![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Что случилось с TrueCrypt
2014-09-12 11:41 amTrueCrypt — программа для шифрования блочных дисков для Windows, Linux и Mac с открытыми исходными кодами — внезапно прекратила своё существование.
По поводу TrueCrypt наверняка известно следующее:
1. TrueCrypt выполняет свою функцию надёжно, при условии, конечно, что у вас достаточно длинный и достаточно случайный пароль.
2. Бинарный файл TrueCrypt 7.1a, который распространялся через сайт truecrypt.org, за вычетом цифровой подписи, действительно может быть получен компиляцией из официальных исходников.
3. В мае этого года проект внезапно был закрыт. На сайте сейчас выложена версия программы, которая поддерживает только расшифровку в целях миграции данных.
4. Программа была написана, скорее всего, одним человеком, гражданином Чехии по имени Ondřej Tesařík
5. Старые версии TrueCrypt были специально вычищены с Wayback Machine, обстоятельства этой чистки вызывают вопросы.
6. Хэш-код SHA1 последнего доверенного исполняемого файла "TrueCrypt Setup 7.1a.exe", который был скачан ещё летом 2013 года и хранился у меня на диске, равен 7689d038c76bd1df695d295c026961e50e4a62ea .
7. Проводился независимый аудит реализации TrueCrypt 7.1a, он не выявил government backdoors, однако нашлось несколько некритических замечаний
Теперь допущения и расширенные интерпретации:
1. Скорее всего, на автора наехала какая-то спецслужба или мафия, и он закрыл проект. Или это был судебный приказ о внедрении бэкдора, или аналогичный по содержанию NSL. Такие случаи уже были (LavaBit).
2. Сообщение о закрытии проекта в связи с окончанием срока поддержки Windows XP является, скорее всего, троллингом (как и рекомендации переходить на closed-source решения с open-source решений — это как если бы Брюс Шнайер внезапно заявил "Threefish и Skein — полная ерунда, все переходим на Skipjack"). Текст для линуксоидов тоже сделан вычурно несерьёзным: search available installation packages for words encryption and crypt, install any of the packages found (где ключевые слова LUKS и dm-crypt)? На Реддите шутят: this is remarkably similar to Homer Simpson's "Everything Is Okay Alarm".
3. Были попытки править Википедию аналогичным образом, они отменены модераторами.
4. Между версиями 7.1a/7.2 в файлах ресурсов проекта была сделана автоматическая правка языковой метки "English (United States)" на "English (U.S.)", как если бы существующий проект был открыт в другой (более ранней) версии Visual Studio.
5. Все версии от 7.2 и далее должны считаться скомпрометированными, кто бы что ни говорил и как бы не выкручивался. Доверие обнулено, а проект TrueCrypt навсегда "замёрз" в версии 7.1а.
6. Весь новый код, который подписан RSA-ключом TrueCrypt Foundation, тоже теперь считается скомпрометированным.
7. На веб-сайте SANS Institute есть обзор средств шифрования в виде презентации. Помимо средств защиты, встроенных в MS Office (относительно которых доподлинно известно, что они слабые), и вроде-как-нормальных реализаций в WinZip/7zip, есть слайд, посвящённый TrueCrypt. На этом слайде написано "информация удалена по запросу от правительства США".
8. Эдвард Сноуден был пользователем этой программы и рекомендовал её к применению во время CryptoParty на Гаваях (не только её), примерно за пол-года до своего whistleblowing'а.
Также можно почитать:
1. http://www.reddit.com/r/netsec/comments/26pz9b/truecrypt_development_has_ended_052814/
2. http://www.etcwiki.org/wiki/What_happened_to_Truecrypt_-_May_2014
3. http://habrahabr.ru/post/224491/
4. https://www.schneier.com/blog/archives/2014/05/truecrypt_wtf.html
По поводу TrueCrypt наверняка известно следующее:
1. TrueCrypt выполняет свою функцию надёжно, при условии, конечно, что у вас достаточно длинный и достаточно случайный пароль.
2. Бинарный файл TrueCrypt 7.1a, который распространялся через сайт truecrypt.org, за вычетом цифровой подписи, действительно может быть получен компиляцией из официальных исходников.
3. В мае этого года проект внезапно был закрыт. На сайте сейчас выложена версия программы, которая поддерживает только расшифровку в целях миграции данных.
4. Программа была написана, скорее всего, одним человеком, гражданином Чехии по имени Ondřej Tesařík
5. Старые версии TrueCrypt были специально вычищены с Wayback Machine, обстоятельства этой чистки вызывают вопросы.
6. Хэш-код SHA1 последнего доверенного исполняемого файла "TrueCrypt Setup 7.1a.exe", который был скачан ещё летом 2013 года и хранился у меня на диске, равен 7689d038c76bd1df695d295c026961e50e4a62ea .
7. Проводился независимый аудит реализации TrueCrypt 7.1a, он не выявил government backdoors, однако нашлось несколько некритических замечаний
Теперь допущения и расширенные интерпретации:
1. Скорее всего, на автора наехала какая-то спецслужба или мафия, и он закрыл проект. Или это был судебный приказ о внедрении бэкдора, или аналогичный по содержанию NSL. Такие случаи уже были (LavaBit).
2. Сообщение о закрытии проекта в связи с окончанием срока поддержки Windows XP является, скорее всего, троллингом (как и рекомендации переходить на closed-source решения с open-source решений — это как если бы Брюс Шнайер внезапно заявил "Threefish и Skein — полная ерунда, все переходим на Skipjack"). Текст для линуксоидов тоже сделан вычурно несерьёзным: search available installation packages for words encryption and crypt, install any of the packages found (где ключевые слова LUKS и dm-crypt)? На Реддите шутят: this is remarkably similar to Homer Simpson's "Everything Is Okay Alarm".
3. Были попытки править Википедию аналогичным образом, они отменены модераторами.
4. Между версиями 7.1a/7.2 в файлах ресурсов проекта была сделана автоматическая правка языковой метки "English (United States)" на "English (U.S.)", как если бы существующий проект был открыт в другой (более ранней) версии Visual Studio.
5. Все версии от 7.2 и далее должны считаться скомпрометированными, кто бы что ни говорил и как бы не выкручивался. Доверие обнулено, а проект TrueCrypt навсегда "замёрз" в версии 7.1а.
6. Весь новый код, который подписан RSA-ключом TrueCrypt Foundation, тоже теперь считается скомпрометированным.
7. На веб-сайте SANS Institute есть обзор средств шифрования в виде презентации. Помимо средств защиты, встроенных в MS Office (относительно которых доподлинно известно, что они слабые), и вроде-как-нормальных реализаций в WinZip/7zip, есть слайд, посвящённый TrueCrypt. На этом слайде написано "информация удалена по запросу от правительства США".
8. Эдвард Сноуден был пользователем этой программы и рекомендовал её к применению во время CryptoParty на Гаваях (не только её), примерно за пол-года до своего whistleblowing'а.
Также можно почитать:
1. http://www.reddit.com/r/netsec/comments/26pz9b/truecrypt_development_has_ended_052814/
2. http://www.etcwiki.org/wiki/What_happened_to_Truecrypt_-_May_2014
3. http://habrahabr.ru/post/224491/
4. https://www.schneier.com/blog/archives/2014/05/truecrypt_wtf.html
