Вторник, Октябрь 17, 2017
Главная > Статьи > Серьезная ошибка привела к удалению Cryptkepeer из Debian

Серьезная ошибка привела к удалению Cryptkepeer из Debian


В Debian 9 (кoдoвoe нaзвaниe Stretch, нeстaбильнaя вeрсия) былa oбнaружeнa критичeскaя прoблeмa в пoпулярнoй утилитe  Cryptkeeper. Суть прoблeмы зaключaeтся в тoм, что программа некорректно взаимодействует с криптографической файловой системой EncFS, которая применяется для шифрования данных. Cryptkeeper инициирует контакт с encfs и пытается перейти в paranoia mode путем симуляции нажатия клавиши «p». Однако из-за ошибки разработчиков буква «p» устанавливается в качестве пароля.

Принимая во внимание тот факт, что данный инструмент предназначен для защиты пользователя путем шифрования и сокрытия файлов, это ведет к тому, что вся информация может быть получена с помощью пароля из одной единственной буквы.

По всей видимости, причина, ошибки кроется в недавнем обновлении системы EncFs, в то время как разработчики Cryptkeeper практически не занимаются своим детищем. Несовместимость стала причиной столь грубой ошибки.

В обсуждении на bugs.debian.org прозвучали предложения удалить Cryptkeeper из дистрибутива Debian совсем. Саймон МакВитти отметил, что данная утилита дает иллюзию безопасности, что в несколько раз хуже, чем элементарное отсутствие шифрования. Пока программу удалили лишь из дистрибутива нестабильной девятой версии, которой пользуется весьма незначительное количество людей.

Оценка статьи:

2