TrueCrypt เป็นโปรแกรมเข้ารหัสดิสก์แบบฟรีและโอเพ่นซอร์สที่เปิดตัวครั้งแรกในปี 2547 ฟรีแวร์ถูกยกเลิกในเดือนพฤษภาคม 2557 และไม่ได้รับการดูแลรักษาอีกต่อไป.
ซอฟต์แวร์ถูกใช้เพื่อสร้างพาร์ติชันที่เข้ารหัสลับบนฮาร์ดไดรฟ์หรือสร้างดิสก์ที่เข้ารหัสเสมือนภายในไฟล์ เมื่อเข้ารหัสแล้วข้อมูลที่เก็บไว้ในพาร์ติชันต้องใช้รหัสผ่านเพื่อเข้าถึง TrueCrypt เป็นวิธีการเข้ารหัสดิสก์ที่ได้รับความนิยมทั้งในระบบปฏิบัติการ Mac OSX และ Windows ที่มีผู้ใช้หลายล้านคน.
หลังจากผู้พัฒนาที่ไม่ระบุชื่อทิ้ง TrueCrypt ภายใต้สถานการณ์ที่ค่อนข้างลึกลับทฤษฎีต่าง ๆ เกี่ยวกับความปลอดภัยที่อาจเกิดขึ้นซึ่งอาจส่งผลต่อข้อมูลของผู้ใช้ การสาปแช่งที่มากที่สุดมาจากทีมรักษาความปลอดภัยของ Project Zero ของ Google ซึ่งเปิดช่องโหว่ที่ไม่ทราบมาก่อนสองแห่ง หนึ่งในนั้นอนุญาตให้แอปพลิเคชันทำงานด้วยสิทธิ์ผู้ใช้ปกติเพื่อเลื่อนระดับสิทธิ์เหล่านั้นไปยังระดับการดูแลระบบ.
TrueCrypt ปลอดภัยหรือไม่?
ในปี 2558 สถาบัน Fraunhofer สำหรับเทคโนโลยีสารสนเทศที่ปลอดภัยได้ทำการตรวจสอบอย่างเป็นทางการของ TrueCrypt รุ่นล่าสุด รายงาน 77 หน้าพบข้อบกพร่องอื่น ๆ ใน TrueCrypt แต่ในที่สุดก็ตัดสินว่าซอฟต์แวร์มีความปลอดภัยเมื่อใช้สำหรับกรณีการใช้งานหลัก นั่นคือการเข้ารหัสข้อมูลที่เหลือเช่นบนฮาร์ดไดรฟ์ภายนอกหรือไดรฟ์ USB สถาบันยอมรับว่ามีข้อบกพร่องที่ Google ค้นพบอยู่ แต่ไม่สามารถใช้ประโยชน์เพื่อให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่เข้ารหัสได้.
ในขณะที่การเข้ารหัสข้อมูลในไดรฟ์ภายนอกทำให้ทุกอย่างชัดเจนของสถาบันงานเดียวกันในหน่วยความจำของคอมพิวเตอร์หรือไดรฟ์ที่ติดตั้งไม่ได้ หากติดตั้งไดรฟ์คีย์ที่ใช้ในการเข้ารหัสข้อมูลจะถูกเก็บไว้ในหน่วยความจำของคอมพิวเตอร์ คีย์นั้นสามารถกู้คืนและใช้ในการถอดรหัสข้อมูลในภายหลัง.
ถึงกระนั้นโอกาสที่แฮ็กเกอร์จะใช้ประโยชน์จากสถานการณ์เหล่านี้ก็ยังค่อนข้างผอม ต้องติดตั้งคอนเทนเนอร์ที่เข้ารหัสอย่างใดอย่างหนึ่งซึ่งในกรณีนี้ข้อมูลที่ถอดรหัสจะพร้อมใช้งานอยู่หรือคอมพิวเตอร์ต้องเข้าสู่โหมดไฮเบอร์เนตด้วยการติดตั้งคอนเทนเนอร์เข้ารหัส หากมีคนเข้าถึงคอมพิวเตอร์ขณะที่คอนเทนเนอร์ที่เข้ารหัสเปิดอยู่แสดงว่าเกมนั้นจบสิ้นแล้ว มิฉะนั้นผู้ใช้จะต้องไม่อนุญาตให้คอมพิวเตอร์ที่มีไดรฟ์ที่เข้ารหัสและถูกเมาท์เข้าสู่โหมดไฮเบอร์เนตในขณะที่คอนเทนเนอร์ที่เข้ารหัสเปิดอยู่.
ฉันควรใช้ TrueCrypt หรือไม่?
หากคุณมีระบบเก่าที่ติดตั้ง TrueCrypt เวอร์ชันดั้งเดิมไว้และคุณไม่ได้ใช้งานในไดรฟ์ที่ติดตั้งไว้คุณควรอยู่ในขอบเขตที่ชัดเจนว่าจะไม่เกิดสถานการณ์ดังกล่าวข้างต้น TrueCrypt มีความปลอดภัยน้อยกว่าเล็กน้อยสำหรับไดรฟ์ที่ติดตั้งด้วยเหตุผลที่อธิบายข้างต้น.
แต่ถ้าคุณยังไม่มี TrueCrypt อยู่ดังนั้นการดาวน์โหลดและติดตั้งมันอาจทำให้คุณตกอยู่ในความเสี่ยง โปรดจำไว้ว่าซอฟต์แวร์ถูกยกเลิกอย่างเป็นทางการในช่วงสองปีที่ผ่านมาและยังไม่ได้ดาวน์โหลดอย่างเป็นทางการตั้งแต่นั้นมา ในขณะที่บางเว็บไซต์และ torrents อ้างว่าเสนอ TrueCrypt ของแท้ให้ดาวน์โหลด แต่ก็มีวิธีเล็กน้อยที่จะรู้ว่ามันได้รับการดัดแปลงโดยเฉพาะอย่างยิ่งหากคุณไม่ใช่ผู้เชี่ยวชาญด้านซอฟต์แวร์.
ผู้ใช้บางคนชี้ไปที่สำเนาที่เก็บถาวรบน Github ซึ่งสามารถตรวจสอบรหัสได้อย่างอิสระ แต่ที่เก็บเหล่านั้นส่วนใหญ่ยังไม่ได้รับการตรวจสอบโดยผู้เชี่ยวชาญเนื่องจากการทำเช่นนั้นเป็นขั้นตอนที่ใช้เวลานานและมีค่าใช้จ่ายสูง Open Crypto Project กล่าวว่าหนึ่งที่เก็บ Github ซึ่งเป็นสำเนาของ TrueCrypt 7.1 ได้รับการตรวจสอบแล้ว.
ในขณะที่ไม่มีหลักฐานสนับสนุนข้อเรียกร้องดังกล่าวผู้ใช้บางคนกล่าวว่าระบบความปลอดภัยของ TrueCrypt มีแบ็กเอนด์สำหรับเจ้าหน้าที่ของรัฐ.
หากคุณตั้งใจจะใช้ TrueCrypt นั่นอาจเป็นทางออกที่ดีที่สุดของคุณ แต่เราขอแนะนำให้ลองใช้ทางเลือกใหม่ เครื่องมือเข้ารหัสดิสก์เหล่านี้บางส่วนเป็นส้อมของ TrueCrypt ดั้งเดิมในขณะที่เครื่องมืออื่นถูกพัฒนาแยกกัน.
ทางเลือก TrueCrypt
นี่คือรายละเอียดโดยย่อของทางเลือก TrueCrypt โดยมีรายละเอียดเพิ่มเติมในแต่ละด้านล่าง:
- VeraCrypt เปิดแหล่งที่มาและตรวจสอบรหัสปรับปรุงบน TrueCrypt ทำงานบน Mac และพีซีและอนุญาตให้สร้างคอนเทนเนอร์ที่เข้ารหัส
- Bitlocker สร้างขึ้นใน Windows ไม่ใช่โอเพ่นซอร์สเข้ารหัสเฉพาะดิสก์แบบเต็มและไม่มีกลไกการปฏิเสธความน่าเชื่อถือที่เป็นไปได้
- DiskCryptor เป็นเครื่องมือที่ใช้ Windows เท่านั้นเป็นโอเพ่นซอร์ส แต่ไม่ผ่านการตรวจสอบช่วยให้ bootloader สามารถติดตั้งบน USB หรือ CD และทำงานได้เร็วกว่าอุปกรณ์อื่น
- Ciphershed เป็นอีกหนึ่ง TrueCrypt ทางแยกทำงานกับคอนเทนเนอร์ TrueCrypt เก่าช้าด้วยการอัปเดตและทำงานบน Mac, PC และ Linux
- FileVault 2 สร้างขึ้นใน Mac OSX Lion และใหม่กว่าอนุญาตการเข้ารหัสดิสก์เต็มรูปแบบเท่านั้นและไม่ใช่โอเพ่นซอร์ส
- LUKS เป็นตัวเลือกโอเพนซอร์ซสำหรับ Linux รองรับหลายอัลกอริธึม แต่ไม่สนับสนุนระบบที่ไม่ใช่ลินุกซ์
1. เวราคริปต์
เวราคริปต์เป็นผู้นำของทรูคริปต์และได้รับการพิจารณาอย่างกว้างขวางว่าเป็นผู้สืบทอด มันทำหน้าที่เดียวกับ TrueCrypt ทั้งหมดและบางส่วน VeraCrypt เพิ่มความปลอดภัยให้กับอัลกอริทึมที่ใช้สำหรับการเข้ารหัสระบบและพาร์ติชัน การปรับปรุงเหล่านี้ทำให้ภูมิคุ้มกันต่อการพัฒนาใหม่ในการโจมตีแบบเดรัจฉาน – แรง คุณสามารถดูรายการการปรับปรุงและการแก้ไขทั้งหมดที่ VeraCrypt ได้ทำบน TrueCrypt ที่นี่.
VeraCrypt ใช้การวนซ้ำมากกว่า 30 ครั้งเมื่อทำการเข้ารหัสคอนเทนเนอร์และพาร์ติชั่นมากกว่า TrueCrypt ซึ่งหมายความว่าจะใช้เวลานานกว่าเล็กน้อยสำหรับพาร์ติชันในการเริ่มต้นและคอนเทนเนอร์เพื่อเปิด แต่ไม่มีผลต่อการใช้แอปพลิเคชัน.
เวราคริปต์ฟรีและโอเพ่นซอร์สและจะเป็นเสมอ รหัสนี้ได้รับการตรวจสอบเป็นประจำโดยนักวิจัยอิสระ เนื่องจากเป็นหลักคล้ายกับ TrueCrypt การตรวจสอบซอฟต์แวร์ต้นฉบับจึงยังคงใช้กับ VeraCrypt.
เวราคริปต์สนับสนุนความน่าจะเป็นที่สามารถปฏิเสธได้สองประเภท – การมีอยู่ของข้อมูลที่เข้ารหัสนั้นเป็นสิ่งที่ปฏิเสธได้เพราะฝ่ายตรงข้ามไม่สามารถพิสูจน์ได้ว่าข้อมูลที่ไม่ได้เข้ารหัสนั้นยังมีอยู่. วอลลุ่มลับ อยู่ในพื้นที่ว่างของปริมาตรภาชนะที่มองเห็น – พื้นที่ซึ่งจะเต็มไปด้วยค่าสุ่มหากไม่มีปริมาณที่ซ่อนอยู่. ระบบปฏิบัติการที่ซ่อนอยู่ มีอยู่ข้างระบบปฏิบัติการที่มองเห็นได้ หากฝ่ายตรงข้ามบังคับให้คุณมอบรหัสผ่านคุณสามารถให้รหัสผ่านแก่พวกเขาสำหรับระบบปฏิบัติการที่มองเห็นได้.
2. Bitlocker
Bitlocker เป็นซอฟต์แวร์ Windows เท่านั้นที่ได้รับความนิยมใช้ในการเข้ารหัสปริมาณทั้งหมดโดยใช้อัลกอริทึมการเข้ารหัส AES ด้วยคีย์ 128- หรือ 256 บิต ไม่เหมือนกับ TrueCrypt และ VeraCrypt, Bitlocker ไม่สามารถสร้างคอนเทนเนอร์ที่เข้ารหัสได้ พาร์ติชันทั้งหมดต้องถูกเข้ารหัสในครั้งเดียว.
ในขณะที่วิธีการนี้ใช้งานได้สำหรับบางคนโปรดทราบว่าหากคุณปล่อยให้คอมพิวเตอร์ของคุณเข้าสู่ระบบและมีคนอื่นใช้วิธีนี้ไฟล์ของคุณทั้งหมดจะมองเห็นได้ Windows มีระบบการเข้ารหัสแยกต่างหากที่เรียกว่า EFS (ระบบไฟล์ที่เข้ารหัส) สำหรับการเข้ารหัสไฟล์และโฟลเดอร์เดียว แต่สิ่งเหล่านี้จะถูกปลดล็อคเมื่อใดก็ตามที่ผู้ใช้เข้าสู่ระบบ.
Bitlocker ไม่ใช่โอเพ่นซอร์สซึ่งหมายความว่าประชาชนไม่สามารถตรวจสอบได้สำหรับแบ็คดอร์ เนื่องจากความสัมพันธ์ที่เป็นมิตรกับ Microsoft กับ NSA จึงอาจเป็นตัวทำลายข้อตกลงสำหรับคนจำนวนมาก ความกังวลก็เพิ่มขึ้นเช่นกันเมื่อ Microsoft ลบ Elephant Diffuser ซึ่งเป็นคุณสมบัติที่ป้องกันการปรับเปลี่ยนดิสก์ที่เข้ารหัสเพื่อเหตุผลด้านประสิทธิภาพ.
Bitlocker ไม่มีกลไกการปฏิเสธความน่าเชื่อถือที่เป็นไปได้แม้ว่าคุณจะสามารถโต้แย้งได้ว่าเนื้อหาในฮาร์ดไดรฟ์ของคุณได้รับการแก้ไขเนื่องจากไม่มี Elephant Diffuser หายไป แม้ว่าจะยืดได้.
Bitlocker ตรวจสอบว่าผู้โจมตีไม่ได้แก้ไขซอฟต์แวร์ที่ใช้ในการบูตคอมพิวเตอร์.
3. DiskCryptor
DiskCryptor เป็นโซลูชันการเข้ารหัสดิสก์เต็มรูปแบบสำหรับ Windows โดยเฉพาะ เทียบกับตัวเลือกข้างต้นการวิเคราะห์ความปลอดภัยอย่างเป็นทางการเพียงเล็กน้อยนั้นได้รับการดำเนินการบน DiskCryptor แม้ว่าจะเป็นโอเพ่นซอร์สก็ตาม เราไม่ทราบมากนักเกี่ยวกับผู้แต่งและจุดประสงค์ของพวกเขา สงสัยว่าซอฟต์แวร์นั้นทำงานได้ดีจริง ๆ หรือไม่ เหตุใดจึงเป็นที่นิยม?
DiskCryptor นั้นรวดเร็วและใช้งานง่าย มันต้องการทรัพยากรการประมวลผลน้อยกว่าและเข้ารหัสได้เร็วกว่า TrueCrypt DiskCryptor ใช้ AES 256 บิต Twofish, Serpent หรืออัลกอริธึมแบบเรียงซ้อนในโหมด XTS เพื่อทำการเข้ารหัส มีรายงานว่างูเร็วที่สุด.
DiskCryptor รองรับการเข้ารหัสของอุปกรณ์ภายนอกรวมถึงฮาร์ดไดรฟ์ไดรฟ์ USB ซีดีและดีวีดี รองรับตัวเลือกมัลติบูตหลายตัว.
หากคุณกำลังซ่อนบางสิ่งบางอย่างจาก NSA DiskCryptor อาจไม่ใช่ตัวเลือกที่ดีที่สุด แต่มันควรจะทำงานได้ดีถ้าคอมพิวเตอร์ของคุณถูกขโมยหรือหลานชายที่มีจมูกยาวพยายามเข้าถึงไฟล์ของคุณ.
คุณสมบัติการปฏิเสธความน่าเชื่อถือที่เป็นไปได้ของ DiskCryptor ช่วยให้คุณสามารถติดตั้ง bootloader ของคอมพิวเตอร์ลงในไดรฟ์ USB หรือซีดี หากไม่มีตัวโหลดบูตเนื้อหาที่เข้ารหัสของฮาร์ดไดรฟ์ของคอมพิวเตอร์จะดูเหมือนพื้นที่ว่างพร้อมข้อมูลสุ่ม ข้อเสียของวิธีนี้คือคุณต้องใช้ CD หรือ USB bootloader เพื่อเริ่มคอมพิวเตอร์และถอดรหัสข้อมูล.
4. CipherShed
เช่นเดียวกับ VeraCrypt, CipherShed เริ่มต้นเป็นทางแยกของ TrueCrypt สามารถใช้งานได้กับ Windows PC, Mac OSX และ Linux แม้ว่าจะต้องมีการรวบรวมสำหรับสองรุ่นหลัง รุ่นที่ไม่ใช่ตัวอักษรตัวแรกวางจำหน่ายในเดือนกุมภาพันธ์ปีนี้ แต่ยังไม่มีการเปิดตัวผลิตภัณฑ์ (v1.0 หรือใหม่กว่า).
ดูเหมือนว่าการพัฒนาจะช้ากว่าเวราคริปต์มาก แต่ก็กำลังคืบหน้าไปอีกเล็กน้อย ความผิดพลาดใน TrueCrypt ได้รับการแก้ไขแล้ว.
นอกเหนือจากการพัฒนาต่อไป CipherShed ไม่ได้แยกความแตกต่างจากเวราคริปต์มากนัก คุณสามารถทำการเข้ารหัสดิสก์แบบเต็มหรือสร้างคอนเทนเนอร์ที่เข้ารหัส.
ข้อดีอย่างหนึ่งคือ CipherShed สามารถใช้กับคอนเทนเนอร์ TrueCrypt ได้ในขณะที่ VeraCrypt เวอร์ชันใหม่ไม่ใช่ การเพิ่มขึ้นของคีย์ของ VeraCrypt (การทำซ้ำดังกล่าวข้างต้น) ทำให้ไม่สามารถใช้ร่วมกับคอนเทนเนอร์ TrueCrypt ได้ แต่ปลอดภัยยิ่งขึ้นเช่นกัน.
CipherShed อาศัยปริมาณที่ซ่อนอยู่เช่นเดียวกับเวราคริปต์สำหรับการปฏิเสธความน่าเชื่อถือที่เป็นไปได้.
5. FileVault 2
FileVault 2 เป็นคำตอบสำหรับ Bitlocker ของ Apple เปิดตัวครั้งแรกกับ OSX Lion ซอฟต์แวร์สำหรับ Mac เท่านั้นใช้อัลกอริทึม AES-XTC 128 บิตสำหรับการเข้ารหัสดิสก์เต็มรูปแบบ รหัสผ่านเข้าสู่ระบบของผู้ใช้จะใช้เป็นรหัสการเข้ารหัส.
คล้ายกับ Bitlocker FileVault 2 ไม่มีตัวเลือกในการสร้างคอนเทนเนอร์ที่เข้ารหัส ซึ่งหมายความว่าเมื่อคุณลงชื่อเข้าใช้ Macbook ข้อมูลทั้งหมดของฮาร์ดไดรฟ์จะไม่ถูกเข้ารหัสและมองเห็นได้จนกว่าระบบจะปิดตัวลง.
ความคล้ายคลึงกันที่ใช้ร่วมกันอื่นกับ Bitlocker: FileVault 2 ไม่ใช่โอเพ่นซอร์ส นั่นหมายความว่าไม่สามารถตรวจสอบโดยสาธารณะและอาจมีแบ็คดอร์.
6. LUKS
สำหรับผู้ใช้ Linux LUKS ใช้ cryptsetup และใช้ dm-crypt เป็นแบ็กเอนด์การเข้ารหัสดิสก์ ย่อมาจากการตั้งค่า Linux Unified Key LUKS ระบุรูปแบบบนดิสก์มาตรฐานแพลตฟอร์มสำหรับใช้ในเครื่องมือต่าง ๆ.
LUKS ไม่มีคุณสมบัติทั้งหมดของ VeraCrypt หรือตัวเลือกอื่น ๆ แต่มีความยืดหยุ่นมากกว่าเมื่อพูดถึงอัลกอริธึมการเข้ารหัส.
LUKS ไม่ได้เดินทางได้ดีระหว่างระบบปฏิบัติการและใช้งานได้ดีกับ Linux เท่านั้นแม้ว่าผู้ใช้ Windows สามารถเข้าถึงดิสก์ที่เข้ารหัสด้วย LUKS โดยใช้ LibreCrypt.
LUKS ไม่สนับสนุนการปฏิเสธความน่าเชื่อถือที่เป็นไปได้.
หมายเหตุเกี่ยวกับความน่าจะเป็นที่เชื่อถือได้
อย่าเลือกซอฟต์แวร์เข้ารหัสของคุณตามกลไกการปฏิเสธความน่าเชื่อถือที่เป็นไปได้ แม้ว่ามันจะเป็นโบนัสที่ดี แต่มันก็เป็นเกราะป้องกันที่อ่อนแอ.
ในแง่ของการเข้ารหัสดิสก์ความน่าเชื่อถือในการปฏิเสธความน่าเชื่อถือหมายถึงไม่มีใครสามารถพิสูจน์ได้ว่ามีการเข้ารหัสข้อมูลในคอมพิวเตอร์ของคุณเพราะข้อมูลที่เข้ารหัสดูเหมือนกับไม่มีข้อมูลเลย.
ปัญหาคือเสียงดังขึ้นเล็กน้อยสุ่มและผู้เชี่ยวชาญแหลมสามารถสังเกตสัญญาณอื่น ๆ ที่ดิสก์ได้รับการเข้ารหัส (นี้เรียกว่า “การวิเคราะห์เอนโทรปี”) การถกเถียงกันว่าการปฏิเสธความน่าเชื่อถือที่เป็นไปได้จริงจะเกิดขึ้นในศาลหรือห้องทรมานหรือไม่.
ใช้ VPN เพื่อเข้ารหัสข้อมูลระหว่างทาง
การเข้ารหัสดิสก์จะปกป้องข้อมูลของคุณในขณะที่อยู่ในคอมพิวเตอร์หรือไดรฟ์ภายนอก แต่จะไม่มีการป้องกันใด ๆ สำหรับข้อมูลนั้นในขณะที่ส่งผ่านอินเทอร์เน็ต เพื่อที่คุณจะต้องมี VPN.
ย่อมาจากเครือข่ายส่วนตัวเสมือน VPN เข้ารหัสการรับส่งข้อมูลอินเทอร์เน็ตทั้งหมดของอุปกรณ์และกำหนดเส้นทางผ่านเซิร์ฟเวอร์ในตำแหน่งที่คุณเลือก อุโมงค์เข้ารหัสจะปกป้องข้อมูลระหว่างการขนส่งจาก ISP ของคุณและใครก็ตามในเครือข่ายท้องถิ่นที่อาจกำลังสอดแนม หลังจากออกจากเซิร์ฟเวอร์ VPN แล้วจะไม่มีการเข้ารหัสอีกต่อไป แต่ทราฟฟิกทั้งหมดมาจากที่อยู่ IP ของเซิร์ฟเวอร์แทนที่จะเป็นของคุณเอง โดยทั่วไปแล้ว IP ของเซิร์ฟเวอร์จะถูกแชร์โดยผู้ใช้หลายสิบหรือหลายร้อยคนทำให้กิจกรรมของคุณไม่ระบุชื่ออย่างมีประสิทธิภาพ คุณสามารถดูผู้ให้บริการ VPN ที่ดีที่สุดของเราได้ที่นี่.
“ ห้องนิรภัยของธนาคารภายใต้ Hotels in Toronto, Ontario” โดย Jason Baker ได้รับใบอนุญาตภายใต้ CC BY 2.0