Этот материал посвящен VeraCrypt - самому популярному на сегодняшний день форку TrueCrypt. В интернете до сих пор не утихают споры, какую из программ использовать: VeraCrypt или TrueCrypt, какая из них безопаснее. Мы постараемся провести непредвзятое сравнение и рассказать вам о преимуществах и недостатках каждой из них.
История создания VeraCrypt
Вот уже четыре года как проект TrueCrypt - легендарный софт для шифрования данных - не поддерживается разработчиками. Но TrueCrypt - программа с открытым исходным кодом, и любой на его основе может начать разрабатывать свой продукт. Именно так поступил француз Мунир Идрасси, летом 2013 представив миру проект VeraCrypt.
Основной идеей было создание более безопасного, чем TrueCrypt, решения. Например, в TrueCrypt использовалась довольно посредственная генерация ключа, по мнению экспертов, не способная обеспечить высокий уровень защиты против имеющихся в арсенале спецслужб компьютерных мощностей. VeraCrypt предложил ощутимо более устойчивое против брутфорса решение, о котором мы подробнее расскажем, когда дойдем до сравнения программ.
При «живом» TrueCrypt форки не пользовались популярностью; все изменилось, когда весной 2014 года разработчики TrueCrypt сообщили о прекращении поддержки проекта. Тогда о VeraCrypt заговорили как о надежной альтернативе TrueCrypt (хотя были и другие форки, такие как GostCrypt, CipherShed, например). Часть пользователей TrueCrypt сразу перешла на использование VeraCrypt, а часть осталась верна TrueCrypt.
Многим понравился VeraCrypt, однако нашлось и немало критиков. В сети активно поддерживалась версия, что VeraCrypt - проект спецслужб, имеющий закладки. Многие относятся к форкам с большой долей скептицизма, этого же мнения придерживаются и разработчики TrueCrypt, считая форк опасным. В основе их опасения лежит убеждение в неспособности сторонних разработчиков до конца разобраться с их кодом, и, как вы узнаете дальше, эти опасения были не напрасны.
VeraCrypt vs TrueCrypt
Давайте сравним TrueCrypt и VeraCrypt. Эти программы очень близки по функционалу и дизайну, что неудивительно для форка и оригинала, потому мы сравним быстродействие и безопасность.
Скорость монтирования криптоконтейнеров.
Первый негативный момент, с которым сталкиваются пользователи TrueCrypt, первый раз попробовав VeraCrypt, - время монтирования криптоконтейнера. Когда в TrueCrypt вы указываете верный пароль, время ожидания до доступа к зашифрованным данным составляет на современном компьютере десятые доли секунды. При использовании VeraCrypt ждать приходится заметно дольше.
Устойчивость к брутфорсу.
Брутфорс, если говорить простыми словами, - попытка подобрать пароль (ключ) путем перебора всех возможных вариантов. Современные суперкомпьютеры, имеющиеся в распоряжении спецслужб, умеют перебирать варианты очень быстро. За счёт более совершенного метода генерации ключей VeraCrypt от 10 до 300 раз более устойчив к атакам прямого перебора. Для многих это самое главное преимущество VeraCrypt.
Поддержка со стороны разработчиков.
TrueCrypt уже не поддерживается разработчиками, используемые решения устаревают с каждым днем, потенциальные уязвимости не исправляются. Это безусловно плюс для VeraCrypt, который активно поддерживается и развивается.
Уязвимости.
Казалось бы, наличие поддержки со стороны разработчиков должно было обеспечить VeraCrypt преимущество, но на самом деле все наоборот. В главе, посвященной TrueCrypt, мы рассказывали о проведенном аудите программы, который не выявил критических уязвимостей. Подобному аудиту было подвергнуто и программное обеспечение VeraCrypt…
По результатам аудита были выявлены 36 уязвимостей, 8 из которых получили статус критических, 3 - умеренных и 15 - незначительных. 8 критических уязвимостей в таком приложении нельзя назвать иначе как катастрофа. С полной версией отчета об аудите вы можете познакомиться по этой ссылке.
В настоящий момент большинство обнаруженных уязвимостей успешно исправлены, однако некоторые из них требуют существенной переработки архитектуры и до сих пор присутствуют в VeraCrypt.
Уровень команды разработчиков.
Как было сказано ранее, аудит VeraCrypt обнаружил 8 критических уязвимостей, а при аудите TrueCrypt не было обнаружено ни одной. Это вызывает опасения по поводу уровня команды разработчиков VeraCrypt. У нас нет никаких сомнений, что программное обеспечение TrueCrypt разрабатывалось более компетентными специалистами.
Допустим, обнаруженные в ходе аудита 8 критических уязвимостей в VeraCrypt будут закрыты, но, где гарантии, что команда разработчиков не допустит еще столько же новых критических уязвимостей?
В нашем противостоянии победил TrueCrypt. Но не все так просто. Вы сами должны все взвесить и принять решение. С одной стороны, TrueCrypt использует устаревающие технологии, уступающие в криптостойкости технологиям VeraCrypt. К тому же TrueCrypt больше не поддерживается разработчиками. С другой стороны, VeraCrypt постоянно обновляется и поддерживает более устойчивые к атакам технологии, но обнаруженные уязвимости и вопросы по поводу уровня команды разработчиков дают повод серьезно задуматься.
В группе специалистов CyberYozh security group единого мнения нет, но есть единое решение - параллельное использование двух инструментов. Проще говоря, вы создаете один криптоконтейнер, например, при помощи программного обеспечения TrueCrypt, внутри него создаете второй криптоконтейнер при помощи VeraCrypt и уже в нем размещаете файлы. Такая связка в разы надежнее каждой из программ в отдельности.
