Befejeződött a TrueCrypt fejlesztése

Titkosítás, biztonság, privát szféra

A népszerű, nyílt forrású TrueCrypt titkosítóprogram weboldala néhány órája átirányítja a látogatókat a projekt SourceForge oldalára, ahol az olvasható, hogy a ware fejlesztése befejeződött, az nem biztonságos és javítatlan biztonsági hibákat tartalmazhat. A fejlesztők a windowsos TrueCrypt felhasználóknak azt ajánlják, hogy váltsanak a Windowsokban beépített BitLocker-re.

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

Egyesek először hoaxra vagy a TrueCrypt oldalának feltörésére gondoltak, de Brian Krebs szerint az oldalhoz tartozó WHOIS és DNS bejegyzések nem utalnak semmi változásra.

Ugyanerre a következtetésre jutott Matthew Green, a Johns Hopkins University Information Security Institute professzora is, aki régi szkeptikusa a TrueCrypt-nek. Green korábban közösségi finanszírozási kampány(oka)t indított a TrueCrypt auditálására. A kampány sikeres lett. Az iSec Partners tavaly közzétette az általa végzett kódátvizsgálás első részét, amely a TrueCrypt bootloader-éről szólt.

Az iSec ugyan talált 11 hibát az elemzés során, de egyik sem bizonyult azonnal kihasználhatónak, illetve az auditor cég nem talált semmi nyomát szándékos backdoor-nak vagy szándékosan elkövetett hibának.

A The Register arról ír, hogy úgy tűnik, hogy a TrueCrypt friss verziója kompromittált.

Többen is próbálták elérni a TrueCrypt fejlesztőket (akik vehemensen próbálják őrizni inkognitójukat), de nem jártak sikerrel.

További részletek itt.

( pink v | 2014. 05. 29., cs – 09:09 )

Sajnálom, mert a maga nemében egyedülálló volt.
Használom jelenleg is minden gépemen.

R.I.P.

> mert akkor a pontos probléma már felszínre jött volna.

Hmm... miért is? Ellentétben a közhiedelemmel, az open source programok sem auditálódnak saját maguktól. Tudunk olyan esetről (tudhatunk, én nem követtem annyira a TC történetét), hogy valaki rendesen auditálta a kódot?

( uid_4656 v | 2014. 05. 29., cs – 09:17 )

Napjainkra jellemző, hogy a vezető tipp a "Miért?" kérdésre már nem a "feltörték az oldalukat", hanem "az NSA megtalálta a fejlesztőket, akik nem nyomták meg a gombot, így életbe lépett a mechanizmus, aminek az eredménye az új oldal". Akár igaz, akár nem, nagyobb gáz ezeknél, hogy az ilyen jellegű gondolatok vezetnek népszerűségben :-(

Annyira azért nem hirtelen történt: 1-2 hete néztem meg utoljára, hogy nincs-e új verzió, merthogy a legutolsó is már több éves volt emlékeim szerint.

Ami inkább furcsa számomra, hogy van egy 7.2-es új változat kiadási megjegyzések nélkül. A korábbi változatoknak semmi nyoma. Ha én befejeznék egy projektet, akkor nem adnék ki hirtelen még egy változatot, ráadásul olyan megjegyzésekkel teletarkítva, hogy "WARNING: Using TrueCrypt is not secure". Lehet, hogy ez főleg a 7.2-re vonatkozik...?

Úgy emlékszem, hogy PaxTeam is inkognitóban maradt.

Azt írják, hogy a TrueCrypt csapat is. (Bár egy nevet említettek, aki épp nyilatkozott).

Szóval ha ez így van, akkor ez csak véletlen egybeesés, egyszerűen ez a heppjük, vagy valami más miatt van ez így, és ha holnap úgy ébredek föl, hogy bele kéne kezdeni valami nagy biztonsággal vagy titkosítással foglalkozó projektbe, akkor azt mindenképp inkognitóban tegyem?

Azért kíváncsi lennék, _szerinted_ mi lehet a valószínű magyarázat.

Idáig küldetéstudattal fejlesztették a stuffot (elég csak elolvasni a dokumentációjukat, mennyiféle kérdéssel foglalkoztak), aztán egyszer csak úgy ébrednek, hogy túl sok időt vesz el a kutyasétáltatás.
Eltávolítva minden dokumentációt és forráskódra mutató linket. Arról nem is beszélve, hogy winre egy 1) microsoft által fejlesztett 2) zárt forrású alternatívát ajánlanak helyette.

A wikin neveket is említettek (nem igazán értettem, az én angol tudásomnak már kicsit sok volt) és valami olyat, hogy a szoftver forrása az egyik fejlesztő korábbi munkahelyéről lett lenyúlva, ha jól értettem.
http://en.wikipedia.org/wiki/TrueCrypt
E4m and SecureStar dispute cím alatt.

Szegény scramdisk meg az e4m is hasonlóan végezte. (Előbbinek a linuxos portja még mindig fent van a laptopomon, arra az esetre, ha előkerül egy régi image.)
Csak ott a kapzsiság győzedelmeskedett, és kereskedelmi programot adtak ki helyette a fejlesztők. Na persze, majd pont egy zárt forrású megoldásra váltok.
(Akkoriban még nem volt divat a donate üzleti modell.)

( gelei v | 2014. 05. 29., cs – 09:41 )

Na, azért a Bitlocker is megérne egy auditot. ;)

Jó, mondjuk tény, hogy én azért titkosítom a gépeimet és a külső HDD-ket, mert ezeket simán el tudom hagyni, el lehet lopni, stb. és attól azért jobban félek, mint attól, hogy az NSA belenéz. Ettől függetlenül viszont nem lenne rossz, ha atomtámadás NSA meg minden szirszar ellen védene.

(Amúgy Bitlockert használok, már egy-két éve; pont TrueCrypt-ről migráltam át)

( rengat | 2014. 05. 29., cs – 10:59 )

R.I.P. :(
Az általam ismert egyetlen multiplatformos ilyen SW amiről tudok...

( krychek | 2014. 05. 29., cs – 12:35 )

"Befejeződött a TrueCrypt fejlesztése"

Először azt hittem azért, mert tökéletes lett és már nincs rajta mit fejleszteni. :)

( mogorva v | 2014. 05. 29., cs – 12:51 )

Van bármilyen multiplatformos, free (vagy ha akarom akkor adományozok valamennyit) alternatívája?

A notebookomon van TC-s image file, amit felcsatolok drive-nak ha kell róla valami.

Elég gáz ez (a sebezhetőség és a bezárás) most így.

root@alderaan:/home/trey# apt-cache show tcplay

[...]

Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Original-Maintainer: Laszlo Boszormenyi (GCS) <gcs@debian.org>

[...]

Free and simple TrueCrypt Implementation based on dm-crypt
tcplay is a free (BSD-licensed), pretty much fully featured (including
multiple keyfiles, cipher cascades, etc) and stable TrueCrypt implementation.

[...]

tcplay is now available for both DragonFly BSD and Linux. It is a core part of the DragonFly BSD operating system and is available in a number of linux distros.

[...]

https://github.com/bwalex/tc-play

Replacing TrueCrypt

https://wiki.archlinux.org/index.php/Tcplay

--
trey @ gépház

Nekem a dm* cuccoknak a sebességével Linuxon komoly problémám volt kb. 1 éve. Gyakorlatilag device-onként 1 thread titkosított, és ez _nagyon_ meg bírta fogni a rendszert. Ráadásul volt ez mellé még egy olyan probléma, hogy a kworker nem bírt átmenni az egyik core-ról a másikra. Így választhattunk, hogy egy 8 core-os gépen 6 diszkből hogyan csinálunk RAID5-öt: a RAID device-t titkosítjuk, és akkor 1 darab threaden megy át a teljes IO, vagy a "nyers" diszket titkosítjuk, és azt fogjuk RAID-be, és akkor 6 thread dolgozik - ami csak látszólag jobb, mert egy kevésbé szerencsés csillagálás esetén induláskor, 0 load mellett mind a 6 kworker szépen hozzákapcsolódik ugyan ahhoz a core-hoz, és ugye ott is marad.

Persze lehet, hogy azóta megoldották ezeket a problémákat, mindenesetre az encfs teljesítménye komolyabb terhelés (és szerencsétlenebb csillagálás) esetén vagy 1 nagyságrendet vert a dm-cryptre.

Kösz a tippet, ránézek az encfs-re. Bár amit lentebb írsz róla, az alapján ez nem device-szintű, hanem egyenként titkosítja a fájlokat. Biztonság szempontjából azért ez kevésbé jó.
Egyelőre a dm-crypt-tel sincs gondom, mert a laptopomon a /home/pink nem kap extrém I/O terhelést, az otthoni storage meg a hálón lóg, és külön hardver kripteli.

Pontosan, nem device szintű, hanem egy meglévő fájlrendszer (pl. ext3, ext4, btrfs) főlé húz még egy réteget, és a fájlrendszert egy adott könyvtártól lefele titkosítja - azaz átnevezi a fájlokat és a könyvtárakat, valamint titkosítja a fájlok tartalmát, de a könyvtárszerkezet és a fájlok körübelüli hossza megmarad. A kezdő könyvtár lehet persze akár a gyökér is, de lehet pl. minden user saját home-ját külön-külön titkosítani ugyan azon a diszken a user saját passwordjével - erre a block device-on dolgozó eszközök nem képesek.

Köszönöm szépen.

Tudom, néha guglizhatnék is.
Jééé, az emerge is ismeri! :-) 


~ # emerge --search tc-play
Searching...    
[ Results for search key : tc-play ]
[ Applications found : 1 ]

*  app-crypt/tc-play [ Masked ]
      Latest version available: 1.1
      Latest version installed: [ Not Installed ]
      Size of files: 987 kB
      Homepage:      https://github.com/bwalex/tc-play
      Description:   a free, pretty much fully featured and stable TrueCrypt implementation
      License:       BSD

Istenem, ha még FreeBSD-re is lenne, minden rendszeremen mennének a TC konténerek...

( Szappan | 2014. 05. 29., cs – 14:40 )

Már nem azért, de 2012-ben leállt a 7.1a nál vagy hol nem?

Igen, en is igy tudom. Es pont ezert azt a verziot hasznalnam es fogom is tovabbra is. Erdekes nem, hogy pont mielott meghalt a project, kiadtak a 7.2-t es az oldalukrol minden dokumentacio es minden link eltunt, ami regi verziokra mutatott... Lehet, hogy mar az tul jo volt az NSA es hasonlo szervezeteknek...

"Latest working version is 7.1a. Version 7.2 is a hoax"

https://gist.github.com/ValdikSS/c13a82ca4a2d8b7e87ff

És itt se írnak 7.2 verziót: http://truecrypt.org.ua/news

Szóvak a helyedben nem tenném azt fel.

"Many experts are doubting the theory that the website has been hacked. A privacy and security researcher working on the TrueCrypt audit, Runa A. Sandvik, told Threatpost that the “current version listed on the SourceForge page, version 7.2, was signed yesterday with the same key used by the TrueCrypt Foundation for as long as two years.” Kaspersky lab researcher Costin Raiu, too confirmed this."

Te most write-only modeban vagy? Vegyel mar vissza a stilusodbol es olvasd el az elotte levo hozzaszolasaimat is a frocsogo stilus elott. Koszi.
Varj, segitek: "Igen, en is igy tudom. Es pont ezert azt a verziot hasznalnam es fogom is tovabbra is. Erdekes nem, hogy pont mielott meghalt a project, kiadtak a 7.2-t es az oldalukrol minden dokumentacio es minden link eltunt, ami regi verziokra mutatott... Lehet, hogy mar az tul jo volt az NSA es hasonlo szervezeteknek..." - ezt a 7.1a-ra valaszoltam. Voala! Es a vicces, hogy te erre valaszoltal eloszor, de ezek szerint mar akkor se olvastad figyelmesen, mire is...

Nem volt maganvelemeny? Akkor a kiragadott 1 mondatod szovegkornyezetet is beideznem a sajat linkedbol:
"Assumption #1 The website is presumed hacked, the keys are presumed compromised. Please do not download or run it. And please don't switch to bitlocker.

Latest working version is 7.1a. Version 7.2 is a hoax"
Ismered az Assumption szo jelenteset?

( noorbertt v | 2014. 05. 29., cs – 16:23 )

EncFS es cryptkeeper mennyire jo alternativa?

Encfs-nél tudod a fájlok és a directoryk darabszámát és meg tudod saccolni a fájlok hosszát, valamint nem tudsz "két végéről nyíló" letagadható tartalmú diszket csinálni. Azaz nem tudod azt mondani, az XXX-nek (tetszőleges 3 betűs szervezet, vagy a magyar megfelelője), hogy itt a jelszó, és jé, ezen a diszken csak 3 fotó van az asszonyról, és nem az ellopott bankkártya adatok.

Ha ez a kompromisszum vállalható, akkor technikailag teljesen rendben van.

A cryptkeepert még nem használtam, de az csak egy grafikus frontend encfs-hez, ha jól értelmezem az első releváns google találatot.

"A cryptkeepert még nem használtam, de az csak egy grafikus frontend encfs-hez, ha jól értelmezem az első releváns google találatot."

Ez pontosan így van. A cryptkeeper mellett/helyett érdemes szemügyre venni a Gnome EncFS Manager-t is. Az is egy grafikus frontend EncFS-hez.

--
trey @ gépház

( Zsolty | 2014. 05. 30., p – 10:28 )

Nem tudja valaki, hol erhetnem el es menthetnem le a regi honlap tartalmat? Dokumentaciok, manual...stb...

( nevergone v | 2014. 05. 30., p – 18:32 )

„A bejelentés okához valószínűleg azok az az elmélet járhat a legközelebb, amely szerint a szoftver készítőit titkos (és titoktartást követelő) bírósági határozattal kötelezhette együttműködésre valamilyen hatósági szerv. Ebben az esetben a készítők azt sem fedhetik fel, hogy kényszer alatt cselekednek, így az egyetlen kiskapu a buta ürüggyel végrehajtott leállás - a működés folytatását ugyanis nem követelheti a bíróság. Jelenleg ez a forgatókönyv tűnik legvalószínűbbnek, a buta ürügy (XP támogatásának megszűnése), a látványosan egyszerű weboldal és a kommunikáció stílusa is arra utalhat, hogy a készítők szándékosan figyelmet akartak kelteni.”

http://www.hwsw.hu/hirek/52361/truecrypt-lemeztitkositas-bitlocker-bizt…

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

( mark7 | 2014. 07. 07., h – 12:05 )

Most akkor a régebbi verziókat sem ajánlott használni?
És ezek közül a fentebb felsorolt programok közül van olyan ami fájlokat is tud titkosítani (úgy mint a TC, containerben) vagy csak komplett diszkeket?

"A régi TC verzió(k) használhatók biztonságosan vagy inkább ne?"

Csak nekem tunik esetlen kerdesnek egy biztondagi szoftvernel až a kerdes, hogy a "valamilor kompromittalodott" helyett a regi, potencialisan bugosabb, butabb, szoftvert hasznaljob-e valaki?

---------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™"

Steve Gibson szerint Yes... TrueCrypt is still safe to use.
Én hiszek neki.
Volt ez téma az egyik podcast-jában is.

Létrehozta a Final Release Repository-t, ahonnan biztonságosan letölthetők a 7.1a binárisok és forráskódok. Továbbá összeszedte a releváns site-ok linkjeit.
Az oldal DNSSEC-kel biztosított.