НЕ ПРОПУСТИТЬ ИНТЕРЕСНОЕ

Свежие обсуждения

Sorry. No data so far.

Уведомление о закрытии проекта TrueCrypt и небезопасности приложения

Несколько дней назад уже привычный контент официального сайта популярнейшего приложения для шифрования данных TrueCrypt стал недоступен. С www.truecrypt.org была установлена переадресация на страницу ресурса sourceforge.net в самом верху которой размещен такой текст:

truecrypt_warning

ПРЕДУПРЕЖДЕНИЕ: Использование TrueCrypt не является безопасным, так как он может содержать неисправленные проблемы безопасности.

Эта страница существует только для того, чтобы помочь перенести имеющиеся зашифрованные TrueCrypt данные.

Развитие TrueCrypt было завершено в мае 2014 года после прекращения поддержки Windows XP компанией Microsoft. Windows 8/7/Vista имеют интегрированную поддержку шифрования дисков и образов виртуальных дисков. Такая интегрированная поддержка также доступна для других платформ. Вы должны перенести все данные, зашифрованные TrueCrypt, на зашифрованные диски или образы виртуальных дисков, поддерживаемые вашей платформой.

Далее следует инструкция с картинками по использованию BitLocker в Windows.

truecrypt_7.2_download

Заканчивается все опять же предупреждением о том, что использование TrueCrypt не является безопасным, а для загрузки предлагается финальная версия с номером 7.2 с помощью которой можно только расшифровать данные. Соответственно, все предыдущие релизы, включая и последний рабочий 7.1а, для загрузки более недоступны.

Если предположить, что все это не является результатом действия злоумышленников, взломавших сайт, то событие само по себе весьма печальное.

На протяжении многих лет TrueCrypt был для меня обязательным приложением на всех компьютерах. Более того, открою маленький секрет, с неизменным успехом я использовал данное приложение не только на настольных компьютерах, но и на очень серьезных серверах.

За все время не было ни одного сбоя или потери информации по вине TrueCrypt. Чего нельзя сказать, например, о PGP.

Очень важным достоинством программы, наряду со многими другими, являлась ее кроссплатформенность. В связке с DropBox приложение обеспечивало очень простой, удобный и безопасный доступ к конфиденциальным данным с компьютеров, работающих под управлением различных операционных систем. Использованию связки TrueCrypt/DropBox была посвящена эта статья.

К сожалению, бинарный файл финальной версии TrueCrypt подписан официальным приватным ключом проекта, что с большой долей вероятности говорит о том, скорее всего данный релиз был разработан автором.

Кстати, разработчики системы являются анонимными, так как не дают о себе никакой информации.

Произошедшее событие активно обсуждается в Интернет-сообществе. К настоящему моменту времени озвучено большое количество его возможных причин. Не думаю, что имеет смысл повторять их все, так как установить истинную причину это не поможет.

Если отбросить вариант со злоумышленниками, взломавшими сайт или непосредственно воздействовавшими на самого разработчика, то наиболее вероятной причиной представляется финансовая. Возможно проект просто не принес или перестал приносить реальный доход.

На странице etcwiki есть информация о том, что проект аудита кода TrueCrypt собрал уже более $62 000. Эта сумма многократно превышает ту, которую получили разработчики программы за счет пожертвований. Этот факт мог легко стать последней каплей, побудившей прекратить дальнейшее развитие проекта. Действительно обидно.

В пользу этого, как мне кажется, говорит и то, что на новой странице в sourceforge.net дана инструкция по переходу на BitLocker, что выглядит чуть ли не как издевка. Впрочем, и упоминание в качестве одной из причин прекращение Microsoft поддержки Windows XP также выглядит более чем странно.

Что будет дальше, пока непонятно. Аудит TrueCrypt планируется довести до конца. Дождемся его результатов.

Так как код TrueCrypt распространяется под собственной лицензией, в которую включены дополнительные требования к области распространения и упоминании авторства, то он не является свободным. Это мешает созданию форка и дальнейшему развитию проекта.

Одним словом, друзья, если пользоваться бесплатными программами и никак не поощрять их разработчиков, то такой итог представляется более чем закономерным.

Возможно я очень сильно ошибаюсь и могу вскоре за это жестоко поплатиться, но в то, что дальнейшее использование TrueCrypt 7.1a является действительно небезопасным, я до конца не верю. Не буду я пока дергаться и уж тем более переходить на BitLocker.

А что думаете Вы по этому поводу?

1 комментарий. Присоединяйтесь к обсуждению!

  1. Антон:

    Грустно. Однако я согласен с автором в том, что торопиться отказываться от использования TrueCrypt не стоит. Очень уж несуразно выглядит представленная на sourceforge информация. Если действительно была найдена серьезная уязвимость, то почему ее просто не закрыть? При чем тут завершение поддержки ХР? Одним словом, больше похоже на громкий уход с хлопаньем дверью. Причина — или полная потеря интереса к проекту, или на ребят серьезно наехали.
    Для хранения паролей можно использовать keepass, а вот что для файлов вместо TrueCrypt пока не очень понятно.

Написать комментарий

Subscribe without commenting