Co się stało z TrueCryptem ?

By KindKomp | 28-5-2014 23:26

TrueCrypt_logo28 maja 2014 około godziny 21:45 internet obiegła wiadomość o zakończeniu rozwijania TrueCrypta – najpopularniejszego opragrowamowania do szyfrowania dysków.

Informacja ta pojawiła się na oficjalnej stronie projektu. Jest ona jednak bardzo podejrzana, ponieważ zupełnie nic nie zapowiadało takiego obrotu sprawy. Twórcy projektu są nieznani, więc brakuje oficjalnego źródła informacji. Czy mamy do czynienia z atakiem hakerskim (deface)?  [edit 30.05] Po takim czasie atak deface można raczej wykluczyć.

Dlaczego zakończenie projektu wygląda podejrzanie:

  • Projekt TrueCrypt jest stabilnie rozwijany od wielu lat i jest najpopularniejszy oprogramowaniem tego typu
  • Niedawno rozpoczął się dość poważny audyt oprogramowania, który wstępnie potwierdził brak backdoorów, ale wciaż się nie zakończył
  • Strona główna projektu przekierowuje na sourceforge (nie wiadomo dlaczego)
  • Zupełnie nic nie zapowiadało takiego obrotu sprawy, zaś wyjaśnienia są dość lakoniczne jak na taką decyzję
  • Matthew Green, przeprowadzający audyt TrueCrypta napisał na Tweeterze, że nie ma pojęcia o co chodzi
  • Ze strony zniknęły też wszystkie poprzednie wersje programu, poza najnowszą – już podejrzaną

Co świadczy o tym, że to prawda

  • Na stronie projektu (na sourceforge) podano bardzo dokładne instrukcje migracji do podobnych, konkurencyjnych rozwiązań
  • Podano powody wycofania się z rozwijaniu projektu (rzekomo jest to zakończenie wsparcia dla Windowsa XP przez Microsoft)
  • Udostępniona jednocześnie następna wersja (7.2) jest podpisana poprawnym kluczem, umożliwia jednak tylko odszyfrowanie kontenera
  • Czas. Obecnie nie ma już wątpliwości, że to prawda

Jak widać cieżko na razie rozstrzygnąć co tak naprawdę się stało, niemniej nie wróży to nic dobrego.
Jednocześnie udostępniona została wersja TrueCrypt 7.2, podpisana prawidłowym kluczem. Wiadomo już, że z jej kodu zostały usunięte funkcje szyfrowania, czyniąc z niej w praktyce narzędzie do migracji na inne, konkurencyjne oprogramowanie.
Warto dodać, że TrueCrypt był dotąd prawdziwą przeszkodą dla wszelkiej maści służb, które zwyczajnie nie były w stanie złamać zabezpieczeń (przynajmniej w znanych przypadkach), czego nie można powiedzieć o zaproponowanych narzędziach alternatywnych.

Nie brakuje też teori spiskowych o tym co mogło się stać. Jednym z najbardziej prawdopodobnych scenariuszy wydaje się zmuszenie twórców przez NSA (bądź inne służby) do umieszczenia backdoora, przez co postanowili ubić cały projekt. Takie przypadki już się zdarzały.

[edit 29.05 13:20] Jednym z ciekawszych scenariuszy wydaje się być zaproponowany przez użytkownika Reddita o nicku Netcob: Audyt wykazał brak backdorów i podatności, więc NSA postanowiła zmusić twórców do zamknięcia projektu dając ścisłe instrukcje jak mają to zrobić. Twórcy podążyli za instrukcjami, robiąc to w taki sposób, aby wyglądało to zupełnie niewiarygodnie (udało się). Miało to na celu poinformowanie użytkowników, aby w żadnym wypadku nie korzystali z instrukcji przesiadki na inne oprogramowanie.

[edit 30.05 13:20] Obecnie chyba nikt nie ma już wątpliwości, że koniec TrueCrypta stał się faktem, mimo że wciąż nie znamy przyczyn. Śledztwo społeczności trwa. Jeśli w sprawie pojawią się nowe fakty, z pewnością zaktualizujemy ten temat.

[edit 19.06 20:06] Kilka dni temu w sprawie pojawiły się nowe poszlaki. Zauważono, że tytuł strony projektu na sourceforg.net:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

zawiera ukrytą wiadomość. Pierwsze litery każdego wyrazu układają się w łacińską sentencję „uti nsa im cu si„, co po przetłumaczeniu ma oznaczać mniej więcej tyle co „Nie używaj TrueCrypta, ponieważ jest pod kontrolą NSA„. Pojawiły się już jednak głosy, że to niepoprawne tłumaczenie, a niektóre słowa nie występują w łacinie w ogóle. Cóż, ja ekspertem od łaciny niestety nie jestem, więc trudno wyrokować. Niezależnie jednak od tego, czy ukryta wiadomość to nadinterpretacja, czy też prawdziwa wskazówka od twórców, wciąż jedynym sensownym wytłumaczeniem sytuacji jest ingerencja NSA.

Uwaga! Jest nadzieja! Wszystkich użytkowników TrueCrypta, a także osoby które dopiero planowały zostać jego użytkownikami, zachęcamy do zapoznania się z projektem, który ma na celu dalszy rozwój tego wspaniałego narzędzia. TrueCrypt must not die!

 

Strona TrueCrypt: www.truecrypt.org/
Wątek Reddit: http://www.reddit.com/r/netsec/…/truecrypt_development_has_ended_052814/
Wątek Hackernews: https://news.ycombinator.com/item?id=7812133

Ciekawy artykuł? Podziel się ze znajomymi:
Tweet about this on TwitterShare on FacebookShare on Google+Share on LinkedInShare on Reddit