`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Игорь Дериев

TrueCrypt: загадочный финал

+66
голосов

По-видимому, достаточно известный open source проект приказал долго жить. Причем, по совершенно непонятной причине.

С сегодняшнего дня на официальной странице проекта висит более чем красноречивое предупреждение, к тому же, выделенное красным:

Using TrueCrypt is not secure as it may contain unfixed security issues

На странице доступна только свежая версия 7.2 (все предыдущие удалены), которая, однако, предназначена лишь для дешифровки, т.е. для миграции на сторонние криптографические решения. Мигрировать предлагается (в основном) на BitLocker, инструкция прилагается. Здесь же, якобы, кроется и главная причина. Мол, раз поддержка Windows XP прекращена, а в более новых версиях Windows есть BitLocker, то нечего и голову морочить. Аргумент, прямо скажем, странный. Мало того, что TrueCrypt работал и в других ОС, но ведь и далеко не во всех редакциях Windows Vista/7/8 BitLocker присутствует.

Между тем, проект TrueCrypt довольно любопытен. Несмотря на очевидную популярность, его разработчики абсолютно анонимны – никто их не знает и не может связаться с ними напрямую. В определенных контекстах это, согласитесь, может наталкивать на всякие размышления. Именно поэтому после громкого инцидента с NSA общественность собрала деньги на профессиональный аудит кода TrueCrypt. И первый его этап, завершившийся 14/04/2014 не выявил ничего подозрительного. Вроде бы деньги на последующие исследования даже продолжают собираться.

Но что же все-таки случилось? Возможных вариантов несколько и ни один полностью отвергать пока нельзя. Однако, взлом сайта (что первое пришло в голову многим) маловероятен. Если это, так сказать, злая шутка, то откуда взялась перекомпилированная и подписанная официальным сертификатом версия 7.2; если же хакеры завладели и ключом, то зачем же им столь явно «светиться»? Далее, если ключ действительно «утек», то почему разработчики отреагировали столь странным образом – не проще/лучше ли было заявить об инциденте прямо, отозвать старый сертификат и начать использовать новый? Более подробный анализ можно найти, к примеру, у Стива Гибсона, но и он приходит к тому же выводу – очень похоже на то, что разработчики по каким-то, им одним ведомым, причинам действительно решили прикрыть проект.

Таким образом, вопрос о том, какие продукты заслуживают большего доверия (а в сфере информационной безопасности это особенно важно) – проприетарные или open source, – по-прежнему остается открытым. C одной стороны – некрасивая история взаимоотношений RSA с NSA, с другой – нынешний кунштюк с TrueCrypt. Ведь с SourceForge исчезли не только все предыдущие версии, но и репозиторий кода. Наверняка, где-то сохранились копии последнего, но рискнет ли теперь кто-то «форкать» от него новый проект?

+66
голосов

Напечатать Отправить другу

Читайте также

Мда, опенсорсных софтин для шифрованная и безопасности становится все меньше и меньше...

Столлман ликует. GPG в массы :)

GPG? Обло огромно?

не говоря о том, что
"64 bit versions of Windows are NOT supported"

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT