id: Гость   вход   регистрация
текущее время 16:22 17/12/2018
Владелец: ressa (создано 29/05/2014 11:18), редакция от 29/05/2014 11:23 (автор: SATtva) Печать
Категории: криптография, софт, инфобезопасность, политика, законодательство, защита дисков, алгоритмы, truecrypt, исходные тексты, спецслужбы
https://www.pgpru.com/Новости/2014/НаСайтеTrueCryptОпубликованоЗаявлениеОНебезопасностиИЗакрытииПроекта
создать
просмотр
редакции
ссылки

29.05 // На сайте TrueCrypt опубликовано заявление о небезопасности и закрытии проекта


На официальном сайте популярной системы дискового шифрования TrueCrypt опубликовано заявление, что система не является безопасной и может содержать уязвимости. Более того, сообщается, что с мая 2014 года разработка TrueCrypt прекращена. В то же время выпущен финальный релиз TrueCrypt 7.2, который рекомендуется использовать только в качестве промежуточного звена при миграции на другие системы.


Указанная на сайте причина закрытия проекта вызывает большие сомнения в правдивости опубликованной информации. В частности, указано что проект закрыт после прекращения поддержки платформы Windows XP в которой отсутствовали встроенные средства шифрования дисков, в то время как в остальных платформах для которых развивался TrueCrypt (Windows 8/7/Vista, OS X и Linux) присутствуют встроенные средства дискового шифрования.


Более непонятной ситуация становится в свете того, что разработчики TrueCrypt не разглашают информацию о себе и являются анонимами. Кроме того, в апреле был завершён независимый аудит исходных текстов TrueCrypt, который не выявил опасных проблем. При этом код TrueCrypt не является свободным и распространяется под собственной лицензией TrueCrypt License, содержащей дополнительные требования к области распространения и упоминании авторства, что делает её не совместимой со свободными лицензиями и не позволяет сообществу продолжить развитие через создание форка.


Что касается нового выпуска TrueCrypt 7.2, то fileотличия от версии 7.1a сводятся к выводу предупреждения о небезопасности проекта и удалению кода для создания новых шифрованных разделов (можно только расшифровать существующие разделы TrueCrypt). Также несущественно был изменён текст лицензии. Самое интересное, что архив с выпуском TrueCrypt 7.2 подписан официальным приватным ключом проекта, что ставит под сомнение гипотезы об изменении сайта злоумышленниками в результате взлома. Маловероятно, что получив доступ к ключу формирования подписей для релизов атакующие оказались способны только на шалость с подменой сайта.


При этом многое в этой истории пока вызывает вопросы, например, зачем понадобился редирект сайта truecrypt.org на страницу truecrypt.sourceforge.net и почему для пользователей Windows рекомендуется миграция только на Microsoft BitLocker. Представители SourceForge указали на то, что не нашли никаких признаков взлома аккаунта и аномальной активности, а недавняя принудительная смена паролей было мероприятием по улучшению инфраструктуры, а не реакцией на взлом.


Источник: http://www.opennet.ru/opennews/art.shtml?num=39881


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Комментарии [скрыть комментарии/форму]
— Гость (30/05/2014 03:05)   <#>

Тут, как минимум, два вопроса возникает:
  1. Можно ли удалить то, что уже ранее было отзеркалировано? Это не то же самое, что отключить зеркалирование более новых материалов начиная с какого-то момента.
  2. Трюки с robots.txt, на самом деле, могут приводить только к тому, что сайт не будет отображаться, а архивироваться тайком на серверах продолжит. Вспомните хотя бы историю с опцией «I don't want to be tracked» в firefox, на которую, как показало исследование, клали все, кому ни лень (в итоге, в TBB от неё вообще отказались).


Я сейчас занимаюсь написанием сабжа. Утилита будет иметь возможность шифровать тома с данными включая загрузочный том.

формат полностью совместим с TrueCrypt.

2007-ой год. Разве что кроссплатформенности не было, но потом появились tc-play и поддержка TC в LUKS.
— Гость (30/05/2014 04:24)   <#>

Для АНБ замутить что-то подобное было бы просто, потому что у них для этого есть ресурсы. Другое дело, что стиль таких провокаций скорее свойственен КГБ (у которого ресурсов меньше). И слились они не изящно, легенда детская какая-то (ой достало всё не могу). Но если суммировать странности, то есть вероятность инфильтрации проекта и долгой игры на длинном поводке. Похожая история была со скайпом — вовсе не факт, что бекдор там был изначально, это было бы очень нелогично. Но появился до продажи MS.
— Гость (30/05/2014 04:49)   <#>

Если исходить из того, что публиковалось после анализа разных версий Skype'а, то можно сделать вывод о том, что никакого шифрования в Skype (обфускация не в счёт) не было. Можно спекулировать о том, что шифрование когда-то было, а потом его заменили на чисто обфускацию, но такой информации пока нет.
— Гость (30/05/2014 04:52)   <#>
тексты программы открыты так что анб тут бессильна то как раз. она тут действует как в поговорке – ёе из окна а она в дверь, её из двери а она в окно и тд. С кодом ничего не могут сделать так будут прессовать возможных девелоперов, рушить оф сайт и вывешивать инструкции там цель которых запугивание. Они поняли что бессильны и в ход пошли все способы включая жалкий троллинг.
— Гость (30/05/2014 05:38)   <#>

Наверное, поэтому. Впрочем, не новость, тут даже цельные слайды уже пробегали на эту тему.
— Гость (30/05/2014 05:43)   <#>

Можно анонимно попросить принять патч, который внесёт неочевидную фатальную уязвимость. Можно войти в состав разработчиков и сделать то же самое. Можно вообще много чего сделать... Как гласит правило Вагнера, «через 2 года расковыряют и найдут», а пока эти 2 года не истекли, можно невозбранно ломать шифрование.
— Гость (30/05/2014 07:29)   <#>
Деанонимизация авторов Truecrypt
— Гость (30/05/2014 09:19)   <#>

В заключение можно отметить, что Софтодром пытался связаться с разработчиком по имени David Tesařík, который, по нашему мнению, является создателем TrueCrypt, и в настоящее время работает в IT-компании одного из своих родственников, но на наши емейлы ни он, ни его родственники не ответили.

Ждём следующую фазу: тайные журналистские фото и видеозаписи; визиты на работу; попытки разговорить человека, представивляясь случайным прохожим; опрос родственников, друзей и соседей с визитами к их местам проживания; а также прочий арсенал, применённый к Перельману.
— SATtva (30/05/2014 09:55)   профиль/связь   <#>
комментариев: 11533   документов: 1036   редакций: 4084
...Или к Дориану Накамото.
— SATtva (30/05/2014 09:57)   профиль/связь   <#>
комментариев: 11533   документов: 1036   редакций: 4084
Шнайер тоже задаётся сакраментальным вопросом.
— Гость (30/05/2014 11:44)   <#>
Как сообщают с проекта по аудиту, к ним на связь вышел сам David Tesaří и сообщил, что „There is no longer interest“ т.е. разработчики утратили интерес. На вопрос о мерзких кознях подлого АНБ был получен следующий ответ „no government contact except one time inquiring about a "support contract"“. Авторам просто надоело, а возможно это реакция на деанонимизацию. Бывает… ntldr тоже явно надоел DiskCryptor. Возвращаемся к BestCrypt? Тем более там и 8.1 нормально поддерживается, и UEFI.
— Гость (30/05/2014 11:46)   <#>
Ждём следующую фазу: тайные журналистские фото и видеозаписи; визиты на работу; попытки разговорить человека, представивляясь случайным прохожим; опрос родственников, друзей и соседей с визитами к их местам проживания; а также прочий арсенал, применённый к Перельману.

Да так оно и намечалось, похоже, только Перельмана мудохали рашкинские СМИ, а David Tesařík будут дёргать все мировые. Поэтому он просто решил тихонько уйти.
— Гость (30/05/2014 11:55)   <#>
Пусть тогда поменяет лицензию на GPL. Задавали ему такой вопрос?
— ressa (30/05/2014 12:04, исправлен 30/05/2014 12:08)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59

Так уже форкать начали. Посмотрим. Хотя конечно лучше дождаться окончания аудита от OpenCryptoAudit и полного отчета. Они собственно и рассматривают вариант продолжения судьбы проекта.
UPD: А вот и на Опеннете появилось пару строк:

Не дожидаясь OpenCryptoAudit группа энтузиастов уже инициировала форк – TrueCryptNext. Сайт проекта размещён в Швейцарии, чтобы избежать возможных юридических угроз со стороны США. При разработке решено отказаться от анонимности, имена всех участников проекта будут известны. Инициаторамы форка выступили Thomas Bruderer, бывший президент Пиратской партии Швейцарии, и Joseph Doekbrijder. На первом этапе участники проекта планируют взять на себя поддержку выпуска обновлений и обеспечить возможность продолжения работы тех, кто уже использует TrueCrypt. Для совместной работы над кодом создан репозиторий в GitHub. Организовано распространение последних сборок TrueCrypt 7.1a, которые были удалены с официального сайта TrueCrypt

.

— Гость (30/05/2014 12:12)   <#>

The SANS Institute website has this set of filepresentation slides by Jason A. Lord. Slide 23 is on TrueCrypt. Unlike other slides in the same presentation, this one doesn't have any informative bullets, only a note that says "Removed at request of US Government". I've wondered what to make of it.

Автор слайдов знает что-то такое, чего не знают все остальные? Ещё в комментах:
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3