暗号化ソフトTrueCryptの脆弱性についてです。

TrueCryptに脆弱性が見つかったそうですが、その脆弱性は、解読ソフトがあれば誰でも数分で解読できる、WifiのWEPのようなレベルなのでしょうか?
それとも、数学的に脆弱性が見つかったがまだ応用段階に至っていないとか、そういうレベルなのでしょうか?
また、Windows付属のBitLocker等に移行する必要があるでしょうか?

よろしくお願いします。

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2015/08/28 12:28:06
  • 終了:2015/08/29 16:01:27

ベストアンサー

id:JULY No.1

JULY回答回数966ベストアンサー獲得回数2472015/08/28 15:38:42

監査チームの監査結果が出ています。
A Few Thoughts on Cryptographic Engineering: Truecrypt report
上記ページを斜め読みした感じだと、

  • 開発終了が宣言された時に疑われていた、バックドアは見つからなかった。
  • 2つほど、大きめの脆弱性があり、
    • Windows の Crypto API を使って乱数を生成する時に、ものすごく希に初期化に失敗する事があるけど、その際のエラー処理に問題がある。但し、ものすごく稀。
    • キャシュタイミング攻撃が可能。暗号化、復号処理をやっている最中に、攻撃者がその様子を監視するようなことができなければ大丈夫。

といった感じ。WEP の脆弱性に比べると遥かに安全ですね。

と書いていたら、実際のレポートを読んだ人のページがありました。
TrueCryptのレビューレポートを読んでみた - tosi29の日記

それとも、数学的に脆弱性が見つかったがまだ応用段階に至っていないとか、そういうレベルなのでしょうか?

少なくとも、数学的にどうこう、というレベルの話は無いです。あくまでも、ソフトウェアの実装上の問題、という話です。

また、Windows付属のBitLocker等に移行する必要があるでしょうか?

もし、Windows のみでの利用で、かつ BitLocker が使えるのであれば、その方が「開発が終了したソフトウェアを使う」よりベターです。

Windows 以外の OS とのやりとりが発生するのであれば、TrueCrypt から派生したソフトウェア使う、という選択肢はあると思いますが、派生ソフトウェアの中で、どれが安心して使えるのかを見極める必要があると思います。

id:crazycrescent

今すぐ移行しなくてはならないわけではない、というところでしょうか

時期を見てBitLockerに移行しようかと思います。
ありがとうございました

2015/08/29 16:01:20

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません