Co się stało z projektem TrueCrypt?

2014-05-30 09:00

Przez ostatnie dwa dni trwa w internecie debata na temat możliwych przyczyn niezapowiedzianego zamknięcia projektu TrueCrypt. Strona truecrypt.org de facto przestała istnieć i kieruje cały ruch na stronę domową projektu umieszczoną na SourceForge (http://truecrypt.sourceforge.net/). Umieszczono tam szczegółowe instrukcje dotyczące migracji użytkowników do platformy BitLocker dostępnej na platformach Windows już od edycji Vista, w zależności od posiadanej licencji. Jednocześnie, upubliczniona została nowa wersja aplikacji (7.2), usunięto historię z repozytorium oraz wersje archiwalne strony web.archive.org, jak i poprzednie wersje plików binarnych z SourceForge.

Czy TrueCrypt jest niebezpieczny?

Niezależnie od przyczyn zamknięcia projektu, uzasadnione obawy budzi wydanie nowej wersji projektu. Pobieżnie analizując kod źródłowy doszliśmy do wniosku, że jedyną rolą TrueCrypt 7.2 jest umożliwienie odszyfrowania wcześniej zaszyfrowanych kontenerów, natomiast funkcje odpowiedzialne za przeprowadzenie szyfrowania zostały usunięte i zastąpiono je zaślepkami:

Common/BootEncryption.cpp: 1862

void BootEncryption::CheckRequirements ()
{
    AbortProcess ("INSECURE_APP");
}
Common/BootEncryption.cpp: 2233

void BootEncryption::PrepareHiddenOSCreation (int ea, int mode, int pkcs5)
{
    AbortProcess ("INSECURE_APP");
}

Dodano również szereg komunikatów informujących o ryzyku związanym z wykorzystaniem aplikacji:

Common/Language.xml: 239

<control lang="en" key="IDT_INSECURE_APP">WARNING: Using TrueCrypt is not secure</control>

Natomiast całe bloki kodu związane z szyfrowaniem zostały usunięte, jak na przykład Common/BootEncryption.cpp, linie 2248 – 2300, BootEncryption::PrepareInstallation. Pozostałe, udostępnione zmiany sugerują przeprowadzanie zwykłych prac konserwacyjnych kodu źródłowego.

Instalacja

Mimo udostępnienia wersji binarnej projektu oraz podpisania jej we właściwy sposób, nie zalecamy instalacji nowej wesji. Ze względu na istniejące kontrowersje, nie mamy pewności czy klucz prywatny autorów nie został skompromitowany, oraz czy wynikowa wersja aplikacji jest rzeczywiście wersją z udostępnionych źródeł. Należy również pamiętać o tym, że upubliczniony raport z analizy kodu źródłowego nie dotyczył bezpieczeństwa kryptograficznego TrueCrypt.

Blog

MS SQL Server 2005 Extended Support kończy się 12 kwietnia

Rozszerzone wsparcie dla serwera Microsoft SQL Server 2005 kończy się 12 kwietnia. To ostatni moment aby dokonać migracji do wyższej wersji.

Jeśli tego nie zrobiłeś to AVET INS może wesprzeć ...

2016-03-01 09:00, Czytaj więcej Więcej
Kiedy Flash wyginie?

Flash to jedna z tych technologii, która ma bardzo złą – i w tym wypadku całkowicie zasłużenie – reputację w obszarze bezpieczeństwa. Ta reputacja jest tak zła, że od jakiegoś czasu część ...

2016-02-11 16:45, Czytaj więcej Więcej
Krytyczna podatność w kliencie OpenSSH (CVE-2016-0777, CVE-2016-0778)

Wersje oprogramowania klienckiego OpenSSH w wersjach od 5.4 do 7.1 podatne są na atak umożliwiający wyciek pamięci oraz kradzież kluczy prywatnych. W przypadku, gdy połączenie SSH zostanie przerwane ...

2016-02-01 09:30, Czytaj więcej Więcej
Microsoft ogranicza wsparcie IE tylko do wersji 11

Microsoft przestaje wspierać starsze wersje przeglądarki Internet Explorer. Jedyną wspieraną wersją od dzisiaj jest IE 11 i wyższe. Dla wielu systemów (np. Windows 7) może to oznaczać potrzebę aktualizacji lub ...

2016-01-13 09:00, Czytaj więcej Więcej
SafeNet Day: Szyfrowanie w chmurze - prezentacja

Prezentacja Aleksandra Czarnowskiego z konferencji SafeNet Day na temat Szyfrowanie w chmurze jest już dostępna do pobrania. Zapraszamy do pobrania poniżej:

http://www.avet.com.pl/media/pdf/2015-11-02_Szyfrowanie_w_chmurze.pdf

2015-10-31 10:00, Czytaj więcej Więcej