TrueCrypt może być niebezpieczny: zaskakujący koniec znanego narzędzia do szyfrowania dysków
Jeszcze do niedawna badacze analizujący kod TrueCrypta,najpopularniejszego chyba narzędzia do szyfrowania dysków,zapewniali, że nie znaleziono w programie żadnych furtek, któremogłyby zostać wykorzystane przez napastników do sforsowaniazastosowanych kryptosystemów. Dzisiaj sytuacja jest zgoła inna:wyglądająca, jakby została sklecona w pośpiechu strona domowaprojektu ogłasza koniec TrueCrypta, a najnowszej – i ostatniej –wersji narzędzia, która została tam udostępniona, raczej ufaćnie należy.
Od wczoraj strona domowa TrueCrypta (truecrypt.org), przekierowujena oficjalną stronęprojektu w serwisie SourceForge. Tam internauci zapoznać się mogąz komunikatem, zgodnie z którym prace nad TrueCryptem zostałyzarzucone, zaś użytkownikom radzi się skorzystać z alternatywy,gdyż dalsze korzystanie z tego narzędzia nie jest bezpieczne –może on zawierać luki w zabezpieczeniach.
Aż trudno uwierzyć w to, co autorzy komunikatu radzą. Otóżzakończenie prac nad programem (który i tak znajdował się w ponaddwuletnim limbo po wydaniu ostatniej wersji 7.1a) spowodowane było… zakończeniem przez Microsoft wsparcia dla Windows XP. Otóżnowsze, wspierane przez producenta wersje Windows zawierajązintegrowany mechanizm obsługi szyfrowanych dysków i obrazówwirtualnych dysków – jest to BitLocker. Wydana równocześnie zkomunikatem najnowsza wersja TrueCrypta, oznaczona numerem7.2, służyć ma w praktyce wyłącznie przeniesieniu doBitLockera wszystkich danych wcześniej zabezpieczonych porzuconymnarzędziem. Proces ten opisano w szczegółach tuż pod komunikatem.
TrueCrypt był jednak przecież rozwiązaniem wieloplatformowym,działającym także na OS-ie X i Linuksie. Użytkowników *innychplatform *też zachęca się doporzucenia TrueCrypta, jednak porady dla nich są znacznie bardziejzdawkowe, autorzy nawet niesilą się na wskazanie zalecanego oprogramowania.
Lista zmian w kodzie źródłowympomiędzy wersjami 7.1a i 7.2 TrueCrypta jest całkiemdługa i na pierwszy już rzut oka widać w nim komunikatyanalogiczne do tych ze strony, a także usunięcie fragmentówodpowiedzialnych za szyfrowanie nowych dysków. Ciągi takie możnaznaleźć w oficjalnej kompilacji dla Windows (notabene podpisanejtym samym kluczem, co wcześniej). W przeciwieństwie do poprzedniej wersji TrueCrypta,nowa wywołuje w Windows 8.1 alarm – blokowana jest przez mechanizmSmartScreen.
Doszło także do ciekawegozbiegu okoliczności. Grupa gromadząca zbiórkę pieniędzy napubliczny audyt TrueCrypta ogłosiłapraktycznie w tym samym czasie, w którym doszło do podmienieniazawartości strony TrueCrypta, że w tym tygodniu będzie miała cośważnego do obwieszczenia. Jak wiadomo, wcześniejszeprace nie wykazały żadnych realnych zagrożeń w kodzie.
Na ten moment nikt nie jest wstanie powiedzieć, co faktycznie się stało. Miłośnicy spiskowychteorii dziejów mają o czym rozmyślać i dyskutować, a i my mamypowód do zastanowienia się, jak to możliwe, że anonimowi autorzyTrueCrypta nagle „zwijają” projekt, i radzą wszystkim swoimużytkownikom, by skorzystali z własnościowego, niemożliwego dosprawdzenia BitLockera. Warto zaznaczyć, że BitLocker nie jestdostępny we wszystkich odmianach Windows – to narzędzie dlaposiadaczy wersji Enterprise, Professional i Ultimate.
Radzimy więc nie wykonywaćżadnych gwałtownych ruchów, a przede wszystkim nie korzystać znowego TrueCrypta 7.2 do momentu zweryfikowania go przez specjalistówod kryptografii. Niebawem wskażemy bezpieczne naszym zdaniemalternatywy dla tego narzędzia.