Видео: История TrueCrypt. Недоказуемость криптоконтейнеров. (Ноември 2024)
Ако използвате TrueCrypt за криптиране на вашите данни, трябва да преминете към различен софтуер за криптиране, за да защитите вашите файлове и дори цели твърди дискове.
Отвореният код и свободно достъпният софтуер TrueCrypt е популярен през последните десет години, тъй като се възприема като независим от основните доставчици. Създателите на софтуера не са публично идентифицирани. Уж Едуард Сноудън използва TrueCrypt, а експертът по сигурността Брус Шнайер е друг известен поддръжник на софтуера. Инструментът улесни превръщането на флаш устройство или твърд диск в криптиран обем, осигурявайки всички съхранявани на него данни от любопитни очи.
Тайнствените създатели внезапно затвориха TrueCrypt в сряда, твърдейки, че е опасен за използване. "ВНИМАНИЕ: Използването на TrustCrypt не е защитено, тъй като може да съдържа непоправени проблеми със сигурността", прочетете текста на страницата на SourceCorge на TrueCrypt. „Трябва да мигрирате всички данни, криптирани от TrueCrypt, в криптирани дискове или изображения на виртуални дискове, поддържани на вашата платформа“, се казва в съобщението.
„Време е да започнете да търсите алтернативен начин за криптиране на вашите файлове и твърд диск“, пише независимият консултант по сигурността Греъм Клули.
Консенсус: Не е измама
В началото имаше опасения, че някои злонамерени нападатели са опозорили сайта, но става все по-ясно, че това не е измама. Сайтът SourceForge вече предлага актуализирана версия на TrueCrypt (цифрово подписан от разработчиците, така че това не е хак), който изскача предупреждение по време на инсталационния процес, за да информира потребителите, че трябва да използват BitLocker или някакъв друг инструмент.
"Мисля, че е малко вероятно неизвестен хакер да идентифицира разработчиците на TrueCrypt, да открадне ключа за подписване и да хакне техния сайт", казва Матю Грийн, професор, специализиран в криптографията в университета на Джон Хопкинс.
Какво да правя по-нататък
Сайтът, както и изскачащото предупреждение за софтуера, има инструкции за прехвърляне на криптирани за TrueCrypt файлове в услугата на BitLocker на Microsoft, която е вградена в Microsoft Vista Ultimate и Enterprise, Windows 7 Ultimate и Enterprise и Windows 8 Pro и Enterprise. TrueCrypt версия 7.2 позволява на потребителите да декриптират своите файлове, но не им позволява да създават нови криптирани томове.
Докато BitLocker е очевидната алтернатива, има и други възможности за разглеждане. Шнайер каза на Регистъра, че се връща обратно към PGPDisk на Symantec, за да криптира данните му. Symantec Drive Encrpytion ($ 110 за лиценз за един потребител) използва PGP, което е добре познат метод за криптиране. Има и други безплатни инструменти за Windows, като DiskCryptor. Експертът по сигурността Grugq състави списък от алтернативи на TrueCrypt миналата година, който все още е полезен.
Йоханес Улрих от SANS Institute препоръча на потребителите на Mac OS X да се придържат към FileVault 2, който е вграден в OS X 10.7 (Lion) и по-нови версии. FileVault използва 128-битов шифър XTS-AES, който е същият, използван от NSA. Потребителите на Linux трябва да се придържат към вградената настройка на Linux Unified Key (LUKS), каза Ullrich. Ако използвате Ubuntu, инсталаторът на операционната система има възможност да включи пълното криптиране на диска още от самото начало.
Потребителите обаче ще се нуждаят от различен инструмент за преносими устройства, които се движат между различни операционни системи. "PGP / GnuPG идва на ум", каза Улрих в дневника на информационните манипулатори на InfoSec.
Немската компания Steganos предлага по-стара версия на техния инструмент за криптиране (версия 15 е най-новата им, но офертата е за версия 14) безплатно за потребителите, което всъщност не е толкова идеално.
Неизвестни уязвимости
Фактът, че TrueCrypt може да има уязвимости в сигурността, е проблем, като се има предвид, че в момента се провежда независим одит на софтуера и не е имало такива отчети. Привържениците събраха 70 000 долара за одита поради опасения, че Агенцията за национална сигурност има възможност да декодира значителни количества криптирани данни. Първата фаза на разследването, която разгледа заредителя за зареждане на TrueCrypt, бе пусната миналия месец. Той „не намери доказателства за заден план или умишлени недостатъци“. Следващата фаза, която ще изследва криптографията, използвана от софтуера, трябваше да приключи това лято.
Грийн, който беше един от хората, участващи в одита, заяви, че няма предварително предупреждение за това, което разработчиците на TrueCrypt планират. "Последно чух от Truecrypt:" Очакваме с нетърпение резултатите от фаза 2 от вашия одит. Че много ви се иска за всичките ви усилия отново! ", Публикува той в Twitter. Очаква се одитът да продължи въпреки спирането.
Възможно е създателите на софтуера да решат да спрат разработката, тъй като инструментът е толкова стар. Разработката "приключи през 5/2014 г., след като Microsoft прекрати поддръжката на Windows XP", се казва в съобщението на SourceForge. „Windows 8/7 / Vista и по-нова версия предлагат интегрирана поддръжка за криптирани дискове и изображения на виртуални дискове.“ С криптиране, вградено в голяма част от операционните системи по подразбиране, разработчиците може би смятат, че софтуерът вече не е необходим.
За да станат нещата още по-мрачни, изглежда, че на 19 май е добавен билет за премахване на TrueCrypt от защитената операционна система Tails (също друг любим на Snowden). Каквато и да е ситуацията, ясно е, че в този момент никой не трябва да използва софтуера, предупреди Клули.
"Независимо дали измама, хак или истински край на живота на TrueCrypt, ясно е, че никой потребители, които не са сигурни в сигурността, няма да се чувстват комфортно да се доверят на софтуера след този дебал", пише Клули.