Truecrypt habrahabr

Разбор полётов: Синдром усталости — Офтоп на TJ

Truecrypt habrahabr

TrueCrypt представляет собой бесплатную программу, предназначенную для шифрования жестких дисков, отдельных их разделов, хранящихся на них файлов, а также USB-устройств.

Программа распространяется на основе свободной лицензии и в общей сложности существует уже более десяти лет. В настоящее время существуют версии программы для Windows, Mac OS X и Linux.

Для защиты данных TrueCrypt использует так называемый механизм «шифрования на лету» (on-the-fly encryption, OTFE). Этот механизм позволяет пользоваться зашифрованными файлами, хранящимися на защищенном диске, как обычными документами.

К примеру, чтобы получить доступ к лежащему в зашифрованном разделе фильму, пользователю достаточно один раз ввести установленный для данного раздела пароль (после окончания работы с файлом и закрытия тома пароль придется вводить снова). После этого файл с фильмом можно открыть в плеере точно так же, как и любой другой документ, находящийся в незашифрованном разделе.

Незаметно для пользователя TrueCrypt будет расшифровывать часть видеофайла и загружать её в плеер. Когда расшифрованный фрагмент закончится, плеер загрузит вторую часть видео, и процесс дешифрования и шифрования повторится снова. Точно так же ПО работает и со всеми остальными файлами.

Отличительной особенностью программы является также возможность создавать внутри защищённого раздела еще один — невидимый, скрытый том. Для данного тома устанавливается отдельный пароль.

Предполагается, что в этот раздел пользователь может спрятать действительно важные конфиденциальные файлы и, если его вынуждают раскрыть пароль от зашифрованных данных, выдать лишь ключ, открывающий внешний, видимый том TrueCrypt.

Что случилось с TrueCrypt

Помимо того, что разработчики программы сообщили на сайте (о невозможности дальнейшего обеспечения безопасности TrueCrypt и возможных уязвимостях в её коде), о произошедшем известно немного.

Попытка установить новую версию программы (7.2) приводила к появлению сообщения об ошибке. В выскакивающем окне было прописано всё то же предупреждение о небезопасности использования TrueCrypt.

То, что своё решение прекратить развитие проекта создатели cофта объяснили отказом Microsоft от поддержки Windows XP, многим показалось странным. У пользователей даже возникли сомнения в достоверности информации на странице TrueCrypt и в достоверности самой новой версии.

Тем не менее, текст на сайте сопровождался ключом, который создатели программы раньше использовали для подписи других своих сообщений. Всё говорило о том, что это не шутка и не результат взлома или хакерской атаки.

В остальном, пользователям несколько дней оставалось лишь строить догадки. Основных версий, появившихся за 28 и 29 мая, было несколько. Все их достаточно хорошо удалось обозреть одному из пользователей «Хабрахабра».

Многие предполагали, что сайт TrueCrypt был взломан, и ключи безопасности, использовавшиеся создателями программы, оказались скомпрометированы.

Кто-то видел в происходящем вокруг TrueCrypt руку властей или спецслужб, сделавших разработчикам программы какое-то «предложение» или «надавившим» или пригрозившим кому-то из них. 

Другие увязывали неожиданное сворачивание проекта с куда более банальными причинами, отмечая, что, возможно, причастным к нему энтузиастам просто надоело заниматься программой, не получая никакой финансовой отдачи.

Наконец, сторонники ещё одной версии предполагали, что создатели софта таким образом хотели продемонстрировать своё недовольство успешной краудфандинговой кампанией, проведённой так называемым Open Crypto Audit Project.

В рамках этого проекта несколькими специалистами по кибербезопасности на сайте IndieGoGo и в виде биткоин-пожертвований было собрано более 70 тысяч долларов на проведение независимого аудита кода TrueCrypt.

Первая часть аудита уже успешно завершилась, и по её итогам никаких уязвимостей выявлено не было. В настоящее время готовится вторая часть проверки.

Эта версия основывалась на том, что разработчики TrueCrypt посчитали себя обделёнными, так как их собственные попытки собрать деньги на поддержку TrueCrypt никогда не приводили к таким внушительным суммам. 

Что на самом деле случилось с TrueCrypt

Когда количество конспирологических теорий вокруг TrueCrypt, казалось, достигло своего предела, в социальных сетях появились первые сообщения от самих разработчиков программы, и ситуация постепенно начала проясняться.

В электронной переписке с одним из организаторов Open Crypto Audit Project разработчик TrueCrypt, который сам себя называет Дэвидом, заявил, что команда просто устала.

Мы усердно работали над проектом больше 10 лет. Ничто не может длиться вечно. Никаких контактов с правительством у нас не было. Мы действительно верим, что BitLocker — это оптимальная альтернатива TrueCrypt. А у нас же просто пропал интерес. Дэвид, один из создателей программы TrueCrypt

Как рассказал TJournal специалист в области кибербезопасности и автор блога «Krebs on Security» Брайан Кребс (Brian Krebs), предложенная «Дэвидом» версия похожа на правду.

Пока мы не знаем настоящей причины. Но я бы поставил на то, что всё дело действительно в некой усталости от проекта. Мне кажется, когда программа TrueCrypt появилась на свет, её разработчикам было где-то двадцать с чем-то.

Теперь им уже далеко за тридцать и у них просто нет столько свободного времени. Думаю, что самый простой ответ и есть в данном случае единственно верный: разработчики просто решили уйти «на пенсию» и заняться чем-то другим.

Брайан Кребс, специалист по кибербезопасности, блогер

Как отдельно подчеркнул Кребс, на самом деле, сворачивание TrueCrypt не было таким внезапным, как может показаться с первого взгляда. 

Разработчики TrueCrypt объясняют решение прекратить поддержку и развитие программы собственной усталостью. Эксперты в области кибербезопасности, блогеры и журналисты считают такую версию правдоподобной. Никаких подтверждений тому, что к закрытию TrueCrypt причастны АНБ или другие спецслужбы, пока нет.

По наблюдениям блогера, в последние несколько лет обновления программы выходили всё реже и общий темп развития проекта заметно снизился.

С Брайаном Кребсом согласна и журналистка американского Forbes Руна Сэндвик (Runa Sandvik), занимающаяся освещением для издания вопросов IT-безопасности, а также входящая в состав наблюдательного совета Open Crypto Audit Project. 

Руна Сэндвик

Как сообщила в письме TJournal Сэндвик, в новой версии TrueCrypt нет никаких признаков того, что она выполнена кем-то, кто хотел скомпрометировать проект. Версия работает абсолютно стабильно и не содержит каких-то вирусов или подозрительных элементов в коде.

Последний апдейт позволяет расшифровать и перенести ранее зашифрованные с помощью TrueCrypt файлы на BitLocker, но не создать новые.

Кроме этого, из обновления удалены по сути лишь pdf-файлы с пользовательскими инструкциями и нет ссылки, по которой можно было пожертвовать биткоины разработчикам ПО.

Насколько мне известно, версии насчёт взлома сайта программы или недовольства её разработчиков аудитом несостоятельны. Раньше они сами всегда поддерживали идею аудита, который помог бы им сделать софт ещё лучше.

Скорее всего, создатели ПО просто осознали, что не хотят заниматься развитием проекта, вот и решили всё бросить и не тратить больше на TrueCrypt времени. Почему они объявили, что программа может быть небезопасной? Не знаю.

Руна Сэндвик, журналист Forbes, участник Open Crypto Audit Project и проекта Tor

Что со всем этим делать

В первую очередь, не паниковать и не волноваться, что все зашифрованные ранее при помощи TrueCrypt файлы окажутся под угрозой. Сообщение разработчиков софта относительно возможной уязвимости программы скорее всего означает, что команда всего лишь отказывается от дальнейшего развития проекта, и следить за возникающими проблемами и багами теперь некому.

Как считает коллега Сэндвик по Forbes Джеймс Лин (James Lyne), предлагаемый создателями TrueCrypt в качестве альтернативы BitLocker вовсе не так уж плох, как многие о нём говорят, и вполне подойдёт тем, кто не готов отказаться от шифрования своих личных файлов и документов. Впрочем, есть и множество других вариантов.

Наверное, АНБ здесь всё-таки ни при чём, Виктор Степанов,

TJournal

Источник: https://tjournal.ru/flood/51061-truecrypt-shutdown

Азы безопасности: шифрование данных

Truecrypt habrahabr

В современном мире шифрование является краеугольным камнем анонимности, безопасности и сохранности информации.

С точки зрения аналитиков, шифрование данных — единственный разумный способ защиты от утечек данных с потерянных носителей. Однако шифровать требуется не только «мобильную» информацию, но и массу других хранилищ данных.

Переход к использованию криптоконтейнеров

В рамках этой статьи поговорим о практике использования шифрования для защиты данных. Если вам пока сложно воспринимать слово криптоконтейнер, читайте вместо него «надёжно зашифрованная папка с паролем, где можно хранить и редактировать файлы». Криптоконтейнер — это надежный сейф внутри вашего компьютера.

Я на своем примере расскажу о начале применения криптоконтейнеров, а вы, опираясь на мой опыт, настроите работу криптоконтейнеров на компьютере или мобильном устройстве. Как у многих из вас, файлы у меня были разложены по папкам.

Я всегда пытался навести порядок на своем компьютере: у меня была папка «Работа» с множеством вложенных папок, была папка «Учёба» с образовательными материалами, были различные папки с фотографиями, видео и всяким хламом. Была, конечно, и папка XXX, предусмотрительно переименованная в «Лекции».

Общий объём файлов составлял порядка 112 ГБ. При переходе к использованию криптоконтейнеров я разделил файлы на три группы.

В первую группу вошли очень ценные для меня файлы, но которые я не использую ежедневно. Во вторую вошли важные файлы, которые используются мной каждый день для работы или учебы. В третью вошёл всякий хлам, который я даже не думал как-то защищать и перенёс в криптоконтейнер только ради общего порядка.

Есть одно общее правило: чем меньше у вас файлов в криптоконтейнере, тем лучше с точки зрения безопасности. Когда вы монтируете криптоконтейнер, в котором лежит десять файлов, то открываете доступ ко всем десяти из-за одного. В идеале на каждый файл должен быть отдельный криптоконтейнер, но на практике это несбыточная утопия.

Когда файлы находятся в несмонтированном криптоконтейнере, они надёжно защищены. Забросят ли вам на компьютер трояна или, вынеся дверь, проведут криминалистический анализ — всё это бесполезно при надёжном пароле. Если, конечно, вы сами не выдадите его, или он у вас не сохранен в txt документе на рабочем столе.

О способах взлома криптоконтейров мы подробно расскажем в заключительном параграфе.

Думаю, стоит детальнее объяснить, что такое смонтированный криптоконтейнер. Представьте, что криптоконтейнер — это зашифрованная папка с паролем. Вы ввели пароль и пользуетесь находящимися там файлами, потом вы закрыли папку, и для доступа к данным снова нужен пароль.

В состоянии, когда вы пароль уже ввели, и доступ открыт, троянская программа, попавшая на ваш компьютер, или третье лицо, получившее доступ к компьютеру, имеют доступ и к файлам. Это называется смонтированным криптоконтейнером, а сам процесс введения пароля и открытие доступа — монтирование. Криптоконтейнер можно сравнить с сейфом. Сейф защищён, только когда закрыт.

В открытом состоянии любой может получить доступ к его содержимому. Хранить вещи в открытом сейфе ничуть не безопаснее, нежели на столе рядом с ним.

Совет: создавайте как можно больше криптоконтейнеров. Хранить все данные в одном криптоконтейнере небезопасно. Вернёмся к моим криптоконтейнерам. Я создал криптоконтейнеры, создал резервную копию файлов (на всякий случай) и перенёс файлы в созданные криптоконтейнеры.

Весь хаос папок и файлов на моём жёстком диске преобразовался в три надёжно зашифрованных файла. Всё просто: вы продумываете, сколько криптоконтейнеров вам понадобится, создаёте их и переносите в них файлы.

Перенос данных в криптоконтейнеры — один из важнейших шагов на пути к построению защищённой системы.

Совет: храните всю информацию только в криптоконтейнерах. У криптоконтейнера есть ещё одно преимущество. Например, вам надо экстренно уничтожить ваши данные, занимающие 100 ГБ жесткого диска. Сколько времени будет происходить удаление их безопасным способом? В зависимости от возможностей жёсткого диска это может занять до 30 минут.

А если эти 100 ГБ будут в криптоконтейнере, то с помощью технологии CryptoCrash данные можно уничтожить за несколько секунд. В следующих параграфах мы познакомим вас с программами, позволяющими создавать и использовать криптоконтейнеры.

История TrueCrypt

TrueCrypt — почти образцовая программа шифрования папок и файлов. Первая версия программы вышла в свет ещё в далеком 2004 году, и на тот момент TrueCrypt оказалась фактически единственной программой с открытым исходным кодом для шифрования «на лету».

Что значит «на лету»? Обычные программы для работы с зашифрованными файлами требуют сначала расшифровать файл или папку, выполнив необходимые манипуляции с данными, затем создать зашифрованную копию файла или папки, а незашифрованный оригинал удалить.

TrueCrypt позволяла создавать зашифрованную папку, указав в программе пароль, и работать с зашифрованной папкой, шифруя и расшифровывая данные «на лету». С 2004 по 2014 программа TrueCrypt регулярно обновлялась. Некоторые функции исключались.

Так, например, была убрана поддержка дискет, когда этот формат канул в лету, удалялись и некоторые протоколы шифрования.

С развитием компьютерной индустрии совершенствовались и технологии взлома методов шифрования, из-за этого ряд протоколов перестал считаться надёжным. Так, в последней, 7-й, версии TrueCrypt вы уже не увидите протоколов шифрования с размером блока в 64 бита (Тройной DES, Blowfish, CAST5).

Десять лет проект TrueCrypt активно развивался и превратился в фундаментальный софт для защиты данных. Всё это время имена разработчиков программы оставались загадкой, что породило ряд слухов о причастности спецслужб к разработке приложения.

Некоторые говорили, что программа разработана ФБР, другие утверждали, что если и не ФБР, то в софте непременно есть закладки. Популярность TrueCrypt росла, пока весной 2014 года не произошло необъяснимое событие, повергшее интернет-общественность в шок.

28 мая 2014 проект TrueCrypt был закрыт. Точные причины закрытия проекта никому не известны по сей день. Сами разработчики сообщили на официальном сайте, что использование TrueCrypt небезопасно, и предложили переходить на BitLocker, который всегда высмеивали.

Есть много версий и догадок о случившемся, мы приведём основные.

Первая версия гласит, что разработчикам угрожали спецслужбы, вторая — что их переманили на работу в Microsoft, чем и объясняется реклама BitLocker, третья — им надоело продвигать и поддерживать проект, не приносящий денег, четвертая — они действительно обнаружили в продукте критическую уязвимость, которую не способны были исправить.

Интернет-сообщество погрузилось в споры о безопасности TrueCrypt, и одному Богу известно, сколько бы они продлились, если бы к началу апреля 2015 не был завершен независимый аудит TrueCrypt, на который было собрано свыше 60 000 USD пожертвований.

Он не выявил никаких уязвимостей или серьёзных недостатков в архитектуре приложения и показал, что TrueCrypt является хорошо спроектированной криптографической программой. Источник: здесь. Мы считаем, что, TrueCrypt 7.1 надежен, и закрытие проекта не связано с его безопасностью. А вот хронологически последняя версия программы (7.

2) не является безопасной и полнофункциональной, по крайней мере, об этом предупреждают сами разработчики, и это мнение разделяют многие эксперты.

Потому мы рекомендуем использовать последнюю стабильную и надежную версию — TrueCrypt 7.1а. TrueCrypt

Недоказуемость криптоконтенейра

У TrueCrypt масса преимуществ, одно из которых заключается в невозможности идентифицировать зашифрованный контейнер. Даже если недоброжелатели получат доступ к вашему диску, укажут на криптоконтейнер и скажут «это — криптоконтейнер», вы смело можете сказать, что это не так, что это какой-то неизвестный вам файл. Доказать обратное невозможно.

Разумеется, вы можете «случайно» прищемить палец дверью и тогда не только признаете в файле криптоконтейнер, но и вспомните пароль. Но и от этого есть защита, о которой мы расскажем в главе, посвященной антикриминалистике, а сейчас просто запомните, что доказать наличие криптоконтейнера исследованием файла невозможно.

Опираясь на это, мы рекомендуем вам называть свои контейнеры как-нибудь нейтрально и пробовать их маскировать под программные файлы. Например, открываем у себя папку с менеджером паролей KeePassX и видим какие-то непонятные файлы с расширением *.dll. Создавая криптоконтейнер, назовем его LsQN7.dll и положим в эту папку. Только мы будем знать, что LsQN7.

dll на самом деле криптоконтейнер. После создания криптоконтейнера и размещения его в папке KeePassX. Вы видите отличия? Только дата? Менять дату мы вас научим в части, посвященной маскировке криптокойнтейнеров. Но не спешите создавать криптоконтейнер. Совет Называйте криптоконтейнеры так, чтобы название не выдавало криптоконтейнер.

Указывайте у криптоконтейнеров расширение *.dat и размещайте в папке с другими файлами с расширением *.dat.

Хотим предупредить, что наличие на рабочем компьютере TrueCrypt действует на некоторых недоброжелателей, как красная тряпка на быка. У вас сразу начинают искать криптоконтейнеры, требовать пароли, а вам приписывать различные криминальные намерения от торговли ПАВ до поддержки международного терроризма.

VeraCrypt

Вот уже четыре года как проект TrueCrypt — легендарный софт для шифрования данных — не поддерживается разработчиками. Но TrueCrypt — программа с открытым исходным кодом, и любой на его основе может начать разрабатывать свой продукт.

Именно так поступил француз Мунир Идрасси, летом 2013 представив миру проект VeraCrypt. Основной идей было создание более безопасного, чем TrueCrypt, решения.

Например, в TrueCrypt использовалась довольно посредственная генерация ключа, по мнению экспертов, не способная обеспечить высокий уровень защиты против имеющихся в арсенале спецслужб компьютерных мощностей.

VeraCrypt предложил ощутимо более устойчивое против брутфорса решение, о котором мы подробнее расскажем, когда дойдем до сравнения программ.

При «живом» TrueCrypt форки не пользовались популярностью; все изменилось, когда весной 2014 года разработчики TrueCrypt сообщили о прекращении поддержки проекта.

Тогда о VeraCrypt заговорили как о надежной альтернативе TrueCrypt (хотя были и другие форки, такие как GostCrypt, CipherShed например). Часть пользователей TrueCrypt сразу перешла на использование VeraCrypt, а часть осталась верна TrueCrypt.

Многим понравился VeraCrypt, однако нашлось и немало критиков. В сети активно поддерживалась версия, что VeraCrypt — проект спецслужб, имеющий закладки.

Многие относятся к форкам с большой долей скептицизма, этого же мнения придерживаются и разработчики TrueCrypt, считая форк опасным.

В основе их опасения лежит убеждение в неспособности сторонних разработчиков до конца разобраться с их кодом, и, как вы узнаете дальше, эти опасения были не напрасны.

VeraCrypt vs TrueCrypt

Давайте сравним TrueCrypt и VeraCrypt. Эти программы очень близки по функционалу и дизайну, что неудивительно для форка и оригинала, потому мы сравним быстродействие и безопасность. Скорость монтирования криптоконтейнеров.

Первый негативный момент, с которым сталкиваются пользователи TrueCrypt, первый раз попробовав VeraCrypt, — время монтирования криптоконтейнера. Когда в TrueCrypt вы указываете верный пароль, время ожидания до доступа к зашифрованным данным составляет на современном компьютере десятые доли секунды. При использовании VeraCrypt ждать приходится заметно дольше. TrueCrypt vs VeraCrypt

Устойчивость к брутфорсу

Брутфос, если говорить простыми словами, — попытка подобрать пароль (ключ) путем перебора всех возможных вариантов. Современные суперкомпьютеры, имеющиеся в распоряжении спецслужб, умеют перебирать варианты очень быстро.

За счёт более совершенного метода генерации ключей VeraCrypt от 10 до 300 раз более устойчив к атакам прямого перебора. Для многих это самое главное преимущество VeraCrypt. Поддержка со стороны разработчиков.

TrueCrypt уже не поддерживается разработчиками, используемые решения устаревают с каждым днем, потенциальные уязвимости не исправляются. Это безусловно плюс для VeraCrypt, который активно поддерживается и развивается.

TrueCrypt vs VeraCrypt: уязвимости

Казалось бы, наличие поддержки со стороны разработчиков должно было обеспечить VeraCrypt преимущество, но на самом деле все наоборот. В главе, посвященной TrueCrypt, мы рассказывали о проведенном аудите программы, который не выявил критических уязвимостей.

Подобному аудиту было подвергнуто и программное обеспечение VeraCrypt. По результатам аудита были выявлены 36 уязвимостей, 8 из которых получили статус критических, 3 — умеренных и 15 — незначительных.

8 критических уязвимостей в таком приложении нельзя назвать иначе как катастрофа. С полной версией отчета об аудите вы можете познакомиться по этой ссылке.

В настоящий момент большинство обнаруженных уязвимостей успешно исправлены, однако некоторые из них требуют существенной переработки архитектуры и до сих пор присутствуют в VeraCrypt.

TrueCrypt vs VeraCrypt: уровень команды разработчиков

Как было сказано ранее, аудит VeraCrypt обнаружил 8 критических уязвимостей, а при аудите TrueCrypt не было обнаружено ни одной. Это вызывает опасения по поводу уровня команды разработчиков VeraCrypt. У нас нет никаких сомнений, что программное обеспечение TrueCrypt разрабатывалось более компетентными специалистами.

Допустим, обнаруженные в ходе аудита 8 критических уязвимостей в VeraCrypt будут закрыты, но где гарантии, что команда разработчиков не допустит еще столько же новых критических уязвимостей? TrueCrypt vs VeraCrypt А какую программу выберете вы?

В нашем противостоянии победил TrueCrypt. Но не все так просто. Вы сами должны все взвесить и принять решение. С одной стороны, TrueCrypt использует устаревающие технологии, уступающие в криптостойкости технологиям VeraCrypt. К тому же TrueCrypt больше не поддерживается разработчиками.

С другой стороны, VeraCrypt постоянно обновляется и поддерживает более устойчивые к атакам технологии, но обнаруженные уязвимости и вопросы по поводу уровня команды разработчиков дают повод серьезно задуматься.

В группе нашей редакции единого мнения нет, но есть единое решение — параллельное использование двух инструментов.

Проще говоря, вы создаете один криптоконтейнер, например, при помощи программного обеспечения TrueCrypt, внутри него создаете второй криптоконтейнер при помощи VeraCrypt и уже в нем размещаете файлы. Такая связка в разы надежнее каждой из программ в отдельности.

Источник: https://zen.yandex.ru/media/id/5cbe05954500ff00b30ab688/azy-bezopasnosti-shifrovanie-dannyh-5cbe08aa88da1e00b5608d80

Сайт TrueCrypt сообщает о закрытии проекта и предлагает переходить на BitLocker

Truecrypt habrahabr

Разработчики TrueCrypt ответили: сайт | твиттер
Разработчик TrueCrypt «David»: «Мы были счастливы, что аудит ничего не выявил. Мы усердно работали над проектом 10 лет, но ничего не длится вечно.

» Steven Barnhart: (перефразировано) разработчик считает, что форк навредит еще больше: «Исходный код в любом случае доступен, можете подглядывать» (The source is still available as a reference though).

«Я спросил, и было очевидно в последнем ответе, что разработчики считают форк вредным, т.к. только они сами разбираются в коде». «Также он сказал, что никакого контакта с правительством, кроме когда ему предлагали „контракт на поддержку“, у него не было».

Разработчик TrueCrypt «David»: «Битлокер 'достаточно хорош' и Windows был основной целью разработки»

Цитируя разработчика: «Больше нет интереса».

TL;DR: «Новая» версия может только дешифровывать данные, и может содержать троян (хотя я и не нашел, но вы мне не верьте на слово). Бинарник подписан верным ключом разработчика. Все старые версии удалены, репозиторий тоже очищен. На странице рассказывается о том, что разработка TrueCrypt была прекращена в мае этого года, после того, как Microsoft прекратила поддержку Windows XP, и что TrueCrypt более небезопасен и может содержать уязвимости. Далее, на странице содержится подробная инструкция миграции с TrueCrypt на BitLocker. На сайте есть также ссылки на бинарный файл TrueCrypt, которые ведут в раздел загрузок SourceForge, вместе с цифровой подписью. Этот файл подписан корректным (старым) ключом, а внутри него:
22 мая SourceForge сменили алгоритм хеширования паролей и предложили всем их сменить, чтобы использовался новый алгоритм. Возможно, что-то пошло не так.

SourceForge говорят, что ничего не произошло:

Providing some details from SourceForge: 1. We have had no contact with the TrueCrypt project team (and thus no complaints). 2. We see no indicator of account compromise; current usage is consistent with past usage.

3. Our recent SourceForge forced password change was triggered by infrastructure improvements not a compromise. FMI see sourceforge.net/blog/forced-password-change

Thank you,

The SourceForge Team communityteam@sourceforge.net

Предположение №1

Вебсайт взломан, ключи скомпрометированы. Не скачивайте эту версию и не запускайте. И не переходите на BitLocker. Последняя рабочая версия: 7.1a. Версия 7.2 — подделка. Почему я так думаю: странное изменение ключей (сначала залили новый, потом удалили и вернули старый), и почему битлокер?

Предположение №2

Что-то случилось с разработчиками (угрожают лишить жизни) или с самим TrueCrypt (нашли серьезную уязвимость), что привело к выпуску такой версии.

Почему я так думаю: все файлы имеют правильную подпись, выпущены все релизы (Windows; Linux x86, x86_64, console versions, Mac OS, sources), бинарники, похоже, скомпилированы на ПК разработчика (пути к pdb, метаданные компилятора совпадают). Текст лицензии тоже был изменен (см. diff ниже).

Почему совет использовать BitLocker выглядит возмутительно? TrueCrypt всегда был яро против поддержки TPM, а в BitLocker он широко используется. Почему не советовать другие Open-Source альтернативы? Похоже на то, что разработчик просто не может ничего сказать прямыми словами. Это очень похоже на Свидетельство канарейки. К сожалению, это предположение пока выглядит более реалистично, чем первое. Sad but true.

Предположение №3

Версия 7.1a содержит троян и разработчик хочет уберечь всех пользователей от ее использования.

Почему я так думаю: существует такой блог truecryptcheck.wordpress.com с хеш-суммами для всех релизов версии 7.1a. В нем всего одна запись от 15 августа 2013 года. Несколько странно делать сайт, где есть только хеш-суммы только одной программы и только одной ее версии.

Предположения со страницы на etcwiki:

Предположение №4

Кампания по сбору средств на аудит TrueCrypt набрала $62000, чтобы выяснить, есть ли в коде лазейки, которые позволяют расшифровать данные. В то же время, TrueCrypt Foundation почти не получала пожертвований, и разработчики разочаровались, что все настроены против них.

Почему я так думаю: разработчики TrueCrypt почти не получали пожертвований. Конечно, я не знаю конкретные цифры, но вероятно, аудит набрал больше, чем TrueCrypt за время своего существования. Так как разработчики анонимны, они не получают никаких слов благодарности.

Все это подозрительно, но, вероятно, это было сделано либо самими разработчиками, либо TrueCrypt Foundation.

Предположение №5

Разработчикам надоело разрабатывать проект, или же у них возникли трудности в реальной жизни Почему я так думаю: это случается с каждым. Заявление о том, что TrueCrypt более не является безопасным кажется адекватным, если учесть, что обновлений больше не будет. Похоже, что все изменения были сделаны разработчиками.

Предположение №6

Правительство пытается найти («выкурить») разработчиков. Кто-то заполучил доступ к логинам и ключам разработчиков TrueCrypt, но не смог найти самих разработчиков.

Почему я так думаю: у правительства может быть достаточно ресурсов для того, чтобы взломать ключи разработчика и попасть на сайт.

Абсурдное заявление переходить на BitLocker может заставить настоящего разработчика сделать какое-то заявление или ответить другим образом.

Как заметил postdig:

truecrypt.org.ua/news: 12 апреля 2014 года сайт переведен в режим только для чтения. Аккаунты пользователей удалены. Спасибо всем, кто принимал участие в развитии проекта!

Как бы намекает что процесс ни разу не внезапный.

Из твиттера Wikileaks:
(1/4) Truecrypt has released an update saying that it is insecure and development has been terminated truecrypt.sf.net (2/4) the style of the announcement is very odd; however we believe it is ly to be legitimate and not a simple defacement (3/4) the new executable contains the same message and is cryptographically signed. We believe that there is either a power onflict…

(4/4) in the dev team or psychological issues, coersion of some form, or a hacker with access to site and keys.

Из твиттера Matthew Green (один из аудиторов TrueCrypt):
@SteveBellovin @mattblaze @0xdaeda1a I think this is legit. TrueCrypt Setup 7.1a.exe:

  • sha1: 7689d038c76bd1df695d295c026961e50e4a62ea
  • md5: 7a23ac83a0856c352025a6f7c9cc1526

TrueCrypt 7.1a Mac OS X.dmg:

  • sha1: 16e6d7675d63a9bb75a9983397e3610459a1
  • md5: 89affdc42966ae5739f673ba54b7c5

truecrypt-7.1a-linux-x86.tar.gz:

  • sha1: 0e77b220dbbc6f14101f3f913966f2c818b0f588
  • md5: 093552e43cf51697a15421816899be

truecrypt-7.1a-linux-x64.tar.gz:

  • sha1: 086cf24fad36c2c99a6ac32774833c74091acc4d
  • md5: bb355096348383987447151eecd6dc0e

Другие мысли и интересная информация:

www.reddit.com/r/crypto/comments/26px1i/truecrypt_shutting_down_development_of_truecrypt/chu5bhr

krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/comment-page-1/#comment-255908
bradkovach.com/2014/05/the-death-of-truecrypt-a-symptom-of-a-greater-problem
boingboing.net/2014/05/29/mysterious-announcement-from-t.html
steve.grc.com/2014/05/29/an-imagined-letter-from-the-truecrypt-developers Ссылки на новости и записи в блогах:

news.ycombinator.com/item?id=7812133

www.reddit.com/r/netsec/comments/26pz9b/truecrypt_development_has_ended_052814
www.reddit.com/r/sysadmin/comments/26pxol/truecrypt_is_dead
www.reddit.com/r/crypto/comments/26px1i/truecrypt_shutting_down_development_of_truecrypt
arstechnica.com/security/2014/05/truecrypt-is-not-secure-official-sourceforge-page-abruptly-warns
krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure
www.pcworld.com/article/2241300/truecrypt-now-encouraging-users-to-use-microsofts-bitlocker.html#tk.twt_pcworld
www.coindesk.com/popular-encryption-tool-truecrypt-mysteriously-shuts
business.kaspersky.com/truecrypt-unexplained-disappearance
www.forbes.com/sites/jameslyne/2014/05/29/open-source-crypto-truecrypt-disappears-with-suspicious-cloud-of-mystery ­— вот эта достаточно неплохо написана
news.softodrom.ru/ap/b19702.shtml — очень хорошая статья (написана, кстати, 15.05.2014)
pastebin.com/7LNQUsrA — еще немного информации о разработчиках

stream: .com/search?q=truecrypt&src=typd

Diff между нормальной версией 7.1a и «текущей» 7.2

diff на github

Link for your English-speaking friends

truecrypt.sourceforge.net

  • truecrypt
  • шифрование
  • взлом

Хабы:

  • Информационная безопасность

Источник: https://habr.com/ru/post/224491/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.