29.05 // На сайте TrueCrypt опубликовано заявление о небезопасности и закрытии проекта
На официальном сайте популярной системы дискового шифрования TrueCrypt опубликовано заявление, что система не является безопасной и может содержать уязвимости. Более того, сообщается, что с мая 2014 года разработка TrueCrypt прекращена. В то же время выпущен финальный релиз TrueCrypt 7.2, который рекомендуется использовать только в качестве промежуточного звена при миграции на другие системы.
Указанная на сайте причина закрытия проекта вызывает большие сомнения в правдивости опубликованной информации. В частности, указано что проект закрыт после прекращения поддержки платформы Windows XP в которой отсутствовали встроенные средства шифрования дисков, в то время как в остальных платформах для которых развивался TrueCrypt (Windows 8/7/Vista, OS X и Linux) присутствуют встроенные средства дискового шифрования.
Более непонятной ситуация становится в свете того, что разработчики TrueCrypt не разглашают информацию о себе и являются анонимами. Кроме того, в апреле был завершён независимый аудит исходных текстов TrueCrypt, который не выявил опасных проблем. При этом код TrueCrypt не является свободным и распространяется под собственной лицензией TrueCrypt License, содержащей дополнительные требования к области распространения и упоминании авторства, что делает её не совместимой со свободными лицензиями и не позволяет сообществу продолжить развитие через создание форка.
Что касается нового выпуска TrueCrypt 7.2, то отличия от версии 7.1a сводятся к выводу предупреждения о небезопасности проекта и удалению кода для создания новых шифрованных разделов (можно только расшифровать существующие разделы TrueCrypt). Также несущественно был изменён текст лицензии. Самое интересное, что архив с выпуском TrueCrypt 7.2 подписан официальным приватным ключом проекта, что ставит под сомнение гипотезы об изменении сайта злоумышленниками в результате взлома. Маловероятно, что получив доступ к ключу формирования подписей для релизов атакующие оказались способны только на шалость с подменой сайта.
При этом многое в этой истории пока вызывает вопросы, например, зачем понадобился редирект сайта truecrypt.org на страницу truecrypt.sourceforge.net и почему для пользователей Windows рекомендуется миграция только на Microsoft BitLocker. Представители SourceForge указали на то, что не нашли никаких признаков взлома аккаунта и аномальной активности, а недавняя принудительная смена паролей было мероприятием по улучшению инфраструктуры, а не реакцией на взлом.
Источник: http://www.opennet.ru/opennews/art.shtml?num=39881
То ли выше была ссылка, то ли у Шнайера:
И что-то вчера-позавчера было про аудит: видно, что делал один человек и т.д.
комментариев: 9796 документов: 488 редакций: 5664
GUI к cryptsetup есть (zulucrypt), но ведь это типичное ненужно.
Спасибо. Есть многое на свете, что совершенно не нужно, и без чего прожить совершенно немыслимо (поскольку мы не одни на этом свете).
комментариев: 11558 документов: 1036 редакций: 4118
http://www.opennet.ru/opennews/art.shtml?num=40008
Да их целая куча, вот только доказывает ли это хоть что-нибудь...
Казалось бы, американская юрисдикция на Чехию ещё не распространяется (по крайней мере, официально).
Какова вероятность совпадения, что первые буквы сложатся в точную фразу на латыни? Не очень большая.
Включаем логику, варианты:
1. На разработчиков давили не сильно, иначе они испугались бы даже намек делать. То есть вероятнее всего давление было официальным, скорее всего какой-то закрытый суд и имеют место документы. Потому как даже, если бы их по тихому вызвали в местное КГБ и намекнули на плохие вещи вряд ли они стали бы делать такой намек.
2. TrueCrypt закрыли чтобы очернить АНБ и надпись "подстава" АНБ. Но сильно просчитались с его популярностью и уровнем реакции сообщества.
3. "Купили чтобы закрыть", это могла сделать одна из компаний производящих инструменты криптографии, так как большинство таких продуктов TrueCrypt убивал своим качеством. Зачем в этом случае такая надпись не совсем понятно. Возможно просто троллинг, а может толчок сообщества: "АНБ закрыло, значит продукт классный, все быстренько делаем форки!" Так и деньги за отказ от разработки получили и продукт не убили.
Пользователи смогут самостоятельно проверить надёжность BitLocker?
Как будут разработчики TrueCrypt возвращать деньги?, ведь люди давали их не только за то, что сделано, но и на развитие проекта.
комментариев: 11558 документов: 1036 редакций: 4118
Если Вы доверяете Microsoft и Вас не смущает встроенный доступ для правоохранителей.
Очевидно, нет.
На развитие устраивают фандрайзинг-кампании с перечислением конкретных фич, подлежащих реализации. Не помню такого в исполнении TC, у них был обычный донат.
Буду беречь TrueCrypt.
После того, что теперь написано на сайте TrueCrypt, моё доверие к программе только повысилось.
4. В TrueCrypt спрятали сверх закладку, которая будет мигрировать во все форки и которую практически не возможно найти. Спровоцированный (возможно искусственный) рост популярности приведет к широкому использованию TrueCrypt. Таким образом при соблюдении со стороны АНБ секрета закладки оно получит очень много информации.
Сообщение – часть плана по повышению популярности.
Начиная с какой версии в TrueCrypt появилась такая закладка?