29.05 // На сайте TrueCrypt опубликовано заявление о небезопасности и закрытии проекта
На официальном сайте популярной системы дискового шифрования TrueCrypt опубликовано заявление, что система не является безопасной и может содержать уязвимости. Более того, сообщается, что с мая 2014 года разработка TrueCrypt прекращена. В то же время выпущен финальный релиз TrueCrypt 7.2, который рекомендуется использовать только в качестве промежуточного звена при миграции на другие системы.
Указанная на сайте причина закрытия проекта вызывает большие сомнения в правдивости опубликованной информации. В частности, указано что проект закрыт после прекращения поддержки платформы Windows XP в которой отсутствовали встроенные средства шифрования дисков, в то время как в остальных платформах для которых развивался TrueCrypt (Windows 8/7/Vista, OS X и Linux) присутствуют встроенные средства дискового шифрования.
Более непонятной ситуация становится в свете того, что разработчики TrueCrypt не разглашают информацию о себе и являются анонимами. Кроме того, в апреле был завершён независимый аудит исходных текстов TrueCrypt, который не выявил опасных проблем. При этом код TrueCrypt не является свободным и распространяется под собственной лицензией TrueCrypt License, содержащей дополнительные требования к области распространения и упоминании авторства, что делает её не совместимой со свободными лицензиями и не позволяет сообществу продолжить развитие через создание форка.
Что касается нового выпуска TrueCrypt 7.2, то отличия от версии 7.1a сводятся к выводу предупреждения о небезопасности проекта и удалению кода для создания новых шифрованных разделов (можно только расшифровать существующие разделы TrueCrypt). Также несущественно был изменён текст лицензии. Самое интересное, что архив с выпуском TrueCrypt 7.2 подписан официальным приватным ключом проекта, что ставит под сомнение гипотезы об изменении сайта злоумышленниками в результате взлома. Маловероятно, что получив доступ к ключу формирования подписей для релизов атакующие оказались способны только на шалость с подменой сайта.
При этом многое в этой истории пока вызывает вопросы, например, зачем понадобился редирект сайта truecrypt.org на страницу truecrypt.sourceforge.net и почему для пользователей Windows рекомендуется миграция только на Microsoft BitLocker. Представители SourceForge указали на то, что не нашли никаких признаков взлома аккаунта и аномальной активности, а недавняя принудительная смена паролей было мероприятием по улучшению инфраструктуры, а не реакцией на взлом.
Источник: http://www.opennet.ru/opennews/art.shtml?num=39881
Тут, как минимум, два вопроса возникает:
2007-ой год. Разве что кроссплатформенности не было, но потом появились tc-play и поддержка TC в LUKS.
Для АНБ замутить что-то подобное было бы просто, потому что у них для этого есть ресурсы. Другое дело, что стиль таких провокаций скорее свойственен КГБ (у которого ресурсов меньше). И слились они не изящно, легенда детская какая-то (ой достало всё не могу). Но если суммировать странности, то есть вероятность инфильтрации проекта и долгой игры на длинном поводке. Похожая история была со скайпом — вовсе не факт, что бекдор там был изначально, это было бы очень нелогично. Но появился до продажи MS.
Если исходить из того, что публиковалось после анализа разных версий Skype'а, то можно сделать вывод о том, что никакого шифрования в Skype (обфускация не в счёт) не было. Можно спекулировать о том, что шифрование когда-то было, а потом его заменили на чисто обфускацию, но такой информации пока нет.
Наверное, поэтому. Впрочем, не новость, тут даже цельные слайды уже пробегали на эту тему.
Можно анонимно попросить принять патч, который внесёт неочевидную фатальную уязвимость. Можно войти в состав разработчиков и сделать то же самое. Можно вообще много чего сделать... Как гласит правило Вагнера, «через 2 года расковыряют и найдут», а пока эти 2 года не истекли, можно невозбранно ломать шифрование.
Ждём следующую фазу: тайные журналистские фото и видеозаписи; визиты на работу; попытки разговорить человека, представивляясь случайным прохожим; опрос родственников, друзей и соседей с визитами к их местам проживания; а также прочий арсенал, применённый к Перельману.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
Да так оно и намечалось, похоже, только Перельмана мудохали рашкинские СМИ, а David Tesařík будут дёргать все мировые. Поэтому он просто решил тихонько уйти.
комментариев: 1079 документов: 58 редакций: 59
Так уже форкать начали. Посмотрим. Хотя конечно лучше дождаться окончания аудита от OpenCryptoAudit и полного отчета. Они собственно и рассматривают вариант продолжения судьбы проекта.
UPD: А вот и на Опеннете появилось пару строк:
.
Автор слайдов знает что-то такое, чего не знают все остальные? Ещё в комментах: