TrueCrypt作為*有名的應(yīng)用*廣泛的免費(fèi)文件夾加密軟件，它也有著它的安全隱患。

本文就來(lái)闡述一下它的安全隱患在哪，以及如何改進(jìn)。

TureCrypt的安全隱患：

通過(guò)分析研究發(fā)現(xiàn)TrueCrypt存在安全隱患，*主要的是：實(shí)時(shí)加解密的主密鑰和被加密的實(shí)體存放在同一個(gè)加密卷中。

類似現(xiàn)實(shí)生活中銀行卡和身份證放在一起．萬(wàn)一丟失則對(duì)失主造成損失。

TrueCrypt加密卷結(jié)構(gòu)特點(diǎn)：加密卷是分卷首部分和數(shù)據(jù)部分組成。

卷首部分(除 “鹽”外)由卷首密鑰加密，其中卷首部分有兩個(gè)很重要的數(shù)據(jù)區(qū)：一個(gè)是未加密的 “鹽”，另一個(gè)是由卷首密鑰加密的主密鑰。

數(shù)據(jù)部分填充了由RNG產(chǎn)生的，由臨時(shí)密鑰加密的隨機(jī)數(shù)。

一個(gè)鮮明的特點(diǎn)是：卷首部分中未加密的“鹽”可以和用戶 口令產(chǎn)生卷首密鑰，從而解密卷首部分，得到實(shí)時(shí)加密解密的主密鑰。

這使得加密卷中文件不再安全。

雖然主密鑰在卷頭 中被卷首密鑰加密著．且卷首密鑰基于 PBKDF2的，PBKDF2產(chǎn)生的產(chǎn)生密鑰過(guò)程因?yàn)橛?“鹽”．可以有效防范字典攻擊。

在rImIeCrypt中卷首中 “鹽”是64字節(jié)．所以對(duì)于每一個(gè)用戶名都有 25,2“鹽”值可能。

TmeCrypt用戶名的長(zhǎng)度是 64字節(jié)。

所 以利用要破解密碼一共需要2的1024次方=1.797693134862315907729305t90789e+308次嘗試。

TrueCrypt將 “鹽”設(shè)置位卷首部前 64字節(jié)字節(jié)并且是不加密的。

普通加密卷主密鑰放在卷首部第256至511的字節(jié)中，隱藏加密卷的主密鑰則存在卷首部第65792至66034字節(jié)中。

也就是說(shuō)非法用戶得到加密卷時(shí)，同時(shí)獲得了解密卷首部非常重要的 “鹽”。

要想破解加密卷．非法用戶只需要猜測(cè)用戶 口令即可 大體需 1.3407807929942597099574024998206e+154次嘗試．這大大減少了運(yùn)算時(shí)間。

如果非法用戶再知道加密使用用戶口令的特點(diǎn)或者用戶 口令的關(guān)鍵字。

那么破解時(shí)間還會(huì)大大減少。

這便失去了加“鹽”的優(yōu)勢(shì)，而變成了典型的“字典攻擊”。

TrueCrypt的改進(jìn)：

針對(duì)以上安全隱患，本文提出了改進(jìn)策略：卷首部分重要數(shù)據(jù)和數(shù)據(jù)部分分離；在TmeCrypt中添加u盤(pán)準(zhǔn)入控制模塊。

將卷首部分分離出來(lái)的重要數(shù)據(jù)保存在可準(zhǔn)入的u盤(pán)中。

卷首部分重要數(shù)據(jù)和數(shù)據(jù)部分分離：把卷首部分中的 “鹽”和主密鑰，至少是把 “鹽’’從加密卷中分離出來(lái)。

原來(lái)卷首部分中“鹽”的位置存放卷的序列號(hào)。

分離出來(lái)的部分也要存有相同的序列號(hào)，以便以加載過(guò)程中分離部分的載入。

同樣的也很方便的隨時(shí)變換分離部分的數(shù)據(jù)，即使分離部分丟失，也不用怕數(shù)據(jù)丟失，因?yàn)閬G失的分離部分已經(jīng)作廢了。

分離出來(lái)的重要數(shù)據(jù)保存在經(jīng)過(guò)u盤(pán)準(zhǔn)入控制的U盤(pán)中u盤(pán)準(zhǔn)入控制模塊：把普通或者特定的u盤(pán)作為密鑰的載體，u盤(pán)的準(zhǔn)入控制為T(mén)rueCrypt添加了新的一道防護(hù)門(mén)檻。

只有經(jīng)過(guò)準(zhǔn)入控制的u盤(pán)才可作為密鑰載體．才會(huì)讓TrueCrypt加載加密卷時(shí)有反應(yīng)。

沒(méi)有經(jīng)過(guò)準(zhǔn)入控制的U盤(pán)。

即使u盤(pán)中有卷首分離的數(shù)據(jù)，TrueCrypt也不會(huì)有任何反應(yīng)的。

主密鑰和被加密實(shí)體分離的實(shí)現(xiàn)可以通過(guò)修改卷數(shù)據(jù)格式說(shuō)明和寫(xiě)入時(shí)的操作實(shí)現(xiàn)。

u盤(pán)準(zhǔn)入控制在安全領(lǐng)域的技術(shù)較為成熟，U盤(pán)準(zhǔn)入的模塊可以較為容易地實(shí)現(xiàn)。

通過(guò)添加U盤(pán)準(zhǔn)入控制模塊 以及對(duì)卷首部分重要數(shù)據(jù)和數(shù)據(jù)部分的分離，使得TrueCrypt中的 “實(shí)時(shí)加解密的主密鑰和被加密的實(shí)體存放在同一個(gè)加密卷中”這一安全隱患得到解決。

即使數(shù)據(jù)被他人獲取，也不有很大的損失。

TrueCrypt是個(gè)好的開(kāi)源文件加密軟件，有著安全、易用 、功能強(qiáng)大等優(yōu)點(diǎn)。

但也存在著安全隱患。

目前國(guó)內(nèi)TrueCrypt研究資料非常少．本文依據(jù)源代碼研究。

對(duì)特征 、結(jié)構(gòu)以及基本原理進(jìn)行了分析，并針對(duì)其中存在的安全隱患提出了改進(jìn)方案．使得TrueCrypt更加的完善。