id: Гость   вход   регистрация
текущее время 18:29 28/03/2024
Владелец: ressa (создано 29/05/2014 11:18), редакция от 29/05/2014 11:23 (автор: SATtva) Печать
Категории: криптография, софт, инфобезопасность, политика, законодательство, защита дисков, алгоритмы, truecrypt, исходные тексты, спецслужбы
https://www.pgpru.com/Новости/2014/НаСайтеTrueCryptОпубликованоЗаявлениеОНебезопасностиИЗакрытииПроекта
создать
просмотр
редакции
ссылки

29.05 // На сайте TrueCrypt опубликовано заявление о небезопасности и закрытии проекта


На официальном сайте популярной системы дискового шифрования TrueCrypt опубликовано заявление, что система не является безопасной и может содержать уязвимости. Более того, сообщается, что с мая 2014 года разработка TrueCrypt прекращена. В то же время выпущен финальный релиз TrueCrypt 7.2, который рекомендуется использовать только в качестве промежуточного звена при миграции на другие системы.


Указанная на сайте причина закрытия проекта вызывает большие сомнения в правдивости опубликованной информации. В частности, указано что проект закрыт после прекращения поддержки платформы Windows XP в которой отсутствовали встроенные средства шифрования дисков, в то время как в остальных платформах для которых развивался TrueCrypt (Windows 8/7/Vista, OS X и Linux) присутствуют встроенные средства дискового шифрования.


Более непонятной ситуация становится в свете того, что разработчики TrueCrypt не разглашают информацию о себе и являются анонимами. Кроме того, в апреле был завершён независимый аудит исходных текстов TrueCrypt, который не выявил опасных проблем. При этом код TrueCrypt не является свободным и распространяется под собственной лицензией TrueCrypt License, содержащей дополнительные требования к области распространения и упоминании авторства, что делает её не совместимой со свободными лицензиями и не позволяет сообществу продолжить развитие через создание форка.


Что касается нового выпуска TrueCrypt 7.2, то fileотличия от версии 7.1a сводятся к выводу предупреждения о небезопасности проекта и удалению кода для создания новых шифрованных разделов (можно только расшифровать существующие разделы TrueCrypt). Также несущественно был изменён текст лицензии. Самое интересное, что архив с выпуском TrueCrypt 7.2 подписан официальным приватным ключом проекта, что ставит под сомнение гипотезы об изменении сайта злоумышленниками в результате взлома. Маловероятно, что получив доступ к ключу формирования подписей для релизов атакующие оказались способны только на шалость с подменой сайта.


При этом многое в этой истории пока вызывает вопросы, например, зачем понадобился редирект сайта truecrypt.org на страницу truecrypt.sourceforge.net и почему для пользователей Windows рекомендуется миграция только на Microsoft BitLocker. Представители SourceForge указали на то, что не нашли никаких признаков взлома аккаунта и аномальной активности, а недавняя принудительная смена паролей было мероприятием по улучшению инфраструктуры, а не реакцией на взлом.


Источник: http://www.opennet.ru/opennews/art.shtml?num=39881


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Комментарии [скрыть комментарии/форму]
— Гость (30/05/2014 12:13)   <#>
А законен такой форк? Я в лицензиях не разбираюсь.

И все же история очень мутная в свете удаления кода, сайтов в том числе из веб-архивов. Очень-очень мутная. Ну не мог автор, который просто "забил" так основательно все чистить. Он бы просто перестал обновлять.
— ressa (30/05/2014 13:02)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
А законен такой форк? Я в лицензиях не разбираюсь.

Я не вчитывался в лицензию. Конечно, идеал – это GPL ну или BSD того же tc-play. Но в лицензии ТС вроде сейчас только ограничение на название, под которое торговая марка зарегистрирована. Собственно поэтому я и подумал – что свидетельство канарейки, ну мол "разрешили" форкать с другим названием.
Нужно у других юзеров спросить, может кто-то изучал лицензию. А на счет законен или не законен форк – это дело вторичное в плане того, что могут же совсем запретить у нас использование несертифицированного криптософта – вот тогда вопрос с лицензией вообще роли не играет, будь то GPL будь то BSD, да даже любая из "шуточных" лицензий в духе Beerware.
— Гость (30/05/2014 13:07)   <#>

Когда ntldr делал форк, TC не согласился с лицензией и чинил препятствия. Пришлось переписать с нуля. Так что насчёт форка GPL, например, я не уверен...
— ressa (30/05/2014 13:40)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Ну на то время замыслы разрабов ТС примерно ясны, не зря же торговую марку регистрировали. Собственно поэтому и отслеживали все телодвижения с их сорцами. А ntldr нужно отдать должное – такой проект в одиночку развить и поддерживать.
— Гость (30/05/2014 13:53)   <#>

Два года не было новых версий. Похоже разработку он(и) давно закончили, а это шоу устроили по "просьбам" всяких софтодромов, отыскивающих авторов.
— SATtva (30/05/2014 15:21)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Если правильно помню лицензию TC, она запрещает а) форки, б) зеркалирование исходников и сборок. Как они там собираются делать прямой форк, если лицензия не была изменена, мне непонятно.
— Гость (30/05/2014 15:40)   <#>
Как они там собираются делать прямой форк, если лицензия не была изменена, мне непонятно.
Наплевать на лицензию. Ничего за это не будет.
— Гость (30/05/2014 15:42)   <#>
Два года не было новых версий.
Последний релиз был 1 января 2014.
— Гость (30/05/2014 15:52)   <#>
Последний релиз был 1 января 2014

Речь про TrueCrypt, а не про DiskCryptor.
— Гость (30/05/2014 15:53)   <#>

Релиз чего? Исходники версии 7.1a датированы 7 февраля 2012, это была последняя версия.
— Гость (30/05/2014 17:03)   <#>

Возможное объяснение
U.S. на United States, похоже заменяет сама Visual Studio. В старых версиях студии было U.S., теперь – United States. В нашем проекте тоже такое встречается, когда правят старый код, которому стукнуло уже десяток лет – пруф
— ressa (30/05/2014 17:18)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
;)
SATtva, лицензия к 7.2 позволяет делать форки. filetruecrypt-7.1a-7.2.diff Нельзя использовать название TrueCrypt.
— Гость (30/05/2014 17:58)   <#>
This URL has been excluded from the Wayback Machine для сайта трукрипта упоминается ещё в феврале 2014. Может robot.txt был изначально или очень давно, кто-нибудь вообще видел эти архивы?
— ressa (30/05/2014 18:25)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Я вот не помню. Качал как-то исходники. Помню языковые пакеты, билд и исходники последней версии. А архивов не помню.
— Гость (30/05/2014 21:43)   <#>
SATtva, лицензия к 7.2 позволяет делать форки. filetruecrypt-7.1a-7.2.diff Нельзя использовать название TrueCrypt.

Так она же позволяет только читать зашифрованные разделы? Разве она распространена на старый код в котором можно было еще и шифровать?

И не случится ли так, что через N лет, когда будет десяток форков, некоторые из них могу финансироваться фондами, разработчик подаст в суд на возмещение ущерба?
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3