Blog (53)
Komentarze (3.2k)
Recenzje (0)
@command-dosUwaga na TrueCrypta!

Uwaga na TrueCrypta!

29.05.2014 10:01

TrueCrypt, oprogramowanie OpenSource służące do szyfrowania danych, uchodzące do tej pory za jedno z najbezpieczniejszych i najbardziej zaufanych narzędzi tego typu, dostępne praktycznie na każdą platformę systemową, zostało uznane za niebezpieczne - przynajmniej taki jest komunikat na oficjalnej stronie tego programu : "WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues". Ostatnia stabilna i bezpieczna wersja (ta podpisana prawidłowymi kluczami) to wersja 7.1a. Dopóki sprawa się nie wyjaśni, nie zalecane jest korzystanie z nowej dostępnej wersji 7.2, wokół której działy się dziwne rzeczy. Wersja ta, według informacji na oficjalnej stronie TC, ma służyć do pomocy w migracji zaszyfrowanych zasobów do... BitLockera od Microsoftu - woda na młyn dla twórców teorii spiskowych, czyli np. dla mnie ;) ale postaram się powstrzymać...

Oficjalna strona TtrueCrypt i informacja o zagrożeniu...
Oficjalna strona TtrueCrypt i informacja o zagrożeniu...

Za pomocą TrueCrypta można zaszyfrować pliki, foldery, partycje, czy nawet całe dyski. Ci którzy używają tego typu narzędzia, najprawdopodobniej mają ku temu powód - nie chcą by dane zapisane na dysku dostały się w niepowołane ręce. W czasach Snowdena, NSA, i globalnego monitoringu, można pokusić się o kilka teorii spiskowych, tym bardziej że z odczytaniem danych zaszyfrowanych TrueCryptem ma problem nawet sam FBI... W Wielkiej Brytanii, za nie ujawnienie haseł kryptograficznych odsiadkę swoją odbywają dwie osoby . Podobne prawo obowiązuje w Austrii i Stanach Zjednoczonych. FBI (macki NSA) jednak nie może zbyt wiele zdziałać w temacie usadzenia niepokornego szyfrującego, gdyż jest to bankier z Brazylii i... stwierdzając kolokwialnie, póki co mogą mu naskoczyć ;)

Oficjalna strona, która namawia do przejścia na BitLockera (narzędzia do szyfrowania od Microsoftu, którego twórca w 2005r. rzekomo odmówił współpracy z NSA), wygląda na podmienioną, albo robioną w wielkim pośpiechu. Samo przekierowanie do sourceforge po wejściu na truecrypt.org budzi niepokój. Oficjalnym powodem zamknięcia projektu jest koniec wsparcia dla Windowsa XP. Widać uznano, że nie ma sensu rozwijanie dalej projektu, gdyż kolejne wydania windowsów potrafią już korzystać z (jakże wychwalanego) bezpiecznego(?) BitLockera. Na sourceforge jest informacja głosząca, że dalszy rozwój projektu nie ma sensu, bo istnieją na każdą platformę podobne (i zdaniem autorów komunikatu, chyba równie skuteczne) rozwiązania: "The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms. You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.".

Ok - załóżmy, że faktycznie projekt dobiegł końca, co dalej? Jak teraz odszyfrować dane i przejść na inne rozwiązanie? Sam fakt zakończenia projektu jest nadwyraz dziwny, bo niedawno oprogramowanie to zostało poddane publicznemu audytowi kodu i we wstępnym raporcie stwierdzono, że brak w nim jakichkolwiek backdorów. Dlaczego więc nie należy korzystać ze świeżo podłożonej wersji 7.2, skoro żadne oprogramowanie antywirusowe nie wykryło w nim ani jednego trojana? Tak naprawdę nie wiadomo co się dzieje - musimy poczekać, aż sprawa bardziej się wyjaśni. Nie należy używać wersji 7.2, bo za dużo jest niewiadomych :

  • na sourceforge wyczyszczono wszystkie stare wersje TrueCrypta, pozostawiono tylko tą w wersji 7.2,
  • oficjalna strona TC nie budzi zaufania i wygląda bardziej na żart, jak na oficjalną informację,
  • śmieszny powód przerwania rozwoju TC (koniec wsparcia XP),
  • wersja 7.2 po pierwszym uploadzie nie została podpisana prawidłowym kluczem, dopiero kolejna wersja została wrzucona z tym należytym.

Zanim sprawa się w jakiś sposób wyjaśni, pewnie trochę wody w Wiśle upłynie. Czy coś stało się twórcom? Czy należy się obawiać o ich zdrowie i życie? Nie wiadomo. Twórcy tego oprogramowania są nieznani, co wcale nie oznacza, że nie zostali namierzeni i zmuszeni do tych działań - teraz wszystko jest możliwe, a my nie za bardzo wiemy kogo słuchać. Na koniec może podam prawidłowe sumy kontrolne TrueCrypta w wersji 7.1a:

TrueCrypt Setup 7.1a.exe: sha1: 7689d038c76bd1df695d295c026961e50e4a62ea md5: 7a23ac83a0856c352025a6f7c9cc1526

TrueCrypt 7.1a Mac OS X.dmg: sha1: 16e6d7675d63fba9bb75a9983397e3fb610459a1 md5: 89affdc42966ae5739f673ba5fb4b7c5

truecrypt-7.1a-linux-x86.tar.gz: sha1: 0e77b220dbbc6f14101f3f913966f2c818b0f588 md5: 09355fb2e43cf51697a15421816899be

truecrypt-7.1a-linux-x64.tar.gz: sha1: 086cf24fad36c2c99a6ac32774833c74091acc4d md5: bb355096348383987447151eecd6dc0e

Wybrane dla Ciebie
Komentarze (53)