Трукрипт официальный сайт

Сайт TrueCrypt сообщает о закрытии проекта и предлагает переходить на BitLocker

Трукрипт официальный сайт

Разработчики TrueCrypt ответили: сайт | твиттер
Разработчик TrueCrypt «David»: «Мы были счастливы, что аудит ничего не выявил. Мы усердно работали над проектом 10 лет, но ничего не длится вечно.

» Steven Barnhart: (перефразировано) разработчик считает, что форк навредит еще больше: «Исходный код в любом случае доступен, можете подглядывать» (The source is still available as a reference though).

«Я спросил, и было очевидно в последнем ответе, что разработчики считают форк вредным, т.к. только они сами разбираются в коде». «Также он сказал, что никакого контакта с правительством, кроме когда ему предлагали „контракт на поддержку“, у него не было».

Разработчик TrueCrypt «David»: «Битлокер 'достаточно хорош' и Windows был основной целью разработки»

Цитируя разработчика: «Больше нет интереса».

TL;DR: «Новая» версия может только дешифровывать данные, и может содержать троян (хотя я и не нашел, но вы мне не верьте на слово). Бинарник подписан верным ключом разработчика. Все старые версии удалены, репозиторий тоже очищен. На странице рассказывается о том, что разработка TrueCrypt была прекращена в мае этого года, после того, как Microsoft прекратила поддержку Windows XP, и что TrueCrypt более небезопасен и может содержать уязвимости. Далее, на странице содержится подробная инструкция миграции с TrueCrypt на BitLocker. На сайте есть также ссылки на бинарный файл TrueCrypt, которые ведут в раздел загрузок SourceForge, вместе с цифровой подписью. Этот файл подписан корректным (старым) ключом, а внутри него:
22 мая SourceForge сменили алгоритм хеширования паролей и предложили всем их сменить, чтобы использовался новый алгоритм. Возможно, что-то пошло не так.

SourceForge говорят, что ничего не произошло:

Providing some details from SourceForge: 1. We have had no contact with the TrueCrypt project team (and thus no complaints). 2. We see no indicator of account compromise; current usage is consistent with past usage.

3. Our recent SourceForge forced password change was triggered by infrastructure improvements not a compromise. FMI see sourceforge.net/blog/forced-password-change

Thank you,

The SourceForge Team communityteam@sourceforge.net

Предположение №1

Вебсайт взломан, ключи скомпрометированы. Не скачивайте эту версию и не запускайте. И не переходите на BitLocker. Последняя рабочая версия: 7.1a. Версия 7.2 — подделка. Почему я так думаю: странное изменение ключей (сначала залили новый, потом удалили и вернули старый), и почему битлокер?

Предположение №2

Что-то случилось с разработчиками (угрожают лишить жизни) или с самим TrueCrypt (нашли серьезную уязвимость), что привело к выпуску такой версии.

Почему я так думаю: все файлы имеют правильную подпись, выпущены все релизы (Windows; Linux x86, x86_64, console versions, Mac OS, sources), бинарники, похоже, скомпилированы на ПК разработчика (пути к pdb, метаданные компилятора совпадают). Текст лицензии тоже был изменен (см. diff ниже).

Почему совет использовать BitLocker выглядит возмутительно? TrueCrypt всегда был яро против поддержки TPM, а в BitLocker он широко используется. Почему не советовать другие Open-Source альтернативы? Похоже на то, что разработчик просто не может ничего сказать прямыми словами. Это очень похоже на Свидетельство канарейки. К сожалению, это предположение пока выглядит более реалистично, чем первое. Sad but true.

Предположение №3

Версия 7.1a содержит троян и разработчик хочет уберечь всех пользователей от ее использования.

Почему я так думаю: существует такой блог truecryptcheck.wordpress.com с хеш-суммами для всех релизов версии 7.1a. В нем всего одна запись от 15 августа 2013 года. Несколько странно делать сайт, где есть только хеш-суммы только одной программы и только одной ее версии.

Предположения со страницы на etcwiki:

Предположение №4

Кампания по сбору средств на аудит TrueCrypt набрала $62000, чтобы выяснить, есть ли в коде лазейки, которые позволяют расшифровать данные. В то же время, TrueCrypt Foundation почти не получала пожертвований, и разработчики разочаровались, что все настроены против них.

Почему я так думаю: разработчики TrueCrypt почти не получали пожертвований. Конечно, я не знаю конкретные цифры, но вероятно, аудит набрал больше, чем TrueCrypt за время своего существования. Так как разработчики анонимны, они не получают никаких слов благодарности.

Все это подозрительно, но, вероятно, это было сделано либо самими разработчиками, либо TrueCrypt Foundation.

Предположение №5

Разработчикам надоело разрабатывать проект, или же у них возникли трудности в реальной жизни Почему я так думаю: это случается с каждым. Заявление о том, что TrueCrypt более не является безопасным кажется адекватным, если учесть, что обновлений больше не будет. Похоже, что все изменения были сделаны разработчиками.

Предположение №6

Правительство пытается найти («выкурить») разработчиков. Кто-то заполучил доступ к логинам и ключам разработчиков TrueCrypt, но не смог найти самих разработчиков.

Почему я так думаю: у правительства может быть достаточно ресурсов для того, чтобы взломать ключи разработчика и попасть на сайт.

Абсурдное заявление переходить на BitLocker может заставить настоящего разработчика сделать какое-то заявление или ответить другим образом.

Как заметил postdig:

truecrypt.org.ua/news: 12 апреля 2014 года сайт переведен в режим только для чтения. Аккаунты пользователей удалены. Спасибо всем, кто принимал участие в развитии проекта!

Как бы намекает что процесс ни разу не внезапный.

Из твиттера Wikileaks:
(1/4) Truecrypt has released an update saying that it is insecure and development has been terminated truecrypt.sf.net (2/4) the style of the announcement is very odd; however we believe it is ly to be legitimate and not a simple defacement (3/4) the new executable contains the same message and is cryptographically signed. We believe that there is either a power onflict…

(4/4) in the dev team or psychological issues, coersion of some form, or a hacker with access to site and keys.

Из твиттера Matthew Green (один из аудиторов TrueCrypt):
@SteveBellovin @mattblaze @0xdaeda1a I think this is legit. TrueCrypt Setup 7.1a.exe:

  • sha1: 7689d038c76bd1df695d295c026961e50e4a62ea
  • md5: 7a23ac83a0856c352025a6f7c9cc1526

TrueCrypt 7.1a Mac OS X.dmg:

  • sha1: 16e6d7675d63a9bb75a9983397e3610459a1
  • md5: 89affdc42966ae5739f673ba54b7c5

truecrypt-7.1a-linux-x86.tar.gz:

  • sha1: 0e77b220dbbc6f14101f3f913966f2c818b0f588
  • md5: 093552e43cf51697a15421816899be

truecrypt-7.1a-linux-x64.tar.gz:

  • sha1: 086cf24fad36c2c99a6ac32774833c74091acc4d
  • md5: bb355096348383987447151eecd6dc0e

Другие мысли и интересная информация:

www.reddit.com/r/crypto/comments/26px1i/truecrypt_shutting_down_development_of_truecrypt/chu5bhr

krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/comment-page-1/#comment-255908
bradkovach.com/2014/05/the-death-of-truecrypt-a-symptom-of-a-greater-problem
boingboing.net/2014/05/29/mysterious-announcement-from-t.html
steve.grc.com/2014/05/29/an-imagined-letter-from-the-truecrypt-developers Ссылки на новости и записи в блогах:

news.ycombinator.com/item?id=7812133

www.reddit.com/r/netsec/comments/26pz9b/truecrypt_development_has_ended_052814
www.reddit.com/r/sysadmin/comments/26pxol/truecrypt_is_dead
www.reddit.com/r/crypto/comments/26px1i/truecrypt_shutting_down_development_of_truecrypt
arstechnica.com/security/2014/05/truecrypt-is-not-secure-official-sourceforge-page-abruptly-warns
krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure
www.pcworld.com/article/2241300/truecrypt-now-encouraging-users-to-use-microsofts-bitlocker.html#tk.twt_pcworld
www.coindesk.com/popular-encryption-tool-truecrypt-mysteriously-shuts
business.kaspersky.com/truecrypt-unexplained-disappearance
www.forbes.com/sites/jameslyne/2014/05/29/open-source-crypto-truecrypt-disappears-with-suspicious-cloud-of-mystery ­— вот эта достаточно неплохо написана
news.softodrom.ru/ap/b19702.shtml — очень хорошая статья (написана, кстати, 15.05.2014)
pastebin.com/7LNQUsrA — еще немного информации о разработчиках

stream: .com/search?q=truecrypt&src=typd

Diff между нормальной версией 7.1a и «текущей» 7.2

diff на github

Link for your English-speaking friends

truecrypt.sourceforge.net

  • truecrypt
  • шифрование
  • взлом

Хабы:

  • Информационная безопасность

Источник: https://habr.com/ru/post/224491/

TrueCrypt: необъяснимое исчезновение

Трукрипт официальный сайт

Нечто очень странное происходит с популярным бесплатным пакетом для шифрования диска TrueCrypt. История пока в развитии, но все идет к тому, что TrueCrypt вот-вот прекратит существование. Единственное на данный момент объяснение, данное его разработчиками, указывает на то, что использовать TrueCrypt «небезопасно из-за нерешенных проблем с защитой».

Что же это за проблемы? А вот этого люди из TrueCrypt не раскрыли до сих пор. Есть некоторые предположения о возможном бэкдоре в коде программного обеспечения, но это всего лишь догадки, в лучшем случае.

Ходили также слухи о возможном дефейсе, так как официальный сайт TrueCryptвнезапно стал перенаправлять посетителей на страницу пакета на Sourceforge. Сейчас хотя бы появилась ясность с тем, что это не был дефейс: наряду с редиректом само программное обеспечение тоже изменилось и теперь выдает такое же предупреждение, что и сайт Sourceforge.

Пользователям TrueCrypt рекомендуется перейти с TrueCrypt на BitLocker от Microsoft, и разработчики TrueCrypt предлагают пошаговую инструкцию на этот счет.

TrueCrypt является (то есть являлся) кросс-платформенным, бесплатным, с доступными исходниками приложением для шифрования, которое могло создать виртуальный зашифрованный диск внутри файла, зашифровать раздел (под MicrosoftWindows, кроме Windows 8 с GPT) или весь накопитель (с авторизацией перед загрузкой). Пакет использовался в течение почти 10 лет, и все это время его разработчики пребывали в тени, даже их имена оставались в тайне.

Похоже, разработчики TrueCrypt вдруг решили отказаться от пакета без объяснения причин.

TrueCrypt высоко ценили за стабильность, солидный набор функций, поддержку распараллеленного шифрования для многоядерных систем и, в особенности, за функцию «правдоподобного отрицания», что позволяло создавать «скрытый том» внутри другого тома .

Разработчики прежде признавали, что TrueCrypt уязвим для малого числа известных атак, например, он может стать жертвой буткита «Stoned», поэтому следует принимать дополнительные меры безопасности.

Но за исключением этого TrueCrypt, в целом, получал самые высокие оценки, если не обращать внимания на туманные формулировки в его лицензии.

Лицензия TrueCrypt является уникальной и отличается от широко использующихся лицензий на ПО с открытым исходным кодом и бесплатный софт, так как содержит ограничения, касающиеся распространения и соблюдения авторских прав.

К маю 2014 года TrueCrypt был загружен 28 миллионов раз. А теперь разработчики, по-видимому, резко выключили рубильник и покинули беспокойную сферу криптографии, жизнь в которой сейчас еще больше усложнилась, чем после откровений Э. Сноудена в прошлом году.

На самом деле, именно эти откровения отчасти подстегнули спрос на независимый аудит безопасности, чтобы выяснить степень возможных манипуляций с TrueCrypt.

Криптограф и профессор Университета Джона Хопкинса Мэтью Грин, как давний «скептик» в отношении TrueCrypt, запустил двойную краудфандинговую кампанию с целью финансирования подобной проверки.

Сообщество продемонстрировало живой интерес к затее: Грину, в конечном итоге, удалось собрать целых $70 000 (гораздо больше планировавшейся суммы), и первый раунд аудита был успешно завершен в начале этого года, не принеся никаких неприятных открытий.

Второй этап еще даже не начинался, а теперь он и вовсе представляется маловероятным. А в связи с «туманным» правовым статусом исходного кода TrueCrypt неясно, сможет ли кто-либо продолжить разработку продукта.

Итак, давайте говорить прямо: на данный момент никто, кроме самих разработчиков TrueCrypt, конечно, на самом деле не знает, что происходит. Нет никакой информации о характере проблем с безопасностью и возможных способах их устранения.

Данное программное обеспечение было довольно популярным: 28 миллионов загрузок – уже много само по себе, и даже если только треть скачавших пакет фактически им пользовались, их число уже сопоставимо с населением крупного города. Легкая миграция на BitLockerв реальности доступна только некоторым пользователям, так как BitLocker входит в комплект только топовых версий WindowsVista, 7 и 8.

Все эти люди сейчас задаются вопросом, были ли вообще их данные надежно защищены с того дня, как они начали пользоваться TrueCrypt. Отсутствие объяснений уж точно их не успокоило, если не сказать больше.

Хоть все прекрасно понимают, что лицензионные соглашения никто и никогда не читает, пользователи рассчитывают на то, что вендорам ПО можно доверять вне независимости от того, коммерческий это софт, бесплатный или с открытым исходным кодом.

В последнюю очередь люди ждут от разработчика ПО внезапного исчезновения с горизонта практически без предупреждений и объяснений, не говоря уже о том, чтобы ценить такой поступок.

Так дела не делаются, особенно в сфере информационной безопасности.

Источник: https://www.kaspersky.ru/blog/truecrypt-neobyasnimoe-ischeznovenie/14893/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.