29.05 // На сайте TrueCrypt опубликовано заявление о небезопасности и закрытии проекта


На официальном сайте популярной системы дискового шифрования TrueCrypt опубликовано[link1] заявление, что система не является безопасной и может содержать уязвимости. Более того, сообщается, что с мая 2014 года разработка TrueCrypt прекращена. В то же время выпущен[link2] финальный релиз TrueCrypt 7.2, который рекомендуется использовать только в качестве промежуточного звена при миграции на другие системы.

Указанная на сайте причина закрытия проекта вызывает большие сомнения в правдивости опубликованной информации. В частности, указано что проект закрыт после прекращения поддержки платформы Windows XP в которой отсутствовали встроенные средства шифрования дисков, в то время как в остальных платформах для которых развивался TrueCrypt (Windows 8/7/Vista, OS X и Linux) присутствуют встроенные средства дискового шифрования.

Более непонятной ситуация становится в свете того, что разработчики TrueCrypt не разглашают информацию о себе и являются анонимами. Кроме того, в апреле[link3] был завершён независимый аудит[link4] исходных текстов TrueCrypt, который не выявил опасных проблем. При этом код TrueCrypt не является свободным и распространяется под собственной лицензией TrueCrypt License[link5], содержащей дополнительные требования к области распространения и упоминании авторства, что делает её не совместимой со свободными лицензиями и не позволяет сообществу продолжить развитие через создание форка.

Что касается нового выпуска TrueCrypt 7.2, то отличия[link6] от версии 7.1a сводятся к выводу предупреждения о небезопасности проекта и удалению кода для создания новых шифрованных разделов (можно только расшифровать существующие разделы TrueCrypt). Также несущественно был изменён[link7] текст лицензии. Самое интересное, что архив с выпуском TrueCrypt 7.2 подписан официальным приватным ключом проекта, что ставит под сомнение гипотезы об изменении сайта злоумышленниками в результате взлома. Маловероятно, что получив доступ к ключу формирования подписей для релизов атакующие оказались способны только на шалость с подменой сайта.

При этом многое в этой истории пока вызывает вопросы, например, зачем понадобился редирект сайта truecrypt.org на страницу truecrypt.sourceforge.net и почему для пользователей Windows рекомендуется миграция только на Microsoft BitLocker. Представители SourceForge указали на то, что не нашли никаких признаков взлома аккаунта и аномальной активности, а недавняя принудительная смена паролей было мероприятием по улучшению инфраструктуры, а не реакцией на взлом.

Источник: http://www.opennet.ru/opennews/art.shtml?num=39881

Ссылки
[link1] http://truecrypt.sourceforge.net/

[link2] http://sourceforge.net/projects/truecrypt/files/TrueCrypt/

[link3] http://www.opennet.ru/opennews/art.shtml?num=39573

[link4] https://www.pgpru.com/novosti/2013/provedeniepolnogoauditaishodnikovtruecrypt

[link5] http://en.wikipedia.org/wiki/TrueCrypt#License_and_Open_Source_status

[link6] https://www.alchemistowl.org/arrigo/truecrypt-7.1a-7.2.diff.gz

[link7] https://github.com/warewolf/truecrypt/compare/master...7.2#diff-dc5cde275269b574b34b1204b9221cb2L1