id: Гость   вход   регистрация
текущее время 20:00 28/03/2024
Владелец: ressa (создано 29/05/2014 11:18), редакция от 29/05/2014 11:23 (автор: SATtva) Печать
Категории: криптография, софт, инфобезопасность, политика, законодательство, защита дисков, алгоритмы, truecrypt, исходные тексты, спецслужбы
http://www.pgpru.com/Новости/2014/НаСайтеTrueCryptОпубликованоЗаявлениеОНебезопасностиИЗакрытииПроекта
создать
просмотр
редакции
ссылки

29.05 // На сайте TrueCrypt опубликовано заявление о небезопасности и закрытии проекта


На официальном сайте популярной системы дискового шифрования TrueCrypt опубликовано заявление, что система не является безопасной и может содержать уязвимости. Более того, сообщается, что с мая 2014 года разработка TrueCrypt прекращена. В то же время выпущен финальный релиз TrueCrypt 7.2, который рекомендуется использовать только в качестве промежуточного звена при миграции на другие системы.


Указанная на сайте причина закрытия проекта вызывает большие сомнения в правдивости опубликованной информации. В частности, указано что проект закрыт после прекращения поддержки платформы Windows XP в которой отсутствовали встроенные средства шифрования дисков, в то время как в остальных платформах для которых развивался TrueCrypt (Windows 8/7/Vista, OS X и Linux) присутствуют встроенные средства дискового шифрования.


Более непонятной ситуация становится в свете того, что разработчики TrueCrypt не разглашают информацию о себе и являются анонимами. Кроме того, в апреле был завершён независимый аудит исходных текстов TrueCrypt, который не выявил опасных проблем. При этом код TrueCrypt не является свободным и распространяется под собственной лицензией TrueCrypt License, содержащей дополнительные требования к области распространения и упоминании авторства, что делает её не совместимой со свободными лицензиями и не позволяет сообществу продолжить развитие через создание форка.


Что касается нового выпуска TrueCrypt 7.2, то fileотличия от версии 7.1a сводятся к выводу предупреждения о небезопасности проекта и удалению кода для создания новых шифрованных разделов (можно только расшифровать существующие разделы TrueCrypt). Также несущественно был изменён текст лицензии. Самое интересное, что архив с выпуском TrueCrypt 7.2 подписан официальным приватным ключом проекта, что ставит под сомнение гипотезы об изменении сайта злоумышленниками в результате взлома. Маловероятно, что получив доступ к ключу формирования подписей для релизов атакующие оказались способны только на шалость с подменой сайта.


При этом многое в этой истории пока вызывает вопросы, например, зачем понадобился редирект сайта truecrypt.org на страницу truecrypt.sourceforge.net и почему для пользователей Windows рекомендуется миграция только на Microsoft BitLocker. Представители SourceForge указали на то, что не нашли никаких признаков взлома аккаунта и аномальной активности, а недавняя принудительная смена паролей было мероприятием по улучшению инфраструктуры, а не реакцией на взлом.


Источник: http://www.opennet.ru/opennews/art.shtml?num=39881


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Комментарии [скрыть комментарии/форму]
— Констанция (01/06/2014 09:13)   <#>
Да, замутили с TrueCrypt-ом серьезно. Ведь теперь, если даже появится самая правдивая версия этой истории, кто ей поверит?
— Гость (01/06/2014 10:32)   <#>

То ли выше была ссылка, то ли у Шнайера:
Imagine yourself as the lead/solo developer working on TC. No one pays you for this, governments hate you, much of the crypto community is throwing rocks at you while your user community spends half of its time joining in with clueless paranoia and the other half whining about feature gaps (e.g. GPT boot disks.) You have to eat, so you have a real paying job. You’re not so young any more (doing the TC crap for a decade) and maybe the real job now includes responsibilities that crowd out side work. Or maybe you’ve got a family you love more than the whiny paranoids you encounter via TC. And now iSec is telling you your code is sloppy and unreadable, and that you should take on a buttload of mind-numbing work to pretty it up so they will have an easier time figuring out where some scotch-fueled coding session in 2005 ( or maybe something you inherited from a past developer) resulted in a gaping exploitable hole that everyone will end up calling a NSA backdoor.

И что-то вчера-позавчера было про аудит: видно, что делал один человек и т.д.
— Гость (02/06/2014 11:04)   <#>
Кто-нибудь пользовал ScramDisk for Linux? Существуют ли какие-либо другие гуишные создатели контейнеров для Линукса?
— unknown (02/06/2014 12:12, исправлен 02/06/2014 12:12)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

GUI к cryptsetup есть (zulucrypt), но ведь это типичное ненужно.

— Гость (02/06/2014 13:32)   <#>

Спасибо. Есть многое на свете, что совершенно не нужно, и без чего прожить совершенно немыслимо (поскольку мы не одни на этом свете).
— Гость (03/06/2014 19:26)   <#>
Кстати, многие донатили трукрипт? Такие проекты нужно поддерживать финансово, лучше сэкономить на чем нибудь другом.
— SATtva (03/06/2014 19:37)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Хороший вопрос.

03/06 (id181): Приходилось ли вам жертвовать деньги на разработку программ, связанных с инфобезопасностью, шифрованием или сетевой анонимностью?
Нет 71  66.4%
Да, делал(а) это пару раз 27  25.2%
Да, делаю это регулярно 9  8.4%
Респондентов: 107
Опрос шел (дней): 39
Добавил: SATtva
— Гость (17/06/2014 00:14)   <#>
В обращении о закрытии TrueCrypt нашли скрытое предупреждение о причастности АНБ
http://www.opennet.ru/opennews/art.shtml?num=40008
— Гость (17/06/2014 00:57)   <#>

Да их целая куча, вот только доказывает ли это хоть что-нибудь...

Не имея возможности открыто рассказать о контакте с АНБ из-за подписки о неразглашении, авторы TrueCrypt возможно воспользовались методом, напоминающим Свидетельство канарейки.

Казалось бы, американская юрисдикция на Чехию ещё не распространяется (по крайней мере, официально).
— Гость (18/06/2014 13:41)   <#>
Да их целая куча, вот только доказывает ли это хоть что-нибудь...

Какова вероятность совпадения, что первые буквы сложатся в точную фразу на латыни? Не очень большая.

Включаем логику, варианты:

1. На разработчиков давили не сильно, иначе они испугались бы даже намек делать. То есть вероятнее всего давление было официальным, скорее всего какой-то закрытый суд и имеют место документы. Потому как даже, если бы их по тихому вызвали в местное КГБ и намекнули на плохие вещи вряд ли они стали бы делать такой намек.

2. TrueCrypt закрыли чтобы очернить АНБ и надпись "подстава" АНБ. Но сильно просчитались с его популярностью и уровнем реакции сообщества.

3. "Купили чтобы закрыть", это могла сделать одна из компаний производящих инструменты криптографии, так как большинство таких продуктов TrueCrypt убивал своим качеством. Зачем в этом случае такая надпись не совсем понятно. Возможно просто троллинг, а может толчок сообщества: "АНБ закрыло, значит продукт классный, все быстренько делаем форки!" Так и деньги за отказ от разработки получили и продукт не убили.
— Гость (18/06/2014 20:20)   <#>
Программа BitLocker способна заменить TrueCrypt?
Пользователи смогут самостоятельно проверить надёжность BitLocker?
Как будут разработчики TrueCrypt возвращать деньги?, ведь люди давали их не только за то, что сделано, но и на развитие проекта.
— SATtva (18/06/2014 20:54)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Если Вы доверяете Microsoft и Вас не смущает встроенный доступ для правоохранителей.


Очевидно, нет.


На развитие устраивают фандрайзинг-кампании с перечислением конкретных фич, подлежащих реализации. Не помню такого в исполнении TC, у них был обычный донат.
— Гость (18/06/2014 23:57)   <#>
BitLocker? Не, не подходит.
Буду беречь TrueCrypt.
После того, что теперь написано на сайте TrueCrypt, моё доверие к программе только повысилось.
— Гость (19/06/2014 15:30)   <#>
Включаем логику, варианты:


BitLocker? Не, не подходит.
Буду беречь TrueCrypt.
После того, что теперь написано на сайте TrueCrypt, моё доверие к программе только повысилось.


4. В TrueCrypt спрятали сверх закладку, которая будет мигрировать во все форки и которую практически не возможно найти. Спровоцированный (возможно искусственный) рост популярности приведет к широкому использованию TrueCrypt. Таким образом при соблюдении со стороны АНБ секрета закладки оно получит очень много информации.
Сообщение – часть плана по повышению популярности.
— Гость (19/06/2014 15:55)   <#>
4.
В TrueCrypt спрятали сверх закладку, которая будет мигрировать во все форки и которую практически не возможно найти.

Начиная с какой версии в TrueCrypt появилась такая закладка?
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3