ट्रूक्रिप्ट
| File:TrueCrypt on windows vista.png विंडोज़ पर ट्रूक्रिप्ट (स्थगित) | |
| Developer(s) | ट्रूक्रिप्ट फाउंडेशन |
|---|---|
| Initial release | February 2004[1] |
| Stable release | 7.2
/ May 28, 2014[2] (Discontinued) |
| Written in | C, C++, Assembly[3] |
| Operating system | Windows, macOS, Linux,[3] MorphOS[4] |
| Size | 3.30 MB |
| Available in | 38 languages[5] |
List of languages अंग्रेज़ी, अरबी, बास्क, बेलारूसियाई, बुल्गारियाई, बर्मी, कैटलन, चीनी (सरलीकृत), चीनी (हांगकांग), चीनी (ताइवान), चेक, डेनिश, डच, एस्टोनियाई, फिनिश, फ्रेंच, जॉर्जियाई, जर्मन, यूनानी, हंगेरियाई, इंडोनेशियाई, इतालवी, जापानी, कोरियाई, लातवियाई, नार्वेजियाई (नायनॉर्स्क), फारसी, पोलिश, पुर्तगाली (ब्राज़िल), रूसी, स्लोवाक, स्लोवेनियाई, स्पेनिश, स्वीडिश, तुर्की, यूक्रेनियाई, उज़्बेक (सिरिलिक), वियतनामी। | |
| Type | डिस्क एन्क्रिप्शन सॉफ्टवेयर |
| License | TrueCrypt License 3.1 (source-available freeware) |
ट्रूक्रिप्ट एक स्थगित सोर्स-अवेलेबल फ्रीवेयर यूटिलिटी है जिसका उपयोग ऑन-द-फ्लाई एन्क्रिप्शन (ओटीएफई) के लिए किया जाता है। यह किसी फ़ाइल के अन्तर्गत एक वर्चुअल एन्क्रिप्टेड डिस्क बना सकता है, या किसी पार्टीशन या संपूर्ण स्टोरेज डिवाइस (प्री-बूट ऑथेंटिकेशन) को एन्क्रिप्ट कर सकता है।
28 मई 2014 को, ट्रूक्रिप्ट वेबसाइट ने घोषणा की कि परियोजना का अब निर्वाह नहीं किया जाएगा और उपयोगकर्ताओं को वैकल्पिक समाधान खोजने की संस्तुति दी गई। हालांकि ट्रूक्रिप्ट का विकास समाप्त हो गया है, ट्रूक्रिप्ट के एक निष्पक्ष अंकेक्षण (ऑडिट) (मार्च 2015 में प्रकाशित) ने निष्कर्ष निकाला है कि कोई महत्वपूर्ण त्रुटि विद्यमान नहीं हैं।[6] ट्रूक्रिप्ट से दो प्रोजेक्ट, वेराक्रिप्ट (सक्रिय) और सिफरशेड[7] (परित्यक्त), द्विशाखित किए गए।
इतिहास
ट्रूक्रिप्ट को प्रारंभिक स्थिति में ई4एम (जनसमूह के लिए एन्क्रिप्शन) पर आधारित संस्करण 1.0 के रूप में फरवरी 2004 में प्रकाशित किया गया था। तब से कई संस्करण और कई अतिरिक्त लघु संस्करण प्रकाशित किए गए हैं, जिनमें से सबसे वर्तमान संस्करण 7.1a है।[1]
ई4एम और सिक्योरस्टार संशय
ट्रूक्रिप्ट का मूल प्रकाशन "द ट्रूक्रिप्ट टीम" नामक गुमनाम डेवलपर्स द्वारा की गई थी।[8] 2004 में संस्करण 1.0 प्रकाशित होने के कुछ ही समय पश्चात, ट्रूक्रिप्ट टीम ने कंप्यूटर सुरक्षा कंपनी सिक्योरस्टार के प्रबंधक विल्फ्रेड हाफनर से ईमेल प्राप्त करने की सूचना दी।[9] ट्रूक्रिप्ट टीम के अनुसार, हाफनर ने ईमेल में दावा किया कि ई4एम के स्वीकृत लेखक, डेवलपर पॉल ले रॉक्स ने एक कर्मचारी के रूप में सिक्योरस्टार से सोर्स कोड चुराया था।[9] आगे यह कहा गया कि ले रॉक्स ने अवैध रूप से ई4एम वितरित किया, और किसी को भी कोड पर व्युत्पन्न कार्य को आधार बनाने और इसे स्वतंत्र रूप से वितरित करने की अनुमति देने के लिए एक अवैध लाइसेंस बनाया। हाफनर का आरोप है कि ई4एम के सभी संस्करण सदैव केवल सिक्योरस्टार के ही थे, और ले रॉक्स के पास ऐसे लाइसेंस के तहत इसे प्रकाशित करने का कोई अधिकार नहीं था।[9]
इसके कारण ट्रूक्रिप्ट टीम को ट्रूक्रिप्ट का विकास और वितरण शीघ्र बंद करना पड़ा, जिसकी उन्होंने यूज़नेट के माध्यम से ऑनलाइन घोषणा की थी।[9] ट्रूक्रिप्ट टीम के सदस्य डेविड टेसारिक ने कहा कि ले रॉक्स ने टीम को सूचित किया कि उनके और सिक्योरस्टार के बीच कानूनी वाद-विवाद था, और उन्हें स्थिति के किसी भी अभियोग पर टिप्पणी न करने की कानूनी संस्तुति प्राप्त हुई थी। टेसारिक ने निष्कर्ष निकाला कि यदि ट्रूक्रिप्ट टीम ट्रूक्रिप्ट का वितरण प्रकाशित रखती है, तो ले रॉक्स को अंततः उत्तरदायी ठहराया जा सकता है और सिक्योरस्टार को परिणामी क्षति का भुगतान करने के लिए विवश किया जा सकता है। उन्होंने कहा, सद्भावना प्रकाशित रखने के लिए टीम को ई4एम लाइसेंस की वैधता को सत्यापित करने की आवश्यकता होगी। हालाँकि, ले रॉक्स को इस स्थिति पर शांत रहने की आवश्यकता के कारण, वह इसकी वैधता की पुष्टि या खंडन करने में असमर्थ था, जिससे ट्रूक्रिप्ट का विकास अधर में रह गया।[9][10]
इसके पश्चात, भावी आगंतुकों ने ट्रूक्रिप्ट वेबसाइट तक पहुंचने में समस्या की सूचना दी, और ट्रूक्रिप्ट टीम की आधिकारिक संस्वीकृत के बाहर, तृतीय-पक्ष दर्पण सोर्स कोड और इंस्टॉलर को निरंतर उपलब्ध कराते हुए ऑनलाइन दिखाई दिए।[11][12]
स्वयं की वेबसाइट के एफएक्यू खंड में, सिक्योरस्टार अपनी ई4एम और स्क्रैमडिस्क, एक और फ्री एन्क्रिप्शन प्रोग्राम के स्वामित्व के दावे को बनाए रखती है। कंपनी इन उत्पादों के साथ कहती है कि सिक्योरस्टार "ओपन सोर्स सॉफ़्टवेयर की एक दीर्घ परंपरा रखती थी", लेकिन कि "प्रतिस्पर्धी कुछ और करने के लिए नहीं थे, केवल हमारी सोर्स कोड चुराने के अतिरिक्त", जिससे कंपनी को अपने उत्पादों को क्लोज़-सोर्स बनाना पड़ा, संभावित ग्राहकों को सुरक्षा के लिए कोड की समीक्षा करने की अनुमति देने से पहले एक महत्वपूर्ण आदेश देने और एक गैर-व्यक्तिगत समझौता पर हस्ताक्षर करने पर विवश करना पड़ा।[13]
मार्च 2016 में एक अदालती सुनवाई में ले रॉक्स ने स्वयं ट्रूक्रिप्ट विकसित करने से वंचित किया था, जिसमें उन्होंने यह भी पुष्टि की थी कि उन्होंने ई4एम लिखा था।[14]
संस्करण 2.0
कई महीनों पश्चात 7 जून 2004 को ट्रूक्रिप्ट 2.0 प्रकाशित किया गया।[1] नए संस्करण में मूल ट्रूक्रिप्ट टीम से भिन्न डिजिटल हस्ताक्षर सम्मिलित थे, डेवलपर्स को अब "ट्रूक्रिप्ट फाउंडेशन" के रूप में जाना जाता है। सॉफ़्टवेयर लाइसेंस को भी ओपन-सोर्स जीएनयू जनरल पब्लिक लाइसेंस (जीपीएल) में परिवर्तित कर दिया गया। हालांकि, सॉफ़्टवेयर में सम्मिलित विभिन्न लाइसेंस के व्यापक संख्या को देखते हुए, और प्रोग्राम के प्रकाशन की कानूनीता के विवादपूर्ण स्वरूप को देखते हुए, कुछ पश्चात, अर्थात 21 जून को, संस्करण 2.1 को मूल ई4एम लाइसेंस के तहत प्रकाशित किया गया था, जीपीएल लाइसेंस से संबंधित संकटों से बचने के लिए।[1][15]
सॉफ़्टवेयर का संस्करण 2.1a 1 अक्टूबर 2004 को truecrypt.sourceforge.net उप-डोमेन पर प्रकाशित किया गया था।[1] मई 2005 तक, मूल ट्रूक्रिप्ट वेबसाइट प्रतिगमित हो गया और truecrypt.sourceforge.net ने विज़िटरों को truecrypt.orgपर पुनर्निर्देशित कर दिया।
आजीविका समाप्ति की घोषणा
2014 में, 28 मई को, ट्रूक्रिप्ट की आधिकारिक वेबसाइट, truecrypt.org, ने एचटीटीपी 301 "स्थायी रूप से मूव्ड" स्थिति के साथ आगंतुकों को truecrypt.sourceforge.net पर पुनर्निर्देशित करना प्रारम्भ कर दिया, जिसने चेतावनी दी कि सॉफ़्टवेयर में असुधारित सुरक्षा समस्याएं हो सकती हैं, और विंडोज़ एक्सपी के समर्थन की समाप्ति के पश्चात, ट्रूक्रिप्ट का विकास मई 2014 में समाप्त हो गया था। संदेश में कहा गया है कि विंडोज़ के नवीनतम संस्करणों में बिटलॉकर का उपयोग करके डिस्क एन्क्रिप्शन के लिए अंतर्निहित समर्थन है, और लिनक्स और ओएस एक्स में समान अंतर्निहित समाधान हैं, जो संदेश में कहा गया है कि ट्रूक्रिप्ट अनावश्यक है। पेज अनुशंसा करता है कि ट्रूक्रिप्ट द्वारा एन्क्रिप्ट किए गए किसी भी डेटा को अन्य एन्क्रिप्शन सेटअप में माइग्रेट किया जाए और बिटलॉकर पर जाने के निर्देश दिए जाएं। sourceforge.net/truecrypt पर सॉफ्टवेयर के लिए सोर्सफोर्ज प्रोजेक्ट पेज को उसी प्रारंभिक संदेश को प्रदर्शित करने के लिए अद्यतन किया गया था, और स्थिति को "निष्क्रिय" में परिवर्तित कर दिया गया था।[16] वह पृष्ठ एक नए सॉफ़्टवेयर संस्करण, 7.2, की भी घोषणा करता है, जिसमें केवल डिक्रिप्शन की अनुमति होती है।
प्रारंभ में, घोषणा और नए सॉफ़्टवेयर की प्रामाणिकता पर सवाल उठाए गए थे।[17][18][19] घोषणा के पीछे का कारण समझाने का प्रयास करने वाले कई सिद्धांत पूरे तकनीकी समुदाय में समक्ष आए।[20][3]
ट्रूक्रिप्ट के जीवन की समाप्ति की घोषणा के शीघ्र पश्चात, गिब्सन रिसर्च कॉर्पोरेशन ने "हां... ट्रूक्रिप्ट अभी भी उपयोग करने के लिए सुरक्षित है" शीर्षक से एक घोषणा पोस्ट की और ट्रूक्रिप्ट के अंतिम आधिकारिक गैर-अपंग संस्करण 7.1a के आयोजन के लिए एक अंतिम प्रकाशन रिपोजिटरी पोस्ट की।[3] वे अब 2022 तक अंतिम प्रकाशन रिपॉजिटरी का आयोजन नहीं करेंगे।
Truecrypt.org को इंटरनेट आर्काइव वेबैक मशीन से बाहर रखा गया है।[21] उनकी बहिष्करण नीति कहती है कि वे साइट स्वामी के अनुरोध पर पृष्ठों को बाहर कर देते हैं।[22]
ऑपरेटिंग सिस्टम
ट्रूक्रिप्ट विंडोज़, ओएस एक्स और लिनक्स ऑपरेटिंग सिस्टम का समर्थन करता है।[23] इन ऑपरेटिंग सिस्टम के 32-बिट और 64-बिट संस्करणों का समर्थन किया जाता है, सिवाय विंडोज़ आईए-64 (समर्थन नहीं किया गया है) और मैक ओएस एक्स 10.6 स्नो लेपर्ड (32-बिट प्रोसेस के रूप में चलता है) के।[23] विंडोज़ 7, विंडोज़ विस्टा, और विंडोज़ एक्सपी के लिए संस्करण बूटिंग पार्टीशन या पूरे बूट ड्राइव को एन्क्रिप्ट कर सकता है।[24]
स्वतंत्र कार्यान्वयन
ड्रैगनफ्लाई बीएसडी[25] और लिनक्स के लिए एक स्वतंत्र, संगत[25][26] कार्यान्वयन, टीसीप्ले है।[26][27]
डिफ़ॉल्ट लिनक्स कर्नेल में सम्मिलित डीएम-क्रिप्ट मॉड्यूल लिनक्स संस्करण 3.13 के पश्चात से "टीसीडब्ल्यू" नामक ट्रूक्रिप्ट लक्ष्य का समर्थन करता है।[28][29][30]
एन्क्रिप्शन योजना
एल्गोरिदम
ट्रूक्रिप्ट द्वारा समर्थित भिन्न-भिन्न सिफ़र एईएस, सर्पेंट और टूफिश हैं। इसके अतिरिक्त, कैस्केड एल्गोरिदम के पांच भिन्न-भिन्न संयोजन, एईएस-टूफिश, एईएस-टूफिश-सर्पेंट, सर्पेंट-एईएस, सर्पेंट-टूफिश-एईएस और टूफिश-सर्पेंट, उपलब्ध हैं।[31] ट्रूक्रिप्ट में उपयोग के लिए उपलब्ध क्रिप्टोग्राफ़िक हैश फ़ंक्शन आरआईपीईएमडी-160, एसएचए-512 और व्हर्लपूल हैं।[32]
संचालन के विधियाँ
ट्रूक्रिप्ट वर्तमान में ऑपरेशन के एक्सटीएस मोड का उपयोग करता है।[33] इससे पहले, ट्रूक्रिप्ट ने संस्करण 4.1 से 4.3a में एलआरडब्ल्यू मोड और 4.0 और उससे पहले के संस्करण में सीबीसी मोड का उपयोग किया था।[1] एक्सटीएस मोड को एलआरडब्ल्यू मोड से अधिक सुरक्षित माना जाता है, जो बदले में सीबीसी मोड से अधिक सुरक्षित है।[34]
हालाँकि नए वॉल्यूम केवल एक्सटीएस मोड में बनाए जा सकते हैं, ट्रूक्रिप्ट एलआरडब्ल्यू मोड और सीबीसी मोड का उपयोग करके पुराने वॉल्यूम के साथ बैकवर्ड संगत है।[1] पश्चात के संस्करण सीबीसी मोड वॉल्यूम बढ़ते समय एक सुरक्षा चेतावनी उत्पन्न करते हैं और अनुशंसा करते हैं कि उन्हें एक्सटीएस मोड में नए वॉल्यूम से परिवर्तित कर दिया जाए।
कुंजियाँ (की)
हेडर कुंजी और द्वितीयक हेडर कुंजी (एक्सटीएस मोड) 512-बिट नमक और 1000 या 2000 पुनरावृत्तियों के साथ पीबीकेडीएफ2 का उपयोग करके उत्पन्न होते हैं, जो उपयोग किए गए अंतर्निहित हैश फ़ंक्शन पर निर्भर करता है।[35]
प्रशंसनीय अस्वीकार्यता
ट्रूक्रिप्ट प्रशंसनीय अस्वीकार्यता नामक एक अवधारणा का समर्थन करता है,[36] जिसके द्वारा एक "हिडन वॉल्यूम" को दूसरे वॉल्यूम के भीतर बनाया जा सकता है।[37] इसके अतिरिक्त, ट्रूक्रिप्ट के विंडोज़ संस्करणों में एक छिपे हुए एन्क्रिप्टेड ऑपरेटिंग सिस्टम को बनाने और चलाने की क्षमता है, जिसके अस्तित्व को अस्वीकृत किया जा सकता है।[38]
ट्रूक्रिप्ट लिखित प्रमाण पर उल्लिखित कई विधियाँ हैं जिनमें बताया गया है ट्रूक्रिप्ट की हिडन वॉल्यूम अस्वीकार्यता (डिनेबिलिटी) सुविधाओं से समझौता किया जा सकता है और इससे बचने के संभावित तरीके भी सूचीबद्ध हैं।[39] 2008 में प्रकाशित एक रिसर्च पेपर में, जिसमें तब की नवीनतम संस्करण (v5.1a) और उसकी संभावित अस्वीकार्यता पर जोर दिया गया था, एक सुरक्षा शोधकर्ता टीम जिनकी नेतृत्व कर रहे थे ब्रूस श्नायर द्वारा कहा गया है कि विंडोज विस्टा, माइक्रोसॉफ्ट वर्ड, गूगल डेस्कटॉप, और अन्य कुछ सॉफ़्टवेयर अनएन्क्रिप्टेड डिस्क्स पर जानकारी संग्रहित करते हैं, जो ट्रूक्रिप्ट की संभावित अस्वीकार्यता को ख़तरे में डाल सकते हैं। इस अध्ययन ने हिडन ऑपरेटिंग सिस्टम कार्यक्षमता की जोड़ने की सुझाव दी; यह सुविधा ट्रूक्रिप्ट 6.0 में जोड़ी गई थी। जब हिडन ऑपरेटिंग सिस्टम चल रहा होता है, तो ट्रूक्रिप्ट डेटा लीक को रोकने के लिए स्थानीय अनएन्क्रिप्टेड फ़ाइल सिस्टम और नॉन-हिडन होम ट्रूक्रिप्ट वॉल्यूम्स को पढ़ने के लिए केवल पढ़ने योग्य बना देता है।[38] इस सुविधा के इस संस्करण की प्रशासनिक सुरक्षा का मूल्यांकन नहीं किया गया था क्योंकि इस ऑप्शन के साथ पहला संस्करण ट्रूक्रिप्ट में हाल ही में ही प्रकाशित किया गया था।[40]
श्नीयर एट अल द्वारा ट्रूक्रिप्ट के पुराने संस्करण में हिडन वॉल्यूम की वंचित करने की क्षमता का एक कार्यात्मक मूल्यांकन किया गया था। जिसमें सुरक्षा लीक पाया गया।[41]
ट्रूक्रिप्ट वॉल्यूम की पहचान करना
जब विश्लेषित किया जाता है, तो ट्रूक्रिप्ट वॉल्यूम्स में कोई हेडर नहीं होता है और वे यादृच्छिक डेटा संकलित करते हैं।[42] ट्रूक्रिप्ट वॉल्यूम्स की आकार 512 के गुणक होती हैं क्योंकि साइफ़र मोड के ब्लॉक साइज़ के कारण से[33] और कुंजी डेटा या तो सिस्टम एन्क्रिप्शन की स्थिति में भिन्न से 512 बाइट्स में संचित किया जाता है या गैर-सिस्टम कंटेनर के लिए दो 128 किलोबाइट्स के हेडर्स होते हैं।[43] फ़ॉरेंसिक्स टूल्स इन फ़ाइल साइज़, हेडर की संदर्भ में कमी, और यादृच्छिकता परीक्षण की गुणवत्ता का उपयोग कर सकते हैं ताकि वे ट्रूक्रिप्ट वॉल्यूम्स की पहचान करने की प्रयास कर सकें।[44] हालांकि, इन विशेषताओं के कारण फ़ाइल को ट्रूक्रिप्ट वॉल्यूम मानने के लिए संदेह का कारण मिल सकता है, हालांकि, कुछ प्रोग्राम हैं जिनका उद्देश्य फ़ाइलों को सुरक्षित रूप से मिटाना है, जिसे फ़ाइल सामग्री को ओवरराइट करने की विधि से किया जाता है, और पूरी यादृच्छिक डेटा के साथ (उदा., "श्रेड" और "स्क्रब"[45]), जिससे किसी फ़ाइल को एक सांख्यिक यादृच्छिक डेटा से बनाए रखने के लिए विश्वासार्ह संदेह उत्पन्न हो, जिससे किसी फ़ाइल को ट्रूक्रिप्ट फ़ाइल मानने पर उठाए गए आरोपों का प्रतिकार किया जा सकता है।[36][46]
यदि कोई सिस्टम ड्राइव, या उस पर कोई पार्टीशन, ट्रूक्रिप्ट से एन्क्रिप्ट किया गया है, तो केवल उस पार्टीशन पर रखी जा रही डेटा नकारात्मक हो सकती है। जब ट्रूक्रिप्ट बूट लोडर सामान्य बूट लोडर की जगह लेता है, तो ड्राइव का ऑफ़लाइन विश्लेषण सकारात्मक रूप से निर्धारित कर सकता है कि एक ट्रूक्रिप्ट बूट लोडर विद्यमान है, जिससे यह तर्कसंगत अनुमान हो सकता है कि एक ट्रूक्रिप्ट पार्टीशन भी विद्यमान है। हालांकि इसके उद्देश्य को अज्ञात करने के लिए कुछ सुविधाएँ हैं (उदा., "नॉन-सिस्टम डिस्क" या "डिस्क एरर" जैसे एक बायोस-जैसा संदेश प्रदर्शित करना), ये ट्रूक्रिप्ट बूट लोडर की कार्यक्षमता को कम करते हैं और ऑफ़लाइन विश्लेषण से ट्रूक्रिप्ट बूट लोडर की सामग्री को हाईड करने में सफल नहीं होते।[47] यहाँ भी, अस्वीकार्यता को बनाए रखने के लिए हिडन ऑपरेटिंग सिस्टम का उपयोग करना सुझाया जाता है।[38]
निष्पादन
ट्रूक्रिप्ट मल्टी-कोर सिस्टम के लिए समानांतर[48]: 63 एन्क्रिप्शन का समर्थन करता है और, माइक्रोसॉफ्ट विंडोज के तहत, एन्क्रिप्शन और डिक्रिप्शन के प्रदर्शन हिट को कम करने के लिए पाइपलाइन पढ़ने/लिखने के संचालन (असिंक्रोनस प्रोसेसिंग का एक रूप)[48]: 63 का समर्थन करता है। एईएस-एनआई निर्देश सेट का समर्थन करने वाले नए प्रोसेसर पर, ट्रूक्रिप्ट प्रदर्शन को और बेहतर बनाने के लिए हार्डवेयर-त्वरित एईएस का समर्थन करता है।[48]: 64 डिस्क एन्क्रिप्शन का प्रदर्शन प्रभाव उन परिचालनों पर विशेष रूप से ध्यान देने योग्य है जो आम तौर पर डायरेक्ट मेमोरी एक्सेस (डीएमए) का उपयोग करते हैं, क्योंकि सभी डेटा को डिस्क से सीधे रैम में कॉपी करने के बजाय डिक्रिप्शन के लिए सीपीयू से गुजरना होगा।
टॉम्स हार्डवेयर द्वारा किए गए एक परीक्षण में, हालात-ऑफ़-द-आर्ट हार्डवेयर का उपयोग किया जा रहा हो या बीच-मार्ज वेरिएंस का हार्डवेयर, ट्रूक्रिप्ट को एक अनएन्क्रिप्टेड डिस्क के तुलना में मंद पाया गया, लेकिन वास्तविक समय में एन्क्रिप्शन का ओवरहेड "काफी स्वीकार्य" पाया गया।[49] एक और लेख में यह खुलासा किया गया कि "लोकप्रिय डेस्कटॉप एप्लिकेशनों के साथ संयुक्त रूप में कार्य करते समय" प्रदर्शन की कीमत अनदेखी की जा सकती है, लेकिन इसमें नोट किया गया कि "शक्ति उपयोगकर्ता अभियोग करेंगे।"[50]
फ्लेक्सनेट प्रकाशक और सेफकास्ट के साथ असंगति
तृतीय-पक्ष सॉफ़्टवेयर स्थापित करना जो फ्लेक्सनेट पब्लिशर या सेफकास्ट का उपयोग करता है (जिसका उपयोग एडोब द्वारा एडोब फोटोशॉप जैसे उत्पादों पर सॉफ्टवेयर चोरी को रोकने के लिए किया जाता है) ट्रूक्रिप्ट द्वारा एन्क्रिप्ट किए गए विंडोज़ विभाजन/ड्राइव पर ट्रूक्रिप्ट बूटलोडर को नुकसान पहुंचा सकता है और ड्राइव को अनबूटेबल बना सकता है।[51] यह फ्लेक्सनेट पब्लिशर के पहले ड्राइव ट्रैक पर लिखने और वहां जो भी गैर-विंडोज बूटलोडर विद्यमान है उसे ओवरराइट करने के अनुचित डिजाइन के कारण होता है।[52]
सुरक्षा संबंधी प्रयोजन
ट्रूक्रिप्ट विभिन्न ज्ञात आक्षेपों के प्रति संवेदनशील है जो अन्य डिस्क एन्क्रिप्शन सॉफ़्टवेयर प्रकाशन जैसे बिटलॉकर में भी विद्यमान हैं। उन्हें रोकने के लिए, ट्रूक्रिप्ट के साथ वितरित प्रलेखन के लिए उपयोगकर्ताओं को विभिन्न सुरक्षा सावधानियों का पालन करने की आवश्यकता होती है।[53] उन आक्षेपों में से कुछ का विवरण नीचे दिया गया है।
एन्क्रिप्शन कुंजी स्मृति में संग्रहीत
ट्रूक्रिप्ट अपनी कुंजियाँ रैम (आरएएम) में संग्रहीत करता है; साधारण पर्सनल कंप्यूटर पर डीआरएएम बिजली कटने के पश्चात कई सेकंड तक (या तापमान कम होने पर अधिक समय तक) अपनी सामग्री बनाए रखेगा। भले ही मेमोरी सामग्री में कुछ गिरावट हो, विभिन्न एल्गोरिदम समझदारी से कुंजियाँ पुनर्प्राप्त कर सकते हैं। यह विधि, जिसे कोल्ड बूट अटैक के रूप में जाना जाता है (जो विशेष रूप से पावर-ऑन, सस्पेंडेड या स्क्रीन-लॉक मोड में प्राप्त नोटबुक कंप्यूटर पर लागू होती है), ट्रूक्रिप्ट द्वारा संरक्षित फ़ाइल सिस्टम पर हमला करने के लिए सफलतापूर्वक उपयोग किया गया है।[54]
भौतिक सुरक्षा
ट्रूक्रिप्ट लिखित प्रमाण में यह दिया गया है कि यदि कोई हमलावर नियंत्रण से बाहरी विधि से किसी कंप्यूटर तक पहुंच जाता है और फिर उपयोगकर्ता द्वारा उस कंप्यूटर पर ट्रूक्रिप्ट का पुनर्चलन किया जाता है, तो ट्रूक्रिप्ट डेटा को सुरक्षित नहीं रख सकता (यह एक आम स्थिति में चोरी, हानि, या जब्त हुए कंप्यूटर के लिए नहीं लागू होता है)।[55] किसी कंप्यूटर को नियंत्रण से बाहरी विधि से पहुंचने वाला हमलावर, उदाहरण के लिए, हार्डवेयर/सॉफ़्टवेयर कीलॉगर स्थापित कर सकता है, मेमोरी को कैप्चर करने वाले बस मास्टरिंग उपकरण को स्थापित कर सकता है, या किसी अन्य कोई भी दुर्भाग्यपूर्ण हार्डवेयर या सॉफ़्टवेयर स्थापित कर सकता है, जिससे हमलावर अनएन्क्रिप्टेड डेटा को कैप्चर कर सकता है (समावेशित एन्क्रिप्शन कुंजी और पासवर्ड समेत) या कैप्चर किए गए पासवर्ड या एन्क्रिप्शन कुंजी का उपयोग करके एन्क्रिप्टेड डेटा को डिक्रिप्ट कर सकता है। इसलिए, फिजिकल सुरक्षा एक सुरक्षित सिस्टम की एक मौलिक आधार है। इस तरह के आक्षेपों को प्रायः "शैतान मेड हमले" कहा जाता है।[56]
मैलवेयर
ट्रूक्रिप्ट लिखित प्रमाण में कहा गया है कि ट्रूक्रिप्ट किसी कंप्यूटर पर डेटा को सुरक्षित नहीं कर सकता है यदि उसमें किसी प्रकार का मैलवेयर इंस्टॉल है। मैलवेयर कीस्ट्रोक्स को लॉग कर सकता है, जिससे किसी हमलावर के पासवर्ड उजागर हो सकते हैं।[57]
द स्टोन्ड बूटकिट
ब्लैक हैट टेक्निकल सिक्योरिटी कॉन्फ्रेंस यूएसए 2009[58][59] में ऑस्ट्रियाई सॉफ्टवेयर डेवलपर पीटर क्लेस्नर द्वारा प्रस्तुत एक एमबीआर रूटकिट, "स्टोन्ड" बूटकिट को ट्रूक्रिप्ट के फुल वॉल्यूम एन्क्रिप्शन को प्रभावी रूप से दरकिनार करते हुए, ट्रूक्रिप्ट के एमबीआर से छेड़छाड़ करने में सक्षम दिखाया गया है।[60][61][62][63][64] संभावित रूप से हर हार्ड डिस्क एन्क्रिप्शन सॉफ्टवेयर इस तरह के हमले से प्रभावित होता है यदि एन्क्रिप्शन सॉफ्टवेयर टीपीएम जैसी हार्डवेयर-आधारित एन्क्रिप्शन प्रौद्योगिकियों पर निर्भर नहीं होता है, या यदि एन्क्रिप्टेड ऑपरेटिंग सिस्टम चलने के दौरान हमला प्रशासनिक विशेषाधिकारों के साथ किया जाता है।[65][66]
इस बूटकिट का दुरुपयोग करने की संभावना वाले दो प्रकार के हमले के परिस्थितियाँ विद्यमान हैं: पहले प्रकार में, उपयोगकर्ता को प्रशासनिक विशेषाधिकारों के साथ बूटकिट को लॉन्च करने की आवश्यकता होती है जब कंप्यूटर पहले से विंडोज़ में बूट हो गया है; दूसरे प्रकार में, हार्डवेयर कीलॉगर की तरह, एक दुर्भाग्यपूर्ण व्यक्ति को उपयोगकर्ता के ट्रूक्रिप्ट-एन्क्रिप्टेड हार्ड डिस्क की फिजिकल एक्सेस की आवश्यकता होती है: इस संदर्भ में यह आवश्यक होता है क्योंकि उपयोगकर्ता के ट्रूक्रिप्ट एमबीआर को स्टोन्ड बूटकिट के एमबीआर से मोदिफ़ाई करना होता है और फिर हार्ड डिस्क को अनजान उपयोगकर्ता के कंप्यूटर पर वापस रखना होता है, ताकि जब उपयोगकर्ता कंप्यूटर बूट करता है और बूट पर अपना ट्रूक्रिप्ट पासवर्ड टाइप करता है, तो "स्टोन्ड" बूटकिट इसे उसके पश्चात से इंटरसेप्ट करता है क्योंकि उस समय से प्रारम्भ होते हुए, बूट सीक्वेंस में ट्रूक्रिप्ट के एमबीआर से पहले स्टोन्ड बूटकिट लोड होता है। पहले प्रकार के हमले को सामान्य रूप में अच्छे सुरक्षा अनुशासन द्वारा रोका जा सकता है, जैसे कि अविश्वसनीय प्रकार की एक्जीक्यूटेब