ट्रूक्रिप्ट

	File:TrueCrypt on windows vista.png TrueCrypt on Windows (discontinued)
Developer(s)	TrueCrypt Foundation
Initial release	February 2004; 22 years ago
Final release	7.2 / May 28, 2014; 11 years ago (Discontinued)
Written in	C, C++, Assembly
Operating system	Windows, macOS, Linux, MorphOS
Size	3.30 MB
Available in	38 languages
	List of languages English, Arabic, Basque, Belarusian, Bulgarian, Burmese, Catalan, Chinese (Simplified), Chinese (Hong Kong), Chinese (Taiwan), Czech, Danish, Dutch, Estonian, Finnish, French, Georgian, German, Greek, Hungarian, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian (Nynorsk), Persian, Polish, Portuguese (Brazil), Russian, Slovak, Slovenian, Spanish, Swedish, Turkish, Ukrainian, Uzbek (Cyrillic), Vietnamese
Type	Disk encryption software
License	TrueCrypt License 3.1 (source-available freeware)

ट्रूक्रिप्ट एक बंद स्रोत-उपलब्ध फ्रीवेयर उपयोगिता सॉफ्टवेयर है जिसका उपयोग ऑन-द-फ्लाई एन्क्रिप्शन (ओटीएफई) के लिए किया जाता है। यह किसी फ़ाइल के भीतर एक वर्चुअल एन्क्रिप्टेड डिस्क बना सकता है, या डिस्क विभाजन या संपूर्ण डेटा भंडारण उपकरण (प्री-बूट प्रमाणीकरण) को एन्क्रिप्ट कर सकता है।

28 मई 2014 को, ट्रूक्रिप्ट वेबसाइट ने परियोजना #जीवन के अंत की घोषणा की और उपयोगकर्ताओं को वैकल्पिक समाधान खोजने की सिफारिश की। हालाँकि TrueCrypt का विकास बंद हो गया है, TrueCrypt के एक स्वतंत्र ऑडिट (मार्च 2015 में प्रकाशित) ने निष्कर्ष निकाला है कि कोई महत्वपूर्ण खामियाँ मौजूद नहीं हैं।^[6] ट्रूक्रिप्ट से दो परियोजनाएं अलग की गईं: वेराक्रिप्ट (सक्रिय) और सिफरशेड^[7] (छोड़ा हुआ)।

इतिहास

ट्रूक्रिप्ट को शुरुआत में फरवरी 2004 में E4M (जनता के लिए एन्क्रिप्शन) पर आधारित संस्करण 1.0 के रूप में जारी किया गया था। तब से कई संस्करण और कई अतिरिक्त छोटे रिलीज़ किए गए हैं, जिनमें सबसे वर्तमान संस्करण 7.1a है।^[1]

E4M और SecurStar विवाद

ट्रू-क्रिप्ट की मूल रिलीज़ ट्रू-क्रिप्ट टीम नामक अज्ञात डेवलपर्स द्वारा बनाई गई थी।^[8] 2004 में संस्करण 1.0 जारी होने के कुछ ही समय बाद, ट्रूक्रिप्ट टीम ने कंप्यूटर सुरक्षा कंपनी सिक्यूरस्टार के प्रबंधक विल्फ्रेड हाफनर से ईमेल प्राप्त करने की सूचना दी।^[9]ट्रूक्रिप्ट टीम के अनुसार, हाफनर ने ईमेल में दावा किया कि E4M के स्वीकृत लेखक, डेवलपर पॉल लेरौक्स ने एक कर्मचारी के रूप में SecurStar से सोर्स कोड चुराया था।^[9]आगे यह कहा गया कि ले रॉक्स ने अवैध रूप से E4M वितरित किया, और किसी को भी कोड पर व्युत्पन्न कार्य को आधार बनाने और इसे स्वतंत्र रूप से वितरित करने की अनुमति देने वाला एक अवैध लाइसेंस बनाया। हाफनर का आरोप है कि E4M के सभी संस्करण हमेशा केवल SecurStar के थे, और Le Roux को ऐसे लाइसेंस के तहत इसे जारी करने का कोई अधिकार नहीं था।^[9]

इसके कारण ट्रू-क्रिप्ट टीम को तुरंत ट्रू-क्रिप्ट का विकास और वितरण बंद करना पड़ा, जिसकी उन्होंने यूज़नेट के माध्यम से ऑनलाइन घोषणा की थी।^[9] ट्रूक्रिप्ट टीम के सदस्य डेविड टेसारिक ने कहा कि ले रॉक्स ने टीम को सूचित किया कि उनके और सिक्यूरस्टार के बीच एक कानूनी विवाद था, और उन्हें मामले के किसी भी मुद्दे पर टिप्पणी न करने की कानूनी सलाह मिली थी। टेसारिक ने निष्कर्ष निकाला कि यदि ट्रूक्रिप्ट टीम ट्रूक्रिप्ट का वितरण जारी रखती है, तो ले रॉक्स को अंततः उत्तरदायी ठहराया जा सकता है और सिक्यूरस्टार को परिणामी क्षति का भुगतान करने के लिए मजबूर किया जा सकता है। उन्होंने कहा, अच्छे विश्वास को जारी रखने के लिए, टीम को E4M लाइसेंस की वैधता को सत्यापित करने की आवश्यकता होगी। हालाँकि, ले रॉक्स को इस मामले पर चुप रहने की आवश्यकता के कारण, वह इसकी वैधता की पुष्टि या खंडन करने में असमर्थ था, जिससे ट्रूक्रिप्ट विकास अधर में लटका हुआ था।^[9]^[10] इसके बाद, भावी आगंतुकों ने ट्रू-क्रिप्ट वेबसाइट तक पहुंचने में परेशानी की सूचना दी, और ट्रू-क्रिप्ट टीम द्वारा आधिकारिक मंजूरी के बाहर, तृतीय-पक्ष दर्पण स्रोत कोड और इंस्टॉलर को लगातार उपलब्ध कराते हुए ऑनलाइन दिखाई दिए।^[11]^[12] अपनी वेबसाइट के FAQ अनुभाग में, SecurStar E4M और एक अन्य निःशुल्क एन्क्रिप्शन प्रोग्राम स्क्रैमडिस्क दोनों पर स्वामित्व के अपने दावे रखता है। कंपनी का कहना है कि उन उत्पादों के साथ, SecurStar के पास ओपन सोर्स की एक लंबी परंपरा थी सॉफ़्टवेयर, लेकिन प्रतिस्पर्धियों के पास चोरी करने के अलावा और कुछ नहीं था हमारा स्रोत कोड, जिसके कारण कंपनी अपने उत्पादों को मालिकाना सॉफ्टवेयर|क्लोज्ड-सोर्स बनाती है, जिससे संभावित ग्राहकों को सुरक्षा के लिए कोड की समीक्षा करने की अनुमति देने से पहले एक बड़ा ऑर्डर देने और एक गैर-प्रकटीकरण समझौते पर हस्ताक्षर करने के लिए मजबूर होना पड़ता है।^[13] ले रॉक्स ने खुद मार्च 2016 में एक अदालती सुनवाई में ट्रूक्रिप्ट विकसित करने से इनकार किया है, जिसमें उन्होंने यह भी पुष्टि की थी कि उन्होंने E4M लिखा था।^[14]

संस्करण 2.0

महीनों बाद 7 जून 2004 को, ट्रूक्रिप्ट 2.0 जारी किया गया।^[1]नए संस्करण में मूल ट्रूक्रिप्ट टीम से अलग डिजिटल हस्ताक्षर शामिल थे, डेवलपर्स को अब ट्रूक्रिप्ट फाउंडेशन के रूप में जाना जाता है। सॉफ़्टवेयर लाइसेंस को भी ओपन-सोर्स लाइसेंस जीएनयू जनरल पब्लिक लाइसेंस (GPL) में बदल दिया गया था। हालाँकि, सॉफ़्टवेयर बनाने वाले अलग-अलग लाइसेंस वाले घटकों की विस्तृत श्रृंखला और कार्यक्रम की रिलीज़ की वैधता की विवादित प्रकृति को देखते हुए, कुछ सप्ताह बाद 21 जून को, संस्करण 2.1 को मूल E4M लाइसेंस के तहत जारी किया गया था ताकि संबंधित संभावित समस्याओं से बचा जा सके। जीपीएल लाइसेंस के लिए.^[1]^[15] सॉफ़्टवेयर का संस्करण 2.1ए 1 अक्टूबर 2004 को जारी किया गया था truecrypt.sourceforge.net डोमेन नाम|उप-डोमेन.^[1]मई 2005 तक, मूल ट्रूक्रिप्ट वेबसाइट वापस आ गई truecrypt.sourceforge.net URL पुनर्निर्देशन आगंतुकों के लिए truecrypt.org.

जीवन के अंत की घोषणा

28 मई 2014 को, ट्रूक्रिप्ट आधिकारिक वेबसाइट, truecrypt.org, आगंतुकों को पुनर्निर्देशित करना शुरू किया truecrypt.sourceforge.net HTTP 301|HTTP 301 स्थायी रूप से स्थानांतरित स्थिति के साथ, जिसने चेतावनी दी थी कि सॉफ़्टवेयर में अनसुलझे सुरक्षा मुद्दे हो सकते हैं, और विंडोज एक्सपी के समर्थन की समाप्ति के बाद ट्रूक्रिप्ट का विकास मई 2014 में समाप्त हो गया था। संदेश में कहा गया है कि विंडोज़ के नवीनतम संस्करणों में BitLocker का उपयोग करके डिस्क एन्क्रिप्शन के लिए अंतर्निहित समर्थन है, और लिनक्स और OS पेज अनुशंसा करता है कि ट्रूक्रिप्ट द्वारा एन्क्रिप्ट किए गए किसी भी डेटा को अन्य एन्क्रिप्शन सेटअप में स्थानांतरित किया जाए और BitLocker पर जाने के निर्देश दिए जाएं। सॉफ़्टवेयर के लिए सोर्सफोर्ज प्रोजेक्ट पृष्ठ पर sourceforge.net/truecrypt वही प्रारंभिक संदेश प्रदर्शित करने के लिए अद्यतन किया गया था, और स्थिति को निष्क्रिय में बदल दिया गया था।^[16] पेज ने एक नए सॉफ़्टवेयर संस्करण, 7.2 की भी घोषणा की, जो केवल डिक्रिप्शन की अनुमति देता है।

प्रारंभ में, घोषणा और नए सॉफ़्टवेयर की प्रामाणिकता पर सवाल उठाया गया था।^[17]^[18]^[19] घोषणा के पीछे का कारण समझाने का प्रयास करने वाले कई सिद्धांत पूरे तकनीकी समुदाय में सामने आए।^[20]^[3] ट्रूक्रिप्ट के जीवन की समाप्ति की घोषणा के कुछ ही समय बाद, गिब्सन रिसर्च कॉर्पोरेशन ने हाँ शीर्षक से एक घोषणा पोस्ट की... ट्रूक्रिप्ट अभी भी उपयोग करने के लिए सुरक्षित है और ट्रूक्रिप्ट के अंतिम आधिकारिक गैर-अपंग संस्करण 7.1a को होस्ट करने के लिए एक अंतिम रिलीज़ रिपोजिटरी है।^[3]वे अब 2022 तक अंतिम रिलीज़ रिपॉजिटरी की मेजबानी नहीं करेंगे।

Truecrypt.org को इंटरनेट आर्काइव वेबैक मशीन से बाहर कर दिया गया है।^[21] उनकी बहिष्करण नीति कहती है कि वे साइट स्वामी के अनुरोध पर पृष्ठों को बहिष्कृत करते हैं।^[22]

ऑपरेटिंग सिस्टम

TrueCrypt Windows, macOS और Linux ऑपरेटिंग सिस्टम को सपोर्ट करता है।^[23] Windows Itanium|IA-64 (समर्थित नहीं) और Mac OS^[23]Windows 7, Windows Vista और Windows XP का संस्करण बूटिंग पार्टीशन या संपूर्ण बूट ड्राइव को एन्क्रिप्ट कर सकता है।^[24]

स्वतंत्र कार्यान्वयन

एक स्वतंत्र, सुसंगत है^[25]^[26]ड्रैगनफ्लाई बीएसडी के लिए कार्यान्वयन, टीसीप्ले^[25]और लिनक्स.^[26]^[27] डिफ़ॉल्ट लिनक्स कर्नेल में शामिल dm-तहखाने मॉड्यूल लिनक्स संस्करण 3.13 के बाद से टीसीडब्ल्यू नामक ट्रूक्रिप्ट लक्ष्य का समर्थन करता है।^[28]^[29]^[30]

एन्क्रिप्शन योजना

एल्गोरिदम

ट्रूक्रिप्ट द्वारा समर्थित व्यक्तिगत सिफ़र उच्च एन्क्रिप्शन मानक, सर्प (सिफर) और टूफिश हैं। इसके अतिरिक्त, एकाधिक एन्क्रिप्शन एल्गोरिदम के पांच अलग-अलग संयोजन उपलब्ध हैं: एईएस-टूफिश, एईएस-टूफिश-सर्पेंट, सर्पेंट-एईएस, सर्पेंट-टूफिश-एईएस और दो मछली -सर्पेंट।^[31] ट्रूक्रिप्ट में उपयोग के लिए उपलब्ध क्रिप्टोग्राफ़िक हैश फ़ंक्शन RIPEMD-160, SHA-512 और व्हर्लपूल (क्रिप्टोग्राफी) हैं।^[32]

संचालन के तरीके

ट्रूक्रिप्ट वर्तमान में ऑपरेशन के एक्सटीएस मोड ब्लॉक सिफर मोड का उपयोग करता है।^[33] इससे पहले, ट्रूक्रिप्ट ने संस्करण 4.1 से 4.3ए में डिस्क एन्क्रिप्शन सिद्धांत#लिस्कोव, रिवेस्ट और वैगनर (एलआरडब्ल्यू) का उपयोग किया था, और 4.0 और इससे पहले के संस्करणों में सिफर ब्लॉक चेनिंग का उपयोग किया था।^[1] XTS मोड को LRW मोड की तुलना में अधिक सुरक्षित माना जाता है, जो बदले में CBC मोड की तुलना में अधिक सुरक्षित है।^[34] हालाँकि नए वॉल्यूम केवल XTS मोड में बनाए जा सकते हैं, TrueCrypt LRW मोड और CBC मोड का उपयोग करके पुराने वॉल्यूम के साथ बैकवर्ड संगत है।^[1]बाद के संस्करण सीबीसी मोड वॉल्यूम को माउंट करते समय एक सुरक्षा चेतावनी उत्पन्न करते हैं और अनुशंसा करते हैं कि उन्हें एक्सटीएस मोड में नए वॉल्यूम से बदल दिया जाए।

कुंजियाँ

हेडर कुंजी और द्वितीयक हेडर कुंजी (XTS मोड) 512-अंश नमक (क्रिप्टोग्राफी) और 1000 या 2000 पुनरावृत्तियों के साथ PBKDF2 का उपयोग करके उत्पन्न होते हैं, जो उपयोग किए गए अंतर्निहित हैश फ़ंक्शन पर निर्भर करता है।^[35]

प्रशंसनीय खंडन

ट्रूक्रिप्ट प्रशंसनीय अस्वीकार्यता नामक अवधारणा का समर्थन करता है,^[36] एक छिपे हुए वॉल्यूम को दूसरे वॉल्यूम के भीतर बनाने की अनुमति देकर।^[37] इसके अलावा, ट्रूक्रिप्ट के विंडोज़ संस्करणों में एक छिपे हुए एन्क्रिप्टेड ऑपरेटिंग सिस्टम को बनाने और चलाने की क्षमता है जिसका एन्क्रिप्शन अस्वीकार्य है।^[38] ट्रू-क्रिप्ट दस्तावेज़ कई तरीकों को सूचीबद्ध करता है जिसमें ट्रू-क्रिप्ट की छिपी हुई वॉल्यूम डिनेबिलिटी सुविधाओं से समझौता किया जा सकता है (उदाहरण के लिए तीसरे पक्ष के सॉफ़्टवेयर द्वारा जो अस्थायी फ़ाइलों, थंबनेल इत्यादि के माध्यम से अनएन्क्रिप्टेड डिस्क पर जानकारी लीक कर सकता है) और इससे बचने के संभावित तरीके।^[39] 2008 में प्रकाशित और तत्कालीन नवीनतम संस्करण (v5.1a) और इसकी प्रशंसनीय अस्वीकार्यता पर केंद्रित एक पेपर में, ब्रूस श्नीयर के नेतृत्व में सुरक्षा शोधकर्ताओं की एक टीम ने कहा है कि विंडोज विस्टा, माइक्रोसॉफ्ट वर्ड, गूगल डेस्कटॉप और अन्य अनएन्क्रिप्टेड डिस्क पर जानकारी संग्रहीत करते हैं। , जो ट्रूक्रिप्ट की प्रशंसनीय अस्वीकार्यता से समझौता कर सकता है। अध्ययन ने एक छिपी हुई ऑपरेटिंग सिस्टम कार्यक्षमता को जोड़ने का सुझाव दिया; यह सुविधा TrueCrypt 6.0 में जोड़ी गई थी। जब एक छिपा हुआ ऑपरेटिंग सिस्टम चल रहा होता है, तो डेटा लीक को रोकने के लिए TrueCrypt स्थानीय अनएन्क्रिप्टेड फ़ाइल सिस्टम और गैर-छिपे हुए TrueCrypt वॉल्यूम को केवल पढ़ने के लिए बनाता है।^[38]इस सुविधा के ट्रूक्रिप्ट के कार्यान्वयन की सुरक्षा का मूल्यांकन नहीं किया गया था क्योंकि इस विकल्प के साथ ट्रूक्रिप्ट का पहला संस्करण हाल ही में जारी किया गया था।^[40] श्नीयर एट अल द्वारा ट्रूक्रिप्ट के पुराने संस्करण में छिपे हुए वॉल्यूम की इनकार करने की क्षमता का एक कार्यात्मक मूल्यांकन किया गया था। जिसमें सुरक्षा लीक पाया गया।^[41]

ट्रूक्रिप्ट वॉल्यूम की पहचान करना

जब विश्लेषण किया जाता है, तो ट्रूक्रिप्ट वॉल्यूम में कोई हेडर नहीं होता है और इसमें यादृच्छिक डेटा होता है।^[42] सिफर मोड के ब्लॉक आकार के कारण TrueCrypt वॉल्यूम का आकार 512 के गुणज है^[33]और मुख्य डेटा या तो सिस्टम एन्क्रिप्शन के मामले में 512 बाइट्स अलग से संग्रहीत होता है या गैर-सिस्टम कंटेनर के लिए दो 128 kB हेडर होता है।^[43] ट्रूक्रिप्ट वॉल्यूम की पहचान करने का प्रयास करने के लिए फोरेंसिक उपकरण फ़ाइल आकार, हेडर की स्पष्ट कमी और यादृच्छिकता परीक्षणों के इन गुणों का उपयोग कर सकते हैं।^[44] हालाँकि ये सुविधाएँ किसी फ़ाइल के ट्रूक्रिप्ट वॉल्यूम होने का संदेह करने का कारण देती हैं, फिर भी, कुछ प्रोग्राम हैं जो फ़ाइल सामग्री को ओवरराइट करने की विधि का उपयोग करके फ़ाइलों को सुरक्षित रूप से मिटाने के उद्देश्य से मौजूद हैं, और विशुद्ध रूप से यादृच्छिक डेटा के साथ डिस्क स्थान खाली करते हैं ( यानी टुकड़े-टुकड़े करना और साफ़ करना^[45]), जिससे सांख्यिकीय रूप से यादृच्छिक डेटा से बनी फ़ाइल को ट्रू-क्रिप्ट फ़ाइल घोषित करने वाले तीखे आरोपों का प्रतिवाद करने के लिए उचित संदेह पैदा होता है।^[36]^[46] यदि एक सिस्टम ड्राइव, या उस पर एक विभाजन, ट्रूक्रिप्ट के साथ एन्क्रिप्ट किया गया है, तो केवल उस विभाजन पर डेटा अस्वीकार्य है। जब ट्रू क्रिप्ट बूट लोडर सामान्य बूट लोडर को प्रतिस्थापित करता है, तो ड्राइव का ऑफ़लाइन विश्लेषण सकारात्मक रूप से यह निर्धारित कर सकता है कि ट्रू क्रिप्ट बूट लोडर मौजूद है और इसलिए तार्किक अनुमान लगाया जा सकता है कि ट्रू क्रिप्ट विभाजन भी मौजूद है। भले ही इसके उद्देश्य को अस्पष्ट करने वाली विशेषताएं हैं (अर्थात पर्यवेक्षक को गलत दिशा देने के लिए BIOS जैसा संदेश प्रदर्शित करना, जैसे कि गैर-सिस्टम डिस्क या डिस्क त्रुटि), ये ट्रू-क्रिप्ट बूट लोडर की कार्यक्षमता को कम करते हैं और सामग्री को छिपाते नहीं हैं। ऑफ़लाइन विश्लेषण से ट्रूक्रिप्ट बूट लोडर।^[47] यहां फिर से, एक छिपे हुए ऑपरेटिंग सिस्टम का उपयोग अस्वीकार्यता बनाए रखने के लिए सुझाई गई विधि है।^[38]

प्रदर्शन

ट्रूक्रिप्ट डेटा समानता का समर्थन करता है^[48]^: 63 बहु |मल्टी-कोर सिस्टम के लिए एन्क्रिप्शन और, माइक्रोसॉफ्ट विंडोज के तहत, पाइपलाइन (कंप्यूटिंग) पढ़ने/लिखने के संचालन (एसिंक्रोनस प्रोसेसिंग का एक रूप)^[48]^: 63 एन्क्रिप्शन और डिक्रिप्शन के प्रदर्शन पर प्रभाव को कम करने के लिए। एईएस-एनआई इंस्ट्रक्शन सेट का समर्थन करने वाले नए प्रोसेसर पर, ट्रूक्रिप्ट प्रदर्शन को और बेहतर बनाने के लिए एईएस अनुदेश सेट |हार्डवेयर-त्वरित एईएस का समर्थन करता है।^[48]^: 64 डिस्क एन्क्रिप्शन का प्रदर्शन प्रभाव उन परिचालनों पर विशेष रूप से ध्यान देने योग्य है जो सामान्य रूप से प्रत्यक्ष मेमोरी एक्सेस (डीएमए) का उपयोग करते हैं, क्योंकि डिक्रिप्शन के लिए सभी डेटा को डिस्क से सीधे रैम में कॉपी करने के बजाय सीपीयू से गुजरना होगा।

टॉम के हार्डवेयर द्वारा किए गए एक परीक्षण में, हालांकि ट्रूक्रिप्ट एक अनएन्क्रिप्टेड डिस्क की तुलना में धीमा है, ऑन-द-फ्लाई एन्क्रिप्शन का ओवरहेड | वास्तविक समय एन्क्रिप्शन समान पाया गया चाहे वह मध्य-सीमा या स्थिति की परवाह किए बिना हो। -आर्ट हार्डवेयर उपयोग में है, और यह प्रभाव काफी स्वीकार्य था।^[49] एक अन्य लेख में लोकप्रिय डेस्कटॉप अनुप्रयोगों के साथ उचित तरीके से काम करते समय प्रदर्शन लागत को ध्यान देने योग्य नहीं पाया गया, लेकिन यह नोट किया गया कि बिजली उपयोगकर्ता शिकायत करेंगे।^[50]

फ्लेक्सनेट प्रकाशक और सेफकास्ट के साथ असंगति

फ्लेक्सनेट प्रकाशक या सेफकास्ट (जो एडोब सिस्टम्स जैसे एडोब फोटोशॉप जैसे उत्पादों पर सॉफ्टवेयर चोरी को रोकने के लिए उपयोग किया जाता है) का उपयोग करने वाले तृतीय-पक्ष सॉफ़्टवेयर को स्थापित करने से ट्रूक्रिप्ट द्वारा एन्क्रिप्ट किए गए विंडोज विभाजन/ड्राइव पर ट्रूक्रिप्ट बूटलोडर को नुकसान हो सकता है और ड्राइव अनबूटेबल हो सकती है।^[51] यह फ्लेक्सनेट पब्लिशर के पहले ड्राइव ट्रैक पर अनुचित डिज़ाइन लिखने और वहां जो भी गैर-विंडोज बूटलोडर मौजूद है उसे ओवरराइट करने के कारण होता है।^[52]

सुरक्षा संबंधी चिंताएँ

ट्रूक्रिप्ट विभिन्न ज्ञात हमलों के प्रति संवेदनशील है जो बिटलॉकर जैसे अन्य डिस्क एन्क्रिप्शन सॉफ़्टवेयर रिलीज़ में भी मौजूद हैं। उन्हें रोकने के लिए, ट्रूक्रिप्ट के साथ वितरित दस्तावेज़ीकरण के लिए उपयोगकर्ताओं को विभिन्न सुरक्षा सावधानियों का पालन करने की आवश्यकता होती है।^[53] उनमें से कुछ हमलों का विवरण नीचे दिया गया है।

एन्क्रिप्शन कुंजी स्मृति में संग्रहीत

TrueCrypt अपनी कुंजियाँ RAM में संग्रहीत करता है; एक साधारण व्यक्तिगत कंप्यूटर पर DRAM बिजली कटने के बाद कई सेकंड तक (या तापमान कम होने पर अधिक समय तक) अपनी सामग्री को बनाए रखेगा। भले ही मेमोरी सामग्री में कुछ गिरावट हो, विभिन्न एल्गोरिदम बुद्धिमानी से चाबियाँ पुनर्प्राप्त कर सकते हैं। यह विधि, जिसे कोल्ड बूट आक्रमण के रूप में जाना जाता है (जो विशेष रूप से पावर-ऑन, सस्पेंडेड या स्क्रीन-लॉक मोड में प्राप्त नोटबुक कंप्यूटर पर लागू होगी), ट्रूक्रिप्ट द्वारा संरक्षित फ़ाइल सिस्टम पर हमला करने के लिए सफलतापूर्वक उपयोग किया गया है।^[54]

शारीरिक सुरक्षा

TrueCrypt दस्तावेज़ में कहा गया है कि TrueCrypt कंप्यूटर पर डेटा को सुरक्षित करने में असमर्थ है यदि कोई हमलावर भौतिक रूप से इसे एक्सेस करता है और TrueCrypt का उपयोग उपयोगकर्ता द्वारा समझौता किए गए कंप्यूटर पर फिर से किया जाता है (यह चोरी, खोए या जब्त किए गए कंप्यूटर के सामान्य मामले पर लागू नहीं होता है) .^[55] कंप्यूटर तक भौतिक पहुंच रखने वाला हमलावर, उदाहरण के लिए, एक हार्डवेयर/सॉफ्टवेयर keylogger , एक बस मास्टरिंग | बस-मास्टरिंग डिवाइस जो रैम को कैप्चर कर रहा है, स्थापित कर सकता है, या कोई अन्य दुर्भावनापूर्ण हार्डवेयर ट्रोजन (कंप्यूटिंग) या मैलवेयर इंस्टॉल कर सकता है, जिससे हमलावर को अनएन्क्रिप्टेड कैप्चर करने की अनुमति मिलती है। डेटा (एन्क्रिप्शन कुंजी और पासवर्ड सहित), या कैप्चर किए गए पासवर्ड या एन्क्रिप्शन कुंजी का उपयोग करके एन्क्रिप्टेड डेटा को डिक्रिप्ट करना। इसलिए, भौतिक सुरक्षा एक सुरक्षित प्रणाली का मूल आधार है। इस तरह के हमलों को अक्सर दुष्ट नौकरानी का हमला कहा जाता है।^[56]

मैलवेयर

TrueCrypt दस्तावेज़ में कहा गया है कि TrueCrypt किसी कंप्यूटर पर डेटा को सुरक्षित नहीं कर सकता है यदि उसमें किसी प्रकार का मैलवेयर स्थापित है। मैलवेयर कीस्ट्रोक्स को लॉग कर सकता है, जिससे किसी हमलावर के पासवर्ड उजागर हो सकते हैं।^[57]

द स्टोन्ड बूटकिट

द स्टोन्ड बूटकिट, एक मास्टर बूट दस्तावेज़ रूटकिट है जिसे ब्लैक हैट ब्रीफिंग्स टेक्निकल सिक्योरिटी कॉन्फ्रेंस यूएसए 2009 में ऑस्ट्रियाई सॉफ्टवेयर डेवलपर पीटर क्लेस्नर द्वारा प्रस्तुत किया गया था।^[58]^[59] ट्रू-क्रिप्ट के पूर्ण डिस्क एन्क्रिप्शन को प्रभावी ढंग से दरकिनार करते हुए, ट्रू-क्रिप्ट के एमबीआर से छेड़छाड़ करने में सक्षम दिखाया गया है।^[60]^[61]^[62]^[63]^[64] संभावित रूप से प्रत्येक हार्ड डिस्क ड्राइव एन्क्रिप्शन सॉफ़्टवेयर इस प्रकार के हमले से प्रभावित होता है यदि एन्क्रिप्शन सॉफ़्टवेयर विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल जैसी हार्डवेयर-आधारित एन्क्रिप्शन तकनीकों पर निर्भर नहीं होता है, या यदि एन्क्रिप्टेड ऑपरेटिंग सिस्टम चलने के दौरान प्रशासनिक विशेषाधिकारों के साथ हमला किया जाता है।^[65]^[66] दो प्रकार के आक्रमण परिदृश्य मौजूद हैं जिनमें दुर्भावनापूर्ण रूप से इस बूटकिट का लाभ उठाना संभव है: पहले में, उपयोगकर्ता को पीसी के विंडोज़ में बूट होने के बाद प्रशासनिक विशेषाधिकारों के साथ बूटकिट को निष्पादित (कंप्यूटिंग) करने की आवश्यकता होती है; दूसरे में, हार्डवेयर कीलॉगर्स के समान, एक दुर्भावनापूर्ण व्यक्ति को उपयोगकर्ता की ट्रू-क्रिप्ट-एन्क्रिप्टेड हार्ड डिस्क तक भौतिक पहुंच की आवश्यकता होती है: इस संदर्भ में स्टोन्ड बूटकिट के साथ उपयोगकर्ता के ट्रू-क्रिप्ट एमबीआर को संशोधित करने और फिर हार्ड डिस्क को वापस रखने की आवश्यकता होती है अनजान उपयोगकर्ता के पीसी पर, ताकि जब उपयोगकर्ता पीसी को बूट करता है और बूट पर अपना ट्रूक्रिप्ट पासवर्ड टाइप करता है, तो स्टोन्ड बूटकिट उसके बाद इसे इंटरसेप्ट कर लेता है, क्योंकि उस क्षण से, स्टोन्ड बूटकिट बूट अनुक्रम में ट्रूक्रिप्ट के एमबीआर से पहले लोड हो जाता है। पहले प्रकार के हमले को अच्छी सुरक्षा प्रथाओं द्वारा हमेशा की तरह रोका जा सकता है, उदाहरण के लिए। प्रशासनिक विशेषाधिकारों के साथ गैर-भरोसेमंद निष्पादनयोग्य चलाने से बचें। दूसरे को उपयोगकर्ता द्वारा सफलतापूर्वक निष्प्रभावी किया जा सकता है यदि उसे संदेह है कि एन्क्रिप्टेड हार्ड डिस्क किसी ऐसे व्यक्ति के लिए भौतिक रूप से उपलब्ध हो सकती है जिस पर उसे भरोसा नहीं है, एन्क्रिप्टेड ऑपरेटिंग सिस्टम को ट्रूक्रिप्ट के रेस्क्यू डिस्क से सीधे बूट करने के बजाय बूट करके। हार्ड डिस्क. बचाव डिस्क के साथ, उपयोगकर्ता ट्रूक्रिप्ट के एमबीआर को हार्ड डिस्क पर पुनर्स्थापित कर सकता है।^[67]

विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल

ट्रूक्रिप्ट वेबसाइट के एफएक्यू अनुभाग में कहा गया है कि सुरक्षा के लिए विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल (टीपीएम) पर भरोसा नहीं किया जा सकता है, क्योंकि यदि हमलावर के पास कंप्यूटर तक भौतिक या प्रशासनिक पहुंच है और आप बाद में इसका उपयोग करते हैं, तो कंप्यूटर को हमलावर द्वारा संशोधित किया जा सकता है जैसे पासवर्ड या अन्य संवेदनशील जानकारी को कैप्चर करने के लिए एक दुर्भावनापूर्ण घटक - जैसे हार्डवेयर कीस्ट्रोक लॉगर - का उपयोग किया जा सकता है। चूंकि टीपीएम किसी हमलावर को कंप्यूटर को दुर्भावनापूर्ण रूप से संशोधित करने से नहीं रोकता है, ट्रूक्रिप्ट टीपीएम का समर्थन न�

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]

[62]

[63]

[64]

[65]

[66]

[67]

Anonymous

Search