@command-dos
Blog (53)
Komentarze (3.2k)
Recenzje (0)

Uwaga na TrueCrypta!

@command-dosUwaga na TrueCrypta!29.05.2014 10:01

TrueCrypt, oprogramowanie OpenSource służące do szyfrowania danych, uchodzące do tej pory za jedno z najbezpieczniejszych i najbardziej zaufanych narzędzi tego typu, dostępne praktycznie na każdą platformę systemową, zostało uznane za niebezpieczne - przynajmniej taki jest komunikat na oficjalnej stronie tego programu : "WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues". Ostatnia stabilna i bezpieczna wersja (ta podpisana prawidłowymi kluczami) to wersja 7.1a. Dopóki sprawa się nie wyjaśni, nie zalecane jest korzystanie z nowej dostępnej wersji 7.2, wokół której działy się dziwne rzeczy. Wersja ta, według informacji na oficjalnej stronie TC, ma służyć do pomocy w migracji zaszyfrowanych zasobów do... BitLockera od Microsoftu - woda na młyn dla twórców teorii spiskowych, czyli np. dla mnie ;) ale postaram się powstrzymać...

Oficjalna strona TtrueCrypt i informacja o zagrożeniu...
Oficjalna strona TtrueCrypt i informacja o zagrożeniu...

Za pomocą TrueCrypta można zaszyfrować pliki, foldery, partycje, czy nawet całe dyski. Ci którzy używają tego typu narzędzia, najprawdopodobniej mają ku temu powód - nie chcą by dane zapisane na dysku dostały się w niepowołane ręce. W czasach Snowdena, NSA, i globalnego monitoringu, można pokusić się o kilka teorii spiskowych, tym bardziej że z odczytaniem danych zaszyfrowanych TrueCryptem ma problem nawet sam FBI... W Wielkiej Brytanii, za nie ujawnienie haseł kryptograficznych odsiadkę swoją odbywają dwie osoby . Podobne prawo obowiązuje w Austrii i Stanach Zjednoczonych. FBI (macki NSA) jednak nie może zbyt wiele zdziałać w temacie usadzenia niepokornego szyfrującego, gdyż jest to bankier z Brazylii i... stwierdzając kolokwialnie, póki co mogą mu naskoczyć ;)

Oficjalna strona, która namawia do przejścia na BitLockera (narzędzia do szyfrowania od Microsoftu, którego twórca w 2005r. rzekomo odmówił współpracy z NSA), wygląda na podmienioną, albo robioną w wielkim pośpiechu. Samo przekierowanie do sourceforge po wejściu na truecrypt.org budzi niepokój. Oficjalnym powodem zamknięcia projektu jest koniec wsparcia dla Windowsa XP. Widać uznano, że nie ma sensu rozwijanie dalej projektu, gdyż kolejne wydania windowsów potrafią już korzystać z (jakże wychwalanego) bezpiecznego(?) BitLockera. Na sourceforge jest informacja głosząca, że dalszy rozwój projektu nie ma sensu, bo istnieją na każdą platformę podobne (i zdaniem autorów komunikatu, chyba równie skuteczne) rozwiązania: "The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms. You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.".

Ok - załóżmy, że faktycznie projekt dobiegł końca, co dalej? Jak teraz odszyfrować dane i przejść na inne rozwiązanie? Sam fakt zakończenia projektu jest nadwyraz dziwny, bo niedawno oprogramowanie to zostało poddane publicznemu audytowi kodu i we wstępnym raporcie stwierdzono, że brak w nim jakichkolwiek backdorów. Dlaczego więc nie należy korzystać ze świeżo podłożonej wersji 7.2, skoro żadne oprogramowanie antywirusowe nie wykryło w nim ani jednego trojana? Tak naprawdę nie wiadomo co się dzieje - musimy poczekać, aż sprawa bardziej się wyjaśni. Nie należy używać wersji 7.2, bo za dużo jest niewiadomych :

  • na sourceforge wyczyszczono wszystkie stare wersje TrueCrypta, pozostawiono tylko tą w wersji 7.2,
  • oficjalna strona TC nie budzi zaufania i wygląda bardziej na żart, jak na oficjalną informację,
  • śmieszny powód przerwania rozwoju TC (koniec wsparcia XP),
  • wersja 7.2 po pierwszym uploadzie nie została podpisana prawidłowym kluczem, dopiero kolejna wersja została wrzucona z tym należytym.

Zanim sprawa się w jakiś sposób wyjaśni, pewnie trochę wody w Wiśle upłynie. Czy coś stało się twórcom? Czy należy się obawiać o ich zdrowie i życie? Nie wiadomo. Twórcy tego oprogramowania są nieznani, co wcale nie oznacza, że nie zostali namierzeni i zmuszeni do tych działań - teraz wszystko jest możliwe, a my nie za bardzo wiemy kogo słuchać. Na koniec może podam prawidłowe sumy kontrolne TrueCrypta w wersji 7.1a:

TrueCrypt Setup 7.1a.exe: sha1: 7689d038c76bd1df695d295c026961e50e4a62ea md5: 7a23ac83a0856c352025a6f7c9cc1526

TrueCrypt 7.1a Mac OS X.dmg: sha1: 16e6d7675d63fba9bb75a9983397e3fb610459a1 md5: 89affdc42966ae5739f673ba5fb4b7c5

truecrypt-7.1a-linux-x86.tar.gz: sha1: 0e77b220dbbc6f14101f3f913966f2c818b0f588 md5: 09355fb2e43cf51697a15421816899be

truecrypt-7.1a-linux-x64.tar.gz: sha1: 086cf24fad36c2c99a6ac32774833c74091acc4d md5: bb355096348383987447151eecd6dc0e

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.