Befejeződött a TrueCrypt fejlesztése

 ( trey | 2014. május 29., csütörtök - 7:34 )

A népszerű, nyílt forrású TrueCrypt titkosítóprogram weboldala néhány órája átirányítja a látogatókat a projekt SourceForge oldalára, ahol az olvasható, hogy a ware fejlesztése befejeződött, az nem biztonságos és javítatlan biztonsági hibákat tartalmazhat. A fejlesztők a windowsos TrueCrypt felhasználóknak azt ajánlják, hogy váltsanak a Windowsokban beépített BitLocker-re.

Idézet:
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

Egyesek először hoaxra vagy a TrueCrypt oldalának feltörésére gondoltak, de Brian Krebs szerint az oldalhoz tartozó WHOIS és DNS bejegyzések nem utalnak semmi változásra.

Ugyanerre a következtetésre jutott Matthew Green, a Johns Hopkins University Information Security Institute professzora is, aki régi szkeptikusa a TrueCrypt-nek. Green korábban közösségi finanszírozási kampány(oka)t indított a TrueCrypt auditálására. A kampány sikeres lett. Az iSec Partners tavaly közzétette az általa végzett kódátvizsgálás első részét, amely a TrueCrypt bootloader-éről szólt.

Az iSec ugyan talált 11 hibát az elemzés során, de egyik sem bizonyult azonnal kihasználhatónak, illetve az auditor cég nem talált semmi nyomát szándékos backdoor-nak vagy szándékosan elkövetett hibának.

A The Register arról ír, hogy úgy tűnik, hogy a TrueCrypt friss verziója kompromittált.

Többen is próbálták elérni a TrueCrypt fejlesztőket (akik vehemensen próbálják őrizni inkognitójukat), de nem jártak sikerrel.

További részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Sajnálom, mert a maga nemében egyedülálló volt.
Használom jelenleg is minden gépemen.

R.I.P.

Én sem hiszem, hogy biztonsági kockázat lenne benne, mert akkor a pontos probléma már felszínre jött volna.
Megvan még a "megfelelően régi" telepítő, azt addig használom, ameddig újra valaki fel nem karolja a projektet. :)

tia

> mert akkor a pontos probléma már felszínre jött volna.

Hmm... miért is? Ellentétben a közhiedelemmel, az open source programok sem auditálódnak saját maguktól. Tudunk olyan esetről (tudhatunk, én nem követtem annyira a TC történetét), hogy valaki rendesen auditálta a kódot?

Bár nem rendszeresen, de nemrég auditálták a kódot, és folytatódik is az auditálása.

Napjainkra jellemző, hogy a vezető tipp a "Miért?" kérdésre már nem a "feltörték az oldalukat", hanem "az NSA megtalálta a fejlesztőket, akik nem nyomták meg a gombot, így életbe lépett a mechanizmus, aminek az eredménye az új oldal". Akár igaz, akár nem, nagyobb gáz ezeknél, hogy az ilyen jellegű gondolatok vezetnek népszerűségben :-(

Vajon a grsec/PaX stb. mikor jutnak hasonló sorsra? :(
Elég furcsa, hogy ilyen hirtelen...

Annyira azért nem hirtelen történt: 1-2 hete néztem meg utoljára, hogy nincs-e új verzió, merthogy a legutolsó is már több éves volt emlékeim szerint.

Ami inkább furcsa számomra, hogy van egy 7.2-es új változat kiadási megjegyzések nélkül. A korábbi változatoknak semmi nyoma. Ha én befejeznék egy projektet, akkor nem adnék ki hirtelen még egy változatot, ráadásul olyan megjegyzésekkel teletarkítva, hogy "WARNING: Using TrueCrypt is not secure". Lehet, hogy ez főleg a 7.2-re vonatkozik...?

Nem fog.

Még várd ki a végét! ;)

Ha az NSA miatt kérdezted, akkor azért nem fog, mert ott is aktívan használják.

A magyar NSA miatt. :D
(a PaX ugye magyar agyból pattant ki - bár nem tudom, még itthon van-e a srác... vagy keverem valamivel?)

ui: azért vetted az adást, hogy smiley volt a végén?

itthon.

De nem te vagy? :-P

Mondd, te tényleg nem ismered a smiley-kat vagy csak trollkodsz ilyenkor? :)

Hunger? még az adóbevallásában is.

Egy szem trollkodást nem látok a szálban, legalábbis tőle.

Na... megint valaki, aki még nem látott smiley-t. :D

LOL most már magyarázhatod a bizonyítványt! :->

:)

s/már/már megint/g

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Na, egy valódi troll. Hiányoztál, mint... szóval nagyon. :D

Úgy emlékszem, hogy PaxTeam is inkognitóban maradt.

Azt írják, hogy a TrueCrypt csapat is. (Bár egy nevet említettek, aki épp nyilatkozott).

Szóval ha ez így van, akkor ez csak véletlen egybeesés, egyszerűen ez a heppjük, vagy valami más miatt van ez így, és ha holnap úgy ébredek föl, hogy bele kéne kezdeni valami nagy biztonsággal vagy titkosítással foglalkozó projektbe, akkor azt mindenképp inkognitóban tegyem?

Nem árt az óvatosság, ha ingoványos a terep. :)

Azért kíváncsi lennék, _szerinted_ mi lehet a valószínű magyarázat.

Idáig küldetéstudattal fejlesztették a stuffot (elég csak elolvasni a dokumentációjukat, mennyiféle kérdéssel foglalkoztak), aztán egyszer csak úgy ébrednek, hogy túl sok időt vesz el a kutyasétáltatás.
Eltávolítva minden dokumentációt és forráskódra mutató linket. Arról nem is beszélve, hogy winre egy 1) microsoft által fejlesztett 2) zárt forrású alternatívát ajánlanak helyette.

Engem a valódi ok jobban érdekel. :(
(Nem használtam soha, de az ilyen váratlan dolgok nagyon zavarnak)

Update: a wikin a history alatt licenc problémákat emlegetnek. Lehet, hogy ez áll a megszűnése mögött?

Nehéz lehet a licenc probléma egy olyan rendszernél, amely nyílt forráskódú és „hivatalosan” nem ismertek a fejlesztői.

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

A wikin neveket is említettek (nem igazán értettem, az én angol tudásomnak már kicsit sok volt) és valami olyat, hogy a szoftver forrása az egyik fejlesztő korábbi munkahelyéről lett lenyúlva, ha jól értettem.
http://en.wikipedia.org/wiki/TrueCrypt
E4m and SecureStar dispute cím alatt.

http://hup.hu/node/65699#comment-711777

------------------------------------------------------------------------------
www.woodmann.com/searchlores/welcome.htm

Nekem gyanus, hogy az m$ elorantott a kalapbol egy ujabb patent-nyulat.

Az szerinted hol érdekelné a névtelen fejlesztőket?

Nekem a leghalványabb fogalmam sincs róla, hogy mi a magyarázat a fejlesztés leállítására. A helyes válasz néha az, hogy "nem tudom" :-)

Kár érte.

Szegény scramdisk meg az e4m is hasonlóan végezte. (Előbbinek a linuxos portja még mindig fent van a laptopomon, arra az esetre, ha előkerül egy régi image.)
Csak ott a kapzsiság győzedelmeskedett, és kereskedelmi programot adtak ki helyette a fejlesztők. Na persze, majd pont egy zárt forrású megoldásra váltok.
(Akkoriban még nem volt divat a donate üzleti modell.)

Ah, scramdisket használtam régen, az tetszett.


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Na, azért a Bitlocker is megérne egy auditot. ;)

Jó, mondjuk tény, hogy én azért titkosítom a gépeimet és a külső HDD-ket, mert ezeket simán el tudom hagyni, el lehet lopni, stb. és attól azért jobban félek, mint attól, hogy az NSA belenéz. Ettől függetlenül viszont nem lenne rossz, ha atomtámadás NSA meg minden szirszar ellen védene.

(Amúgy Bitlockert használok, már egy-két éve; pont TrueCrypt-ről migráltam át)

R.I.P. :(
Az általam ismert egyetlen multiplatformos ilyen SW amiről tudok...

És talán az egyetlen, amelynek a fejlesztői tényleg gondolkodtak.

sub

sub

"Befejeződött a TrueCrypt fejlesztése"

Először azt hittem azért, mert tökéletes lett és már nincs rajta mit fejleszteni. :)

Van bármilyen multiplatformos, free (vagy ha akarom akkor adományozok valamennyit) alternatívája?

A notebookomon van TC-s image file, amit felcsatolok drive-nak ha kell róla valami.

Elég gáz ez (a sebezhetőség és a bezárás) most így.

Megnézném a realcrypt-et, amely egy Fedora fork.

A tcplay-t te tartod karban a Debian-ban. Van vele valami probléma, hogy nem azt ajánlod?

--
trey @ gépház

Jelenleg nem naprakész. v1.1 lett csomagolva és feltöltve, közben van már v2.0 . Egyelőre nem tudom miben jobb, javítottak-e valami nagy dolgot, mint pl kompatibilitás, sebesség. Valamiért csak 2.0 lett...

"version 2 added an ability to save and restore TrueCrypt volume headers to external header files.This feature can be used to change a TrueCrypt volume password."

"A notebookomon van TC-s image file, amit felcsatolok drive-nak ha kell róla valami."

EncFS-t használok kb. arra, amire te használtad a TC-t.

Operating systems Linux, FreeBSD, Mac OS X,[1] Windows ("encfs4win" port)

--
trey @ gépház

Linuxon jó játékos még a dm-crypt. Azon van a /home meg a swap a laptopomon.

root@alderaan:/home/trey# apt-cache show tcplay

[...]

Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Original-Maintainer: Laszlo Boszormenyi (GCS) <gcs@debian.org>

[...]

Free and simple TrueCrypt Implementation based on dm-crypt
tcplay is a free (BSD-licensed), pretty much fully featured (including
multiple keyfiles, cipher cascades, etc) and stable TrueCrypt implementation.

[...]

tcplay is now available for both DragonFly BSD and Linux. It is a core part of the DragonFly BSD operating system and is available in a number of linux distros.

[...]

https://github.com/bwalex/tc-play

Replacing TrueCrypt

https://wiki.archlinux.org/index.php/Tcplay

--
trey @ gépház

Replace TrueCrypt

--
trey @ gépház

Ezt a tcplay-t már néztem régebben, de valamiért nincs FreeBSD-n (jó, azért nincs, mert nincs dm-crypt sem, meg ugy az egész dm* helyett más van, míg DFly-ék csináltak egyet maguknak).

Nekem a dm* cuccoknak a sebességével Linuxon komoly problémám volt kb. 1 éve. Gyakorlatilag device-onként 1 thread titkosított, és ez _nagyon_ meg bírta fogni a rendszert. Ráadásul volt ez mellé még egy olyan probléma, hogy a kworker nem bírt átmenni az egyik core-ról a másikra. Így választhattunk, hogy egy 8 core-os gépen 6 diszkből hogyan csinálunk RAID5-öt: a RAID device-t titkosítjuk, és akkor 1 darab threaden megy át a teljes IO, vagy a "nyers" diszket titkosítjuk, és azt fogjuk RAID-be, és akkor 6 thread dolgozik - ami csak látszólag jobb, mert egy kevésbé szerencsés csillagálás esetén induláskor, 0 load mellett mind a 6 kworker szépen hozzákapcsolódik ugyan ahhoz a core-hoz, és ugye ott is marad.

Persze lehet, hogy azóta megoldották ezeket a problémákat, mindenesetre az encfs teljesítménye komolyabb terhelés (és szerencsétlenebb csillagálás) esetén vagy 1 nagyságrendet vert a dm-cryptre.

Kösz a tippet, ránézek az encfs-re. Bár amit lentebb írsz róla, az alapján ez nem device-szintű, hanem egyenként titkosítja a fájlokat. Biztonság szempontjából azért ez kevésbé jó.
Egyelőre a dm-crypt-tel sincs gondom, mert a laptopomon a /home/pink nem kap extrém I/O terhelést, az otthoni storage meg a hálón lóg, és külön hardver kripteli.

Pontosan, nem device szintű, hanem egy meglévő fájlrendszer (pl. ext3, ext4, btrfs) főlé húz még egy réteget, és a fájlrendszert egy adott könyvtártól lefele titkosítja - azaz átnevezi a fájlokat és a könyvtárakat, valamint titkosítja a fájlok tartalmát, de a könyvtárszerkezet és a fájlok körübelüli hossza megmarad. A kezdő könyvtár lehet persze akár a gyökér is, de lehet pl. minden user saját home-ját külön-külön titkosítani ugyan azon a diszken a user saját passwordjével - erre a block device-on dolgozó eszközök nem képesek.

Köszönöm szépen.

Tudom, néha guglizhatnék is.
Jééé, az emerge is ismeri! :-)

~ # emerge --search tc-play
Searching...    
[ Results for search key : tc-play ]
[ Applications found : 1 ]

*  app-crypt/tc-play [ Masked ]
      Latest version available: 1.1
      Latest version installed: [ Not Installed ]
      Size of files: 987 kB
      Homepage:      https://github.com/bwalex/tc-play
      Description:   a free, pretty much fully featured and stable TrueCrypt implementation
      License:       BSD

Istenem, ha még FreeBSD-re is lenne, minden rendszeremen mennének a TC konténerek...

Ha az a cel, akkor vallald a kockzatot, es FreeBSD-n hasznald az eredeti truecrypt-portot :-) - ebben a pillanatban is elerheto a 7.1a verzio.

Pont egy hete néztem a truecrypt.org-ot, azt írták, hogy nem stabil valamiféle FUSE ügy miatt.

Összeesküvés-elmélet kedvelőknek:

Analysis: Is there a backdoor in Truecrypt? Is Truecrypt a CIA honeypot?

--
trey @ gépház

Már nem azért, de 2012-ben leállt a 7.1a nál vagy hol nem?

http://truecrypt.sourceforge.net/

"The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP."

--
trey @ gépház

Ebbol ugyan nem derul ki, hogy a 7.2 elott mikor is volt az utolso kiadas...
En kb fel eve toltottem le es telepitettem es most neztem meg az Aboutot, ami 7.1a es 2012... Elgondolkodtato...

Akkor magyarul már 2 éve nem fejelsztik

Igen, en is igy tudom. Es pont ezert azt a verziot hasznalnam es fogom is tovabbra is. Erdekes nem, hogy pont mielott meghalt a project, kiadtak a 7.2-t es az oldalukrol minden dokumentacio es minden link eltunt, ami regi verziokra mutatott... Lehet, hogy mar az tul jo volt az NSA es hasonlo szervezeteknek...

Nem létezik 7.2

A hir es a honlap szerint igen.

"Latest working version is 7.1a. Version 7.2 is a hoax"

https://gist.github.com/ValdikSS/c13a82ca4a2d8b7e87ff

És itt se írnak 7.2 verziót: http://truecrypt.org.ua/news

Szóvak a helyedben nem tenném azt fel.

"Many experts are doubting the theory that the website has been hacked. A privacy and security researcher working on the TrueCrypt audit, Runa A. Sandvik, told Threatpost that the “current version listed on the SourceForge page, version 7.2, was signed yesterday with the same key used by the TrueCrypt Foundation for as long as two years.” Kaspersky lab researcher Costin Raiu, too confirmed this."

Nem lehet, hogy úgy föltörték őket, hogy a titkos kulcsukat is megszerezték?

Te most egy maganvelemenyt ideztel tenykent en meg arrol beszelek, ami a hivatalos oldalon van...

Akkor rakd fel, azt csinálsz amit akarsz maximum megszopod. Te érdeked nem az enyém. Egyébként semmi magán vélemény nem volt itt.

Te most write-only modeban vagy? Vegyel mar vissza a stilusodbol es olvasd el az elotte levo hozzaszolasaimat is a frocsogo stilus elott. Koszi.
Varj, segitek: "Igen, en is igy tudom. Es pont ezert azt a verziot hasznalnam es fogom is tovabbra is. Erdekes nem, hogy pont mielott meghalt a project, kiadtak a 7.2-t es az oldalukrol minden dokumentacio es minden link eltunt, ami regi verziokra mutatott... Lehet, hogy mar az tul jo volt az NSA es hasonlo szervezeteknek..." - ezt a 7.1a-ra valaszoltam. Voala! Es a vicces, hogy te erre valaszoltal eloszor, de ezek szerint mar akkor se olvastad figyelmesen, mire is...

Nem volt maganvelemeny? Akkor a kiragadott 1 mondatod szovegkornyezetet is beideznem a sajat linkedbol:
"Assumption #1 The website is presumed hacked, the keys are presumed compromised. Please do not download or run it. And please don't switch to bitlocker.

Latest working version is 7.1a. Version 7.2 is a hoax"
Ismered az Assumption szo jelenteset?

EncFS es cryptkeeper mennyire jo alternativa?

Encfs-nél tudod a fájlok és a directoryk darabszámát és meg tudod saccolni a fájlok hosszát, valamint nem tudsz "két végéről nyíló" letagadható tartalmú diszket csinálni. Azaz nem tudod azt mondani, az XXX-nek (tetszőleges 3 betűs szervezet, vagy a magyar megfelelője), hogy itt a jelszó, és jé, ezen a diszken csak 3 fotó van az asszonyról, és nem az ellopott bankkártya adatok.

Ha ez a kompromisszum vállalható, akkor technikailag teljesen rendben van.

A cryptkeepert még nem használtam, de az csak egy grafikus frontend encfs-hez, ha jól értelmezem az első releváns google találatot.

"A cryptkeepert még nem használtam, de az csak egy grafikus frontend encfs-hez, ha jól értelmezem az első releváns google találatot."

Ez pontosan így van. A cryptkeeper mellett/helyett érdemes szemügyre venni a Gnome EncFS Manager-t is. Az is egy grafikus frontend EncFS-hez.

--
trey @ gépház

sub

+1

--
FBK

Nem tudja valaki, hol erhetnem el es menthetnem le a regi honlap tartalmat? Dokumentaciok, manual...stb...

sub

?

Steve honlapján néhány dolog fellelhető.
https://www.grc.com/misc/truecrypt/truecrypt.htm

(Már várom a SN következő számát!)

Google "truecrypt documentation"-re: hamar találtam egy 2009-es dokumentációt pdf-ben.

Erre gondolsz? http://www.mia-net.org/pub/pc/win/crypto/TrueCrypt/TrueCrypt%20User%20Guide.pdf

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

Igen.

Idézet:
„A bejelentés okához valószínűleg azok az az elmélet járhat a legközelebb, amely szerint a szoftver készítőit titkos (és titoktartást követelő) bírósági határozattal kötelezhette együttműködésre valamilyen hatósági szerv. Ebben az esetben a készítők azt sem fedhetik fel, hogy kényszer alatt cselekednek, így az egyetlen kiskapu a buta ürüggyel végrehajtott leállás - a működés folytatását ugyanis nem követelheti a bíróság. Jelenleg ez a forgatókönyv tűnik legvalószínűbbnek, a buta ürügy (XP támogatásának megszűnése), a látványosan egyszerű weboldal és a kommunikáció stílusa is arra utalhat, hogy a készítők szándékosan figyelmet akartak kelteni.”

http://www.hwsw.hu/hirek/52361/truecrypt-lemeztitkositas-bitlocker-biztonsag.html

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

A készítők vajon egyetlen országban vannak? Ha nem, akkor nehezen tilthatta volna meg egyetlen bírósági határozat az összes fejlesztőnek, hogy beszéljen, vagy hogy folytassa.

Érdekes hozzászólás:

"Warning: Using Truecrypt is (n)ot (s)ecure (a)s it may ...."

hát még ez milyen érdekes:
http://pastebin.com/9catw4X7

:)

Most akkor a régebbi verziókat sem ajánlott használni?
És ezek közül a fentebb felsorolt programok közül van olyan ami fájlokat is tud titkosítani (úgy mint a TC, containerben) vagy csak komplett diszkeket?

cryptmount tud állományban is titkosítani, Linux only.

Köszi, megnézem
Csak a TC -ben jó volt hogy Linuxon és Winen is tudtam használni
A másik kérdésre valaki?:)
A régi TC verzió(k) használhatók biztonságosan vagy inkább ne?

"A régi TC verzió(k) használhatók biztonságosan vagy inkább ne?"

Csak nekem tunik esetlen kerdesnek egy biztondagi szoftvernel až a kerdes, hogy a "valamilor kompromittalodott" helyett a regi, potencialisan bugosabb, butabb, szoftvert hasznaljob-e valaki?

---------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™"

Már párszor elhangzott, hogy a TC helyett használd a tc-play-t, ha annyira kell neked.

Steve Gibson szerint Yes... TrueCrypt is still safe to use.
Én hiszek neki.
Volt ez téma az egyik podcast-jában is.

Létrehozta a Final Release Repository-t, ahonnan biztonságosan letölthetők a 7.1a binárisok és forráskódok. Továbbá összeszedte a releváns site-ok linkjeit.
Az oldal DNSSEC-kel biztosított.