TrueCrypt: загадочный финал

По-видимому, достаточно известный open source проект приказал долго жить. Причем, по совершенно непонятной причине.

С сегодняшнего дня на официальной странице проекта висит более чем красноречивое предупреждение, к тому же, выделенное красным:

Using TrueCrypt is not secure as it may contain unfixed security issues

На странице доступна только свежая версия 7.2 (все предыдущие удалены), которая, однако, предназначена лишь для дешифровки, т.е. для миграции на сторонние криптографические решения. Мигрировать предлагается (в основном) на BitLocker, инструкция прилагается. Здесь же, якобы, кроется и главная причина. Мол, раз поддержка Windows XP прекращена, а в более новых версиях Windows есть BitLocker, то нечего и голову морочить. Аргумент, прямо скажем, странный. Мало того, что TrueCrypt работал и в других ОС, но ведь и далеко не во всех редакциях Windows Vista/7/8 BitLocker присутствует.

Между тем, проект TrueCrypt довольно любопытен. Несмотря на очевидную популярность, его разработчики абсолютно анонимны – никто их не знает и не может связаться с ними напрямую. В определенных контекстах это, согласитесь, может наталкивать на всякие размышления. Именно поэтому после громкого инцидента с NSA общественность собрала деньги на профессиональный аудит кода TrueCrypt. И первый его этап, завершившийся 14/04/2014 не выявил ничего подозрительного. Вроде бы деньги на последующие исследования даже продолжают собираться.

Но что же все-таки случилось? Возможных вариантов несколько и ни один полностью отвергать пока нельзя. Однако, взлом сайта (что первое пришло в голову многим) маловероятен. Если это, так сказать, злая шутка, то откуда взялась перекомпилированная и подписанная официальным сертификатом версия 7.2; если же хакеры завладели и ключом, то зачем же им столь явно «светиться»? Далее, если ключ действительно «утек», то почему разработчики отреагировали столь странным образом – не проще/лучше ли было заявить об инциденте прямо, отозвать старый сертификат и начать использовать новый? Более подробный анализ можно найти, к примеру, у Стива Гибсона, но и он приходит к тому же выводу – очень похоже на то, что разработчики по каким-то, им одним ведомым, причинам действительно решили прикрыть проект.

Таким образом, вопрос о том, какие продукты заслуживают большего доверия (а в сфере информационной безопасности это особенно важно) – проприетарные или open source, – по-прежнему остается открытым. C одной стороны – некрасивая история взаимоотношений RSA с NSA, с другой – нынешний кунштюк с TrueCrypt. Ведь с SourceForge исчезли не только все предыдущие версии, но и репозиторий кода. Наверняка, где-то сохранились копии последнего, но рискнет ли теперь кто-то «форкать» от него новый проект?