部のセキュリティ専門家はクローズドソースのセキュリティ製品の使用を推奨していません。

5
Philipp

あなたはソフトウェアを信頼しません、あなたは人々を信頼します。どのシステムを使用していますか?ウィンドウズ?したがって、Microsoftが必要な場合は、PCを簡単に制御できます。たぶん彼らはまだシステムに直接のバックドアを持っていませんが、それはあなたがインストールするであろう「セキュリティアップデート」の問題です。

携帯電話はありますか?アンドロイド?その後、Googleはあなたの携帯電話で同じことをすることができます。 Linuxを使用していますか? Ubuntu? Canonicalはあなたが信頼しなければならない会社です。 Debianでは、Debianを気にする人々の協会を信頼する必要があります。

Vearacryptを維持している人々を信頼しますか?あなたは彼らのページからVeracryptをダウンロードすることができます、あなたは当局によって署名されたSSL証明書をチェックすることができます。したがって、さらに、権限を信頼する必要があります。

ソースコードをダウンロードできます。ええと、バイナリよりもソースコードをチェックする方がはるかに簡単です。ただし、数千行のコードがあり、適切にチェックするには何年もかかります。そして、コードをチェックしても、コンパイラーをチェックしましたか?また、ディスクをマウントするときは、システム(Windows)が暗号化キーにアクセスできる必要があります。そして、CPU(Intel製)はどうですか?確認しましたか?

あなたができる唯一のことはあなたが信頼しなければならない主題の数を減らすことができるということです。たとえば、Apple製の製品のみを使用できます。あなたの人生はAppleの手に委ねられますが、重要なのはそれがAppleの手にのみあるということです...私はそれをお勧めしません:-)。

0
smrt28