Серьезная ошибка привела к удалению Cryptkepeer из Debian

В Debian 9 (кoдoвoe нaзвaниe Stretch, нeстaбильнaя вeрсия) былa oбнaружeнa критичeскaя прoблeмa в пoпулярнoй утилитe  Cryptkeeper. Суть проблемы заключается в том, что программа некорректно взаимодействует с криптографической файловой системой EncFS, которая применяется для шифрования данных. Cryptkeeper инициирует контакт с encfs и пытается перейти в paranoia mode путем симуляции нажатия клавиши «p». Однако из-за ошибки разработчиков буква «p» устанавливается в качестве пароля.

Принимая во внимание тот факт, что данный инструмент предназначен для защиты пользователя путем шифрования и сокрытия файлов, это ведет к тому, что вся информация может быть получена с помощью пароля из одной единственной буквы.

По всей видимости, причина, ошибки кроется в недавнем обновлении системы EncFs, в то время как разработчики Cryptkeeper практически не занимаются своим детищем. Несовместимость стала причиной столь грубой ошибки.

В обсуждении на bugs.debian.org прозвучали предложения удалить Cryptkeeper из дистрибутива Debian совсем. Саймон МакВитти отметил, что данная утилита дает иллюзию безопасности, что в несколько раз хуже, чем элементарное отсутствие шифрования. Пока программу удалили лишь из дистрибутива нестабильной девятой версии, которой пользуется весьма незначительное количество людей.

Оценка статьи:

2

Комментирование и размещение ссылок запрещено.

Комментарии закрыты.