Videó: История TrueCrypt. Недоказуемость криптоконтейнеров. (November 2024)
Ha az adatok titkosításához a TrueCrypt szoftvert használja, akkor a fájlok és még az egész merevlemez megóvása érdekében másik titkosító szoftverre kell váltania.
A nyílt forráskódú és a szabadon elérhető TrueCrypt szoftver az elmúlt tíz évben népszerű volt, mert úgy véljük, hogy független a nagyobb gyártóktól. A szoftver készítőit nyilvánosan nem azonosították. Edward Snowden állítólag a TrueCrypt-et használta, Bruce Schneier biztonsági szakértő pedig a szoftver egy másik ismert támogatója. Az eszköz megkönnyítette a flash meghajtó vagy a merevlemez titkosított kötetvé alakítását, megóvva az összes rajta tárolt adatot a kíváncsiságú szemtől.
A titokzatos alkotók szerdán hirtelen leállították a TrueCrypt alkalmazást, azt állítva, hogy a használat nem biztonságos. "FIGYELMEZTETÉS: A TrustCrypt használata nem biztonságos, mivel rögzítetlen biztonsági problémákat tartalmazhat" - olvassa el a TrueCrypt SourceForge oldalán található szöveget. "A TrueCrypt által titkosított adatokat migrálnia kell a saját platformján támogatott titkosított lemezekre vagy virtuális lemezképekre" - mondta az üzenet.
"Ideje elkezdeni keresni a fájlok és a merevlemez titkosításának alternatív módját" - írta független biztonsági tanácsadó, Graham Cluley.
Konszenzus: Nem csalás
Eleinte aggodalmak adódtak arról, hogy egyes rosszindulatú támadók megsértették a webhelyet, de egyre nyilvánvalóbb, hogy ez nem csalás. A SourceForge webhely most egy TrueCrypt frissített verziót kínál (amelyet a fejlesztők digitális aláírással írtak alá, tehát ez nem egy hack), amely a telepítés során felugrik egy figyelmeztetést, amely arról tájékoztatja a felhasználókat, hogy BitLocker-et vagy más eszközt kell használniuk.
"Úgy gondolom, valószínűtlen, hogy egy ismeretlen hacker azonosította a TrueCrypt fejlesztőit, ellopta az aláíró kulcsot, és feltörte a webhelyüket" - mondta Matthew Green, a Johns Hopkins Egyetem kriptográfiai szakának professzora.
Mi legyen a következő
A webhely, valamint a szoftver felbukkanó figyelmeztetése tartalmaz utasításokat a TrueCrypt-titkosított fájlok átviteléről a Microsoft BitLocker szolgáltatásába, amely be van építve a Microsoft Vista Ultimate és Enterprise, a Windows 7 Ultimate és az Enterprise, valamint a Windows 8 Pro és az Enterprise rendszerbe. A TrueCrypt 7.2-es verzió lehetővé teszi a felhasználók számára a fájlok visszafejtését, de nem engedi új titkosított kötetek létrehozását.
Noha a BitLocker egyértelmű alternatíva, más lehetőségeket is meg kell nézni. Schneier azt mondta a The Registernek, hogy visszatér a Symantec PGPDisk eszközére, hogy titkosítsa adatait. A Symantec meghajtótitkosítás (110 USD egy felhasználói licencért) a PGP-t használja, amely egy jól ismert titkosítási módszer. Vannak más ingyenes eszközök is a Windowshoz, például a DiskCryptor. Biztonsági szakértő A Grugq tavaly összeállította a TrueCrypt alternatívák listáját, amely továbbra is hasznos.
A SANS Intézet Johannes Ullrich azt javasolta, hogy a Mac OS X felhasználók csatlakozzanak a FileVault 2-hez, amely be van építve az OS X 10.7 (Lion) és későbbi verziókba. A FileVault az XTS-AES 128 bites titkosítást használja, amely megegyezik az NSA által használt titkosítással. A Linux felhasználóknak be kell épülniük a beépített Linux Unified Key Setup (LUKS) rendszerbe - mondta Ullrich. Ubuntu használata esetén az operációs rendszer telepítőjének lehetősége van a teljes lemez titkosítás bekapcsolására a kezdetektől.
A felhasználóknak azonban külön eszközre lesz szükségük a hordozható meghajtókhoz, amelyek a különféle operációs rendszerek között mozognak. "A PGP / GnuPG eszébe jut" - mondta Ullrich az InfoSec Handlers Diary-ban.
A német Steganos cég a titkosító eszköz régebbi verzióját kínálja (a legújabb verzió a 15, de az ajánlat a 14. verzió) ingyenesen kínál a felhasználók számára, ami valójában nem olyan ideális.
Ismeretlen biztonsági rések
Fontos az a tény, hogy a TrueCrypt biztonsági rései vannak, figyelembe véve, hogy jelenleg folyik a szoftver független ellenőrzése, és ilyen jelentések még nem voltak. A szurkolók 70 000 dollárt gyűjtöttek az ellenőrzésre az aggályok miatt. A Nemzetbiztonsági Ügynökség képes nagy mennyiségű titkosított adat dekódolására. A TrueCrypt rendszerbetöltővel foglalkozó vizsgálat első szakaszát csak a múlt hónapban engedték szabadon. "Nem talált bizonyítékot a hátsó ajtókban vagy szándékos hibákról". A következő fázist, amely megvizsgálja a szoftver által használt kriptográfiát, a tervek szerint ezen a nyáron fejezik be.
Green, aki az ellenőrzésben részt vett, azt mondta, hogy nem volt előre figyelmeztetve arra, amit a TrueCrypt fejlesztők terveztek. "Utoljára a Truecrypt-től hallottam:" Várjuk az ellenőrzés 2. szakaszának eredményeit. Nagyon örülök minden erőfeszítésednek! "" - írta a Twitteren. Az ellenőrzés várhatóan a leállítás ellenére folytatódni fog.
Lehetséges, hogy a szoftver alkotói úgy döntöttek, hogy leállítják a fejlesztést, mert az eszköz olyan régi. A fejlesztés "5/2014-ben fejeződött be, miután a Microsoft megszüntette a Windows XP támogatását" - mondta az üzenet a SourceForge-n. "A Windows 8/7 / Vista és későbbi integrált támogatást nyújtott a titkosított lemezekhez és a virtuális lemezképekhez." A titkosítást alapértelmezés szerint beépítve sok operációs rendszerbe, a fejlesztők úgy érezték, hogy a szoftverre már nincs szükség.
Annak érdekében, hogy a dolgok még murkierbbak legyenek, úgy tűnik, hogy május 19-én jegy került felvételre a TrueCrypt eltávolításához a biztonságos operációs rendszer Tailsből (ez szintén egy másik Snowden kedvenc). Bármi legyen is a helyzet, nyilvánvaló, hogy ezen a pillanatban senki sem használhatja a szoftvert - figyelmeztette Cluley.
"Legyen szó csalódásról, hackról vagy valódi életciklusról a TrueCrypt számára, egyértelmű, hogy a biztonsági tudatosságú felhasználók nem fognak úgy érezni, hogy bíznak a szoftverben a vita után" - írta Cluley.
