由NSA（美国国家安全局）前雇员爱德华·斯诺登（Edward Snowden）使用并支持的一度极具人气的加密工具TrueCrypt于去年突然被关闭，此工具相关的网站告诉用户称，这一工具“并不安全”。

如今对TrueCrypt硬盘加密软件进行安全审计的研究人员已经完成了他们的工作，并且称他们没有在该软件的程序代码中发现其故意留有程序后门或者其他严重的设计缺陷。

密码分析员Matthew Green周二在他发表的博文中说到：“根据这份安全审计，Truecrypt看起来是加密软件中设计得较好的一个了。”

去年，在该软件的开发人员不知因何原因放弃了他们的工作之后，社会安全团体便将注意力全部转移到了正在进行的TrueCrypt的安全审计工作中。

在TrueCrypt的官方主页上有一条信息，这条信息旨在敦促用户立刻卸载该软件，因为它可能含有许多未修复的安全漏洞，并且建议客户改用微软公司的BitLocker作为替代品。

在第一阶段的安全审计中我们已经得到了软件的设计蓝图，安全审计的第二阶段是测试TrueCrypt的随机数生成器和其他加密套件。尽管审计人员确实发现了TrueCrypt代码中存在的一些问题，但都是些很小的问题，且只会在非常极端和特殊的情况下才会对安全性造成威胁。

比如说，Windows版本的TrueCrypt依赖于Windows的加密编程接口，该接口也许会在某些情况下无法正确地初始化，这样就会使得TrueCrypt产生的加密密钥是一个可以预测的数字，而不是产生一个随机数。

研究之后Green认为：“这并不是世界末日，因为这种失败概率依然是极其的低的，但是鉴于这是一种程序设计缺陷，那么当然应该对TrueCrypt的衍生产品进行漏洞修复”。

有很多TrueCrypt的衍生产品是参考TrueCrypt的源代码而编写出来的，例如CipherShed和VeraCrypt。TrueCrypt表面上并没有任何严重的安全设计缺陷，无论如何，TrueCrypt的开发者们把网站关闭，将程序下架，而并没有解决这些众所周知的问题，似乎并不是明智的。

有一种理论这样认为：TrueCrypt官方主页上那条神秘的消息可以解读为是认证金丝雀，他们想告诫用户，当前正在进行的软件开发承受着来自多方政府的压力，软件开发变得十分的艰难，甚至从某种程度上来说已经无法进行下去了。如果这是事实，这将会对TrueCrypt未来的衍生产品产生极其恶劣的影响。

Green写到：“TrueCrypt开发人员的神秘消失已经被许多敏锐的人所察觉，这些人保护个人数据的方式依赖于完全的硬盘加密。但幸运的是，程序还会有其他的人继续编写下去，我们应当对未来充满希望，这次报道应该会另为他们刚刚开始的工作增添额外的信心。”

TrueCrypt安全审计工作的全部细节可以以PDF查看，点击这里.

漏洞描述

报告中披露了TrueCrypt中的4个漏洞，不过这些漏洞都不影响到加密性。

1、密钥文件的混合从密码学角度上说不够彻底———低危
2、加密卷头部有未授权的密文——待定
3、CryptAcquireContext在某些场景下可能会失败——高危
4、AES加密可能受"缓存时序攻击"影响——高危

【原文:truecrypt_security_audit 翻译:安全团队公布truecrypt审计结果：没有发现任何证据显示其代码留有故意后门或严重设计缺陷】