Názory k článku Šifrovací nástroj TrueCrypt končí za poněkud nejasných okolností

On není uzavřenej, on je zadními vrátky otevřen ke špiclování ze strany NSA a dalších

Ať už se to ukáže pravý nebo ne, doporučovat zcela uzavřenej BitLocker je pitomost.

Nějak nechápu proč hledat náhradu nebo cokoliv řešit. Pro všechny, kdo mají TrueCrypt nainstalovaný se nějakými řečmi na webu vůbec nic nemění - aplikace funguje plně offline a nepotřebuje žádnou podporu.

A kdo ho nemá a chtěl by jej používat, tak mu bohatě stačí, když si stáhne instalátor poslední verze TrueCryptu 7.1a z jiného zdroje, než z oficiálních stránek.

Například z download.com nebo pokud má někdo raději české servery, tak je to i na slunecnice.cz, stahuj.cz, dwn.cz a jakémkoli serveru, který nabízí free software.

Přičemž TrueCrypt má zveřejněné i plné zdrojové kódy, takže i pokud by na něm kdokoliv chtěl pracovat, dál jej vyvíjet nebo různě upravovat, tak mu vůbec nic nebrání.

"Konec TrueCryptu" tedy nastane až teprve tehdy, když jej všichni dobrovolně odinstalují a dešifrují disky, všichni vymažou jeho instalátory a jeho zdrojové kódy dál nebudou zajímat vůbec žádného vývojáře :-D.

Ale ono ostatně TrueCrypt není třeba ani nijak vyvíjet a upravovat. Funguje tak jednoduše, že může fungovat neustále bez nutnosti updatu. A vzhledem k tomu, že používá standardní šifry (jako např. AES-256), tak i když se něco změní na fungování procesorů, tak to na funkčnost TrueCryptu nebude mít vliv.

Evidentně se stalo jen to, že někdo (vláda, nějaká soukromá společnost) zatlačila na majitele domény truecrypt.org a dostal prostě "nabídku, která se neodmítá".
Takže jediné, co končí je ona doména a server. Ten ovšem nikdo nepotřebuje.

Tak to je opravdu hodně špatná zpráva, TC je naprosto špičkový program, který za roky používání nikdy nezklamal. Asi NSA a dalším hodně vadil...

Možná se jenom vývojář nebo vývojáři TC nasr... (ať už z jakýhokoliv důvodu).
Audit kódu TC bude pokračovat, ať už je to jakkoliv. Zatím nebyla nalezena žádná zranitelnost toho rázu, že by se to rovnalo backdooru (nejvýše středně závažný - neboli může se stát, že když..., tak by mohlo...).
Kód možná není moc "krásnej" (což je taky vzkaz prozatimního auditu), a do budoucna by mohl nastat problém s kompatibilitou a hledáním a opravou chyb (dohad důvodu třeba části oné nasr...... vývojře/vývojářů), ale pořád je to opensource, a to znamená, že se toho může chytit komunita. Zatím je jen poněkud nějasný, jak je to s ohledem na licenci.

A především bych počkal na další informace, je již zatím sakra málo. Především co se týče důvodů a především důvodů co se týče bezpečnosti aktuálních verzí (7.1a).

Nějak nechápu jak prohlášení (i autora) na webu cokoliv mění na již hotovém produktu? :-D.

Když autor knihy o ní prohlásí, že je to jenom brak, tak taky okamžitě jdete a vypálíte celou knihovnu? :-D

Nakonec TrueCrypt je OPEN SOURCE (otevřený kód) - tedy jeho autor o něm nemá vůbec žádné další "speciální" informace, které by neměl kdokoliv, kdo si příslušný kód přečte a už mnoho analytiků i kryptologů zkoumalo TC ze všech stran a vždy byl označen jako vysoce bezpečný.

Nakonec jeho šifrování neprolomila ani FBI, NSA atd.

A to prohlášení na webu je jenom kec, který ničím podložený...

Nabízet na stránkách Truecryptu Macroshití Bitlocker je asi tak normální jako kdyby NSA vyhlásila své vládě boj proti šmírování v elektronických komunikacích. Ještě tam chybí podpis hacked by Snowden.
Takže zanechte planého diskutování o nějakém nejasném konci.

..co udelam pak? No pak udelam to co jsem udelal uz pred lety= prejdu na Linux a naky zaplaty ci ulety od Microsoftu mi muzou bejt u p.... A vesele budu dal pouzivat stary instalacky pro TC.......... Cetl jsem o nekolika pripadech kdy FBI & spol. meli eminentni zajem dostat se k datum na TC-zasifrovanym HDD a nepovedlo se jim to.... Posledni pripad byl tusim ten mexickej narkobaren kterej tam mel veskery svoje ucetnictvi a kontakty a lamali to 6mesicu..........a nic :o)))) Za jak dlouho by ty data asi meli kdyby ty data byly na Bitlockeru?? :o)))) BTW pouzivat high-tech sifrovaci SW na tak provareny platforme jako jsou Widle mi prijde prinejmensim detinske.... BTW ohledne "nebylo to uz 2 roky updatovany" :o)))))))) Well, if it ain't broken don't fix it !!

Mimochodem nejspíš dostal "nabídku, která se neodmítá" i pan autor článku, protože v článku uvádí "alternativy" a jsou to samá hesla jako "Konec TrueCryptu" a podobně...

Přitom takový malý detail, že z pohledu uživatele TrueCryptu se vůbec nic nemění a může jej dál používat zcela bez problémů, vůbec nezmiňuje.

Přitom člověk, který tomu rozumí by měl právě naopak lidem říct, aby neplašili, nic nedešifrovali a prostě nedělali žádné změny a dál používali to, co jim už roky funguje.

Tak z toho jsem docela v šoku. O víkendu jsem si zrovna dělal pořádek v discích a vytvářel všude TC partitions / containers a přesouval data.

Co teď s tím? To mám teď hledat nějaké nevyzkoušené alternativy? To mě tedy vážně nasra.. :-(

Mno jelikoz ten kod vpohode prekompiluje gcc ...

Nejpravděpodobnější vysvětlení:

1. Lavabit scénář.
2. Nabídka od MS.

Je komické označit TrueCrypt za diskutabilně nebezpečný nástroj k šifrování a jako náhradu za něj doporučit ještě provařenější nástroj Microsoftu, prošpikovaný backdoory snad již od první verze ;)
Á-propos konec TC. Jestliže se v TrueCrpytu údajně objevila bezpečnostní trhlina, proč asi vývojáři nespáchali nějakou tu bezpečnostní záplatu respektive nezabudovali do nové verze opravený systém šifrování, a raději volili náhlou smrt?
To vše jen jasně ukazuje odkud vítr vane. Takže chcete-li mít svá data v bezpečí, v klidu zůstaňte u verze 7.1a, Microsoftu/NSA/bůh­víkomuu navzdory.

takže tvůrci programu a tvůrci pro XP ukončily činnost a žádají přesun k win 7 a šifrování od Mic.
Takže jsou to ti samý- celou dobu tu byly zadní vrátka pro Micr

Nojo!! Z archivu Wayback Machine TrueCrypt skutečně zmizel!! To je zvláštní, že jsou ti Američané (nechci urazit výjimky) opravdu tak hloupí. Vždyť je to celé tak průhledné. I s tou propagací BitLockeru. Hlupák ovšem netuší, že ten druhý jeho hloupost vidí. Co k tomu dodat? Možná, že to TrueCryptu na popularitě naopak přidá. Aspoň doufám. :-)

Ehm ... rekneme, ze projekt prisel o vyvojare ... a rekneme, ze mam pristup k webu ... a rekneme, ze projekt ma nejaky mouchy o kterych vim, ale nechci/neumim/... je opravit.

Prijde mi tak nejak normalni to proste na webu oznamit ... a ne cely web smaznout, vcetne dokumentace, ... Rozhodne pak nebudu odkazovat na provarene deravou aplikaci ... navic od M$ ...

Netušil jsem, že autoři TC jsou neznámí. Tím spíš mě fascinuje, jak jsou si všichni jistí, že Bitlocker má zadní vrátka pro NSA a o TC nemají nejmenší pochybnosti. Přitom pokud by se MS na nějaká zadní vrátka přišlo, tak by si už ve firmách neškrtl - což by pro něj bylo smrtící. To už mi přijde pravděpodobnější, že oni neznámí anonymní autoři TC odedávna byli zaměstnanci NSA (důsledky si vyvoďte sami).

Visual C++ 1.52 potřebný ke zkompilování bootovacího kódu.

Obecně bych velmi doporučoval odlišit práci se šifrovanými kontejnery, která je v TC na špičkové úrovni, od práce se šifrováním systémového disku, kterou považuji za velmi slabou.

a neřešil se v první fázi je bootloader, resp. jeho bezpečnost?

Vyznělo mi to podobně

Co když je cinknutá už současná verze 7.1a? Skrz ten audit se možná schyluje k odhalení, tak to zkusli zamést pod koberec.

třeba tady, ale pohni si, dokud to jede ...
https://github.com/DrWhax/truecrypt-archive

minimálně 7.1a v tom archivu pro win je binárně shodná s tím, co jsem si stáhnul onehdy přímo z truecrypt.org

jinak celý ten archiv má cca 480MB :-)

Za prvé: MS si může dovolit trochu lepší právníky než páni kluci z TC.
Za druhé: MS je pro vládní rozpočet docela významná dojná kráva. Nemyslím si, že by ve vládě byli tak blbí, aby chtěli/riskovali její zaříznutí.

Takže ano: jestli někdo má sílu na to, aby se NSA ubránil, je to právě MS (a Google).

síla nevypovídá nic o vůli

Nejsem si jistý zda audit odpovídá mým představám.

Oni prošli uveřejněný kód a ještě jen některé jeho části. To že zkompilované soubory vznikly zkompilováním zkoumaným kódem a kompilátor byl nezávadný je neprokázáno, a podle mne to ani nikdy prokázáno nebude.

Musela by se na to vrhnout nemalá komunita, která by se podřídila nějakému centrálnímu velení (nejspíše by šlo o několik nezávislých skupin - neznajících se a u většiny se bude předpokládat čestné a svědomité jednání, více jich je pro kontrolu výstupu), nezáleželo by jim na čase stráveným nad kódem a to že práci dělají jen pro dobro společnosti, bez finanční odměny.

A pak stejně bude na lidech nakolik jejich práci a úmyslům uvěří. A to vše se bude týkat pravděpodobně jen jedné verze projektu pro jeden konkrétní systém.

On je problém v tom, že novináři jsou tupci - na strankach truecryptu je stejne tak uveden postup pro mac a jak pouzivat nativni cryptovani na macos. Je jenom logicke, ze bude i pro windows uvadeno nativni cryptiovani - tedy bitlocker.

nebojte, vše se vyjasní, TC není nebezpečný, přijde čas.

...viz. tento pan http://en.wikipedia.org/wiki/Steve_Gibson_%28computer_programmer%29 ktery podle vlastnich slov stravil tyden ctenim kodu a jeho nazor je "it's beautifully written- this guy knows what he's doing" pokud vladnete anglictinou jeho nazor na celou vec je zde: https://www.grc.com/misc/truecrypt/truecrypt.htm BTW sam programuje v assembly language coz je pomerne hard-core ;o)

Zkuste se podívat na webovky TC uložené na archive.org.

Jaký smysl ....? Například Honeypot
Zmapování množiny zájemců s potřebou šifrování dat. Z jejich pohledu v optimálním případě v podmnožině zájmových subjektů spokojících se právě s jejich "bezpečným" nástrojem. Umrtvení? Snížení rizika odhalení skrze probíhající audit.

Pokud vim, zadni vratka se resila prave v te prvni fazi. Zbytek resi, zda tam nejsou jeste jine bezpecnostni problemy. Kazdopadne, pokud bude konecny result, ze krom par drobnosti je to zcela korektni ... tak to teprv bude doslova BOMBA ... ;D.

Otazka spis je, jestli auditori neprohlasi (na neci pozadavek) ze "neexistujici" SW nema smysl auditovat ...

...kteroužto ovšem tolik lidí podle mě (a podle mnohých diskuzních fór) nepoužívalo.

... raru prijde na radu kdy? :-D

no snižování rozpočtu na šmírování a armádu je na pořadu dne, takže klidně..

největší otázka samozřejmě je, zda lze těmto konkrétním auditorům důvěřovat

Neni to prvni audit, par ruznych zkoumani kodu tu uz bylo a pokazdy to skoncilo tim, ze zadni vratka tam zadna nejsou. Samo tykalo se starsich verzi.

konečně někdo, kdo ví o čem mluví

Web TrueCryptu definitivně zmizel. Včetně všech verzí ke stažení a zdrojových kódů tohoto špičkového programu. Nalezl jsem alternativní repozitář zde: http://cyberside.planet.ee/truecrypt/

Stáhněte prosímvás všechno co se dá. Ikdyby jen pro záchranu dat. Hlavně zdrojáky všech různých verzí. V případě TC jsem zastáncem konspirační teorie. V USA je zakázáno používat silné kryptovací algoritmy. Sám používám verzi 7.1a k maximální spokojenosti.

Budu šťastný, pokud se tohoto programu někdo chytne. BitLocker je nesmysl. Není opensource, což je pro kryptovací program zcela klíčové. TrueCrypt je psán v jazycích C, C++ a kritické rutiny (co do rychlosti) jsou v assembleru.

TC narozdil od bitlockeru prosel auditem a ten jednoznacne potvrdil, ze tam zadna zadni vratka nejsou. Jinak viz predchozi - M$ sidli v US.

Google? S akcionářem CIA? Založený ruskými židy, kteří emigrovali přes Izrael? Tam ještě pojede FSB (bývalá KGB) a Mossad.

Autor článku by byl pěkný i...t, kdyby přímo vybízel k dalšímu používání bezpečnostního produktu, o kterém jeho autoři tvrdí, že už není tak úplně bezpečný.

A jak se rozhodnou dosavadní uživatelé, záleží na tom, jak jsou odvážní a čemu chtějí věřit.

P.S. Začíná to připomínat scény z filmů, kdy týpek cosi prohlásí, pak to odvolá, ale nikdo mu to odvolání nevěří a není síly, která by konspirační plebs přesvědčila.

No hlavne nepanikarit a chvilku pockat. Uz jen kvuli tomu jak je to podezrele :/

A co měl Lavabit vůči TrueCryptu?

Navíc, on SW Lavabitu ještě někdo používá?

To bylo bloknutý pomocí robots.txt

Audit ještě není hotov (jen 1. fáze). Ale dle všeho dokončen bude.

Právě, že prohlásili, že budou pokračovat. Ostatně, maj na to pořád vybraný prachy, že...

Ano, bootloader a ovladače jádra Windows. Bylo objeveno několik zranitelností, ale pouze potenciálních (na základě určitýho předpokladu), zdaleka nic typu backdoor. Kód byl ohodnocen jako ne příliš udržovatelnej, ale spíš co se týče budoucnosti - pro budoucí hledání a opravu chyb.

Vzpomínám svého času na perfektní kodér do formátu mp3. Naprosto super a rychlý, tehdy nechával všechny daleko za sebou a ještě dnes by mohl leckomu konkurovat. A borec to jednou prostě zabalil, s tím že Thompson mp3pro a wma má dokonalejší algoritmus a narozdíl od mp3 možnost budoucího vývoje a prostě se na to vykvákl. A to pokud se nepletu tak mu i platili tvůrci různých GUI kteří jeho aplikaci/kód užívali.

Dnes už si ani nevzpomenu jak se to jmenovalo.

A podobnýchpříběhů jsou mraky. A také je pravda, že mnohdy ti vývojáři dostali od někoho zaplaceno aby vývoj skončil, ne všechny projekty se nutně kupovali i s týmem vývojářů.

No..
Nevim jak na tom byl s licencí TC, nicméně pokud by byl vyloženě open, tak je možný, že se ho ujme jiná komunita a mohl by jet vesela dál,
nicméně..
Když skončil takhle ze dne na den, tak bych v tom viděl nějaký problém "vyšší moci" ..

Až na to, že papírová kniha není závislá na OS na kterém se software provozuje. Ty neznáš případy software, který nefunguje na novějších verzích OS?

Stačí, aby MS udělal nový security update a Truecrypt nemusí vůbec fungovat. Co budeš dělat pak?

Taky mi přijde pravděpodobnější, že jim někdo dal nabídku, která se neodmítá a tohle je jen canary warrant pro nás. aneb lavabit se opakuje.

"...proč asi vývojáři nespáchali nějakou tu bezpečnostní záplatu"?

Třeba proto, že to nemá kdo opravit, když se na ten kód 2 roky nešáhlo. Původní autor, který trochu tuší, kde a co opravit, je v luftu a další anonymní vývojáři na to kašlou.

Nová verze tedy už nikdy nebude a stávající uživatelé se můžou tak akorát modlit, aby stará verze byla stále kompatibilní s operačním systémem.

Verze 7.1a je poměrně super ;)

Jestli si někdo myslí, že ten kód převezme nějaká jiná skupina vývojářů a bude v tom pokračovat, tak je naivní. Víte, jak je těžké proniknout do "tajů" cizího kódu a pokračovat ve vývoji bez nadělání nějakých chyb?

Navíc, jak se píše v komentářích k odkazovanému článku:

"The iSec initial audit report was very critical of the TC code quality, and implied that it looks like the work of a single coder. There was no update for 2 years. The build process requires a 20 year old MS compiler, manually extracted from an exe installer."

Takže, evidentně ten kód pomalu nepůjde ani překompilovat, nemluvě o tom, co může udělat nějaký příští "security update" od MS, kdy žádná varianta TC nemusí vůbec fungovat a vy se k datům ani nedostanete.

Pro shodný binárky verze 7.1a se použilo VS 2008 SP1. Kde je těch 20 let?

Lavabit scénář znamená, že za ním přišli NSA/FBI a učinili nabídku, která se nedá odmítnout, ve smyslu Maria Puzza.

Nevím zda PGP klíč je beze změny (protože PGP na Windows je minimálně nepoužitelné, normálně to prokládám sprostýmy výrazy), ale certifikát pro podepsání windows EXE souboru byl změněn (platnost starého, do verze 7.1a, již vypršela).

Protože od vydání poslední plnohodnotné verze již uplynuly dva roky a mezitím nebylo pro mne možné sledovat změnu certifikátu považuji zatím tento SW za nedůvěryhodný.

I když si myslím že někdo někoho podplatil, někde zatlačil...
Je totiž možné, že během auditu se nějak proflákla totožnost některých tvůrců (možná i čechů). V žádném případě se mi nezdá pravděpodobné, po uveřejňování detailů ohledně funkčnosti i chyb tohoto SW v minulosti, že by ti stejní lidé co projekt udržovali ho zařízli takovýmto způsobem. Ledaže by pro ně nebylo bezpečné na projektu pokračovat a znali (nebo například audit odhalil) nějakou chybu kterou dnes například zneužívají tajné služby.

V každém případě nebyl by to první ukončený bezpečnostní projek, chránící lidi před nenechavými spoluobčany a státem a na něm nabaleným pijavicím a neužitečným hovadům (kteří občané z jakéhosi zvráceného důvodu nechávají stále dělat co je napadne, místo aby jim nakopali prdeli kdykoli to jde a hlavně je odstřihly od financí).
Snad čas ukáže jak to bylo s TrueCrypt(em)... třeba byl opravdu nastrčený SW tajných služeb, nebo máme jen přejít k pro ně přátelským novějším Windows s úžasným BitLockerem.
Co se mne týká, ani nový počítač, ani nová Windows! Tady jsem si zadními vrátkami a úniky (dnes nepředstavitelných rozměrů) jistý. Sbohem Microsofte (kdyby už jen z důvodu jaké zlo ve světě podporují tvoji akcionáři), který jsi prý příliš otevřel svůj SW a měl bys to zase napravit.

sudo add-apt-repository ppa:stefansun­din/truecrypt
sudo apt-get update
sudo apt-get install truecrypt