加密软件值得信赖吗？

Question

如果您正在下载和使用加密软件，例如Veracrypt或Diskcryptor，您如何知道该软件是否是假的？背门还是其他安全漏洞？假设这样的程序不是在一个下雨的周日下午由一个傻瓜编码，人力是必要的，但他们是免费的！即使它是开源的，大多数用户也没有知识和时间来检查代码。你有什么办法确保走上正确的轨道？非常感谢您的建议和建议！

Answer 1

当软件流行、安全相关和开源(如Veracrypt)时，通常会有人对其进行审计并报告漏洞。VeraCrypt是基于TrueCrypt 7.1，其中一段时间前进行了全面的审计。许多开源项目还提供了公共bug跟踪器，其中报告了已知的bug。

但是，当您从不受信任的镜像下载程序副本时，您无法确定它是从原始源代码编译的。这就是为什么许多项目发布密码校验和或PGP签名来验证镜像所提供的文件是否与官方构建相同。例如，当您查看从VeraCrypt下载网站时，您会注意到它们每个下载都有一个公共PGP密钥和一个PGP签名。您可以使用GnuPG来验证这些文件。

但是，当软件的源代码不可用时，所有证明它没有漏洞的证据(无论是有意的还是无意的)都是开发人员的话(也可能是他们提供源代码供评审的任何第三方的话)。这就是为什么一些安全专业人士不建议使用封闭源安全产品。

Answer 2

你不信任软件，你信任别人。你使用什么系统？窗户？所以，如果微软想要，他们可以轻松地控制你的电脑。也许他们还没有在系统中直接后门，但这只是一个问题，“安全更新”，你将安装。

你有手机吗？安卓？那么谷歌也可以对你的手机做同样的事情。你使用Linux吗？乌本图？规范是你必须信任的公司。对于Debian，您必须信任关心Debian的人的协会。

你信任那些维护Vearacrypt的人吗？您可以从他们的页面下载Veracrypt，您可以检查由权威机构签名的SSL证书。所以，另外，你必须相信权威。

您可以下载源代码。嗯，检查源代码要比二进制代码容易得多。然而，它有数千行代码，您需要数年才能正确地检查它。即使你检查了代码，你也检查了编译器吗？此外，安装磁盘时，系统(windows)必须具有对加密密钥的访问权限。那么CPU (由英特尔制造)又如何呢？你查过了吗？

你唯一能做的就是减少你必须信任的科目的数量。例如，你只能使用苹果公司生产的产品。你的生命将掌握在苹果的手中，但重要的是，它只掌握在苹果的手中.我不建议那样做:-)。