True crypt не безопасен?

Исследование вопроса того, почему на официальном сайте сообщение о том, что True Crypt не безопасен и нужно срочно перейти на что-то другое.

вот цитата с официального сайта True Crypt

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues



This page exists only to help migrate existing data encrypted by TrueCrypt.



The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms (click here for more information). You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.





Migrating from TrueCrypt to BitLocker:

….

оригинал статьи http://habrahabr.ru/post/224491/

Разработчик TrueCrypt «David»: «Мы были счастливы, что аудит ничего не выявил. Мы усердно работали над проектом 10 лет, но ничего не длится вечно.»
Steven Barnhart: (перефразировано) разработчик считает, что форк навредит еще больше: «Исходный код в любом случае доступен, можете подглядывать» (The source is still available as a reference though). «Я спросил, и было очевидно в последнем ответе, что разработчики считают форк вредным, т.к. только они сами разбираются в коде». «Также он сказал, что никакого контакта с правительством, кроме когда ему предлагали „контракт на поддержку“, у него не было».
Разработчик TrueCrypt «David»: «Битлокер 'достаточно хорош' и Windows был основной целью разработки»
Цитируя разработчика: «Больше нет интереса».



TL;DR: «Новая» версия может только дешифровывать данные, и может содержать троян (хотя я и не нашел, но вы мне не верьте на слово). Бинарник подписан верным ключом разработчика. Все старые версии удалены, репозиторий тоже очищен.



На странице рассказывается о том, что разработка TrueCrypt была прекращена в мае этого года, после того, как Microsoft прекратила поддержку Windows XP, и что TrueCrypt более небезопасен и может содержать уязвимости.

Далее, на странице содержится подробная инструкция миграции с TrueCrypt на BitLocker.



На сайте есть также ссылки на бинарный файл TrueCrypt, которые ведут в раздел загрузок SourceForge, вместе с цифровой подписью. Этот файл подписан корректным (старым) ключом, а внутри него:



image



22 мая SourceForge сменили алгоритм хеширования паролей и предложили всем их сменить, чтобы использовался новый алгоритм. Возможно, что-то пошло не так.



SourceForge говорят, что ничего не произошло:

 

Providing some details from SourceForge:
1. We have had no contact with the TrueCrypt project team (and thus no complaints).
2. We see no indicator of account compromise; current usage is consistent with past usage.
3. Our recent SourceForge forced password change was triggered by infrastructure improvements not a compromise. FMI see sourceforge.net/blog/forced-password-change/
Thank you,
The SourceForge Team communityteam@sourceforge.net


Предположение №1



Вебсайт взломан, ключи скомпрометированы. Не скачивайте эту версию и не запускайте. И не переходите на BitLocker.

Последняя рабочая версия: 7.1a. Версия 7.2 — подделка.



Почему я так думаю: странное изменение ключей (сначала залили новый, потом удалили и вернули старый), и почему битлокер?

 

Предположение №2



Что-то случилось с разработчиками (угрожают лишить жизни) или с самим TrueCrypt (нашли серьезную уязвимость), что привело к выпуску такой версии.



Почему я так думаю: все файлы имеют правильную подпись, выпущены все релизы (Windows; Linux x86, x86_64, console versions, Mac OS, sources), бинарники, похоже, скомпилированы на ПК разработчика (пути к pdb, метаданные компилятора совпадают). Текст лицензии тоже был изменен (см. diff ниже).

Почему совет использовать BitLocker выглядит возмутительно? TrueCrypt всегда был яро против поддержки TPM, а в BitLocker он широко используется. Почему не советовать другие Open-Source альтернативы? Похоже на то, что разработчик просто не может ничего сказать прямыми словами. Это очень похоже на Свидетельство канарейки.



К сожалению, это предположение пока выглядит более реалистично, чем первое. Sad but true.

 

Предположение №3



Версия 7.1a содержит троян и разработчик хочет уберечь всех пользователей от ее использования.



Почему я так думаю: существует такой блог truecryptcheck.wordpress.com с хеш-суммами для всех релизов версии 7.1a. В нем всего одна запись от 15 августа 2013 года. Несколько странно делать сайт, где есть только хеш-суммы только одной программы и только одной ее версии.



Предположения со страницы на etcwiki:

Предположение №4



Кампания по сбору средств на аудит TrueCrypt набрала $62000, чтобы выяснить, есть ли в коде лазейки, которые позволяют расшифровать данные. В то же время, TrueCrypt Foundation почти не получала пожертвований, и разработчики разочаровались, что все настроены против них.



Почему я так думаю: разработчики TrueCrypt почти не получали пожертвований. Конечно, я не знаю конкретные цифры, но вероятно, аудит набрал больше, чем TrueCrypt за время своего существования. Так как разработчики анонимны, они не получают никаких слов благодарности. Все это подозрительно, но, вероятно, это было сделано либо самими разработчиками, либо TrueCrypt Foundation.

 

Предположение №5



Разработчикам надоело разрабатывать проект, или же у них возникли трудности в реальной жизни



Почему я так думаю: это случается с каждым. Заявление о том, что TrueCrypt более не является безопасным кажется адекватным, если учесть, что обновлений больше не будет. Похоже, что все изменения были сделаны разработчиками.

 

Предположение №6



Правительство пытается найти («выкурить») разработчиков. Кто-то заполучил доступ к логинам и ключам разработчиков TrueCrypt, но не смог найти самих разработчиков.



Почему я так думаю: у правительства может быть достаточно ресурсов для того, чтобы взломать ключи разработчика и попасть на сайт. Абсурдное заявление переходить на BitLocker может заставить настоящего разработчика сделать какое-то заявление или ответить другим образом.



Как заметил postdig:

truecrypt.org.ua/news:
12 апреля 2014 года сайт переведен в режим только для чтения. Аккаунты пользователей удалены.
Спасибо всем, кто принимал участие в развитии проекта!

Как бы намекает что процесс ни разу не внезапный.

 




Из твиттера Wikileaks:

(1/4) Truecrypt has released an update saying that it is insecure and development has been terminatedtruecrypt.sf.net
(2/4) the style of the announcement is very odd; however we believe it is likely to be legitimate and not a simple defacement
(3/4) the new executable contains the same message and is cryptographically signed. We believe that there is either a power onflict…
(4/4) in the dev team or psychological issues, coersion of some form, or a hacker with access to site and keys.



Из твиттера Matthew Green (один из аудиторов TrueCrypt):

@SteveBellovin @mattblaze @0xdaeda1a I think this is legit.



TrueCrypt Setup 7.1a.exe:

  • sha1: 7689d038c76bd1df695d295c026961e50e4a62ea
  • md5: 7a23ac83a0856c352025a6f7c9cc1526





TrueCrypt 7.1a Mac OS X.dmg:

  • sha1: 16e6d7675d63fba9bb75a9983397e3fb610459a1
  • md5: 89affdc42966ae5739f673ba5fb4b7c5





truecrypt-7.1a-linux-x86.tar.gz:

  • sha1: 0e77b220dbbc6f14101f3f913966f2c818b0f588
  • md5: 09355fb2e43cf51697a15421816899be





truecrypt-7.1a-linux-x64.tar.gz:

  • sha1: 086cf24fad36c2c99a6ac32774833c74091acc4d
  • md5: bb355096348383987447151eecd6dc0e





Другие мысли и интересная информация:

www.reddit.com/r/crypto/comments/26px1i/truecrypt_shutting_down_development_of_truecrypt/chu5bhr

krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/comment-page-1/#comment-255908

bradkovach.com/2014/05/the-death-of-truecrypt-a-symptom-of-a-greater-problem/

boingboing.net/2014/05/29/mysterious-announcement-from-t.html

steve.grc.com/2014/05/29/an-imagined-letter-from-the-truecrypt-developers/



Ссылки на новости и записи в блогах:

news.ycombinator.com/item?id=7812133

www.reddit.com/r/netsec/comments/26pz9b/truecrypt_development_has_ended_052814/

www.reddit.com/r/sysadmin/comments/26pxol/truecrypt_is_dead/

www.reddit.com/r/crypto/comments/26px1i/truecrypt_shutting_down_development_of_truecrypt/

arstechnica.com/security/2014/05/truecrypt-is-not-secure-official-sourceforge-page-abruptly-warns/

krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/

www.pcworld.com/article/2241300/truecrypt-now-encouraging-users-to-use-microsofts-bitlocker.html#tk.twt_pcworld

www.coindesk.com/popular-encryption-tool-truecrypt-mysteriously-shuts/

business.kaspersky.com/truecrypt-unexplained-disappearance/

www.forbes.com/sites/jameslyne/2014/05/29/open-source-crypto-truecrypt-disappears-with-suspicious-cloud-of-mystery/— вот эта достаточно неплохо написана

news.softodrom.ru/ap/b19702.shtml — очень хорошая статья (написана, кстати, 15.05.2014)

pastebin.com/7LNQUsrA — еще немного информации о разработчиках



Twitter stream: twitter.com/search?q=truecrypt&src=typd



Diff между нормальной версией 7.1a и «текущей» 7.2

diff на github



Link for your English-speaking friends

вот Сайт TrueCrypt сообщает о закрытии проекта и предлагает переходить на BitLocker _ Хабрахабр это PDF файл с копией всей статьи с обсуждением.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *