TrueCrypt Webサイトはプロジェクトの閉鎖を発表し、BitLockerへの切り替えを提案しています

画像 TrueCrypt開発者の回答: サイト | twitter

TrueCrypt開発者「David」:「監査で何も明らかにされなかったことに満足しています。 「私たちは10年間プロジェクトに一生懸命取り組みましたが、永遠に続くものはありません。」

Steven Barnhart:(言い換えると)開発者は、フォークがさらに害を及ぼすと考えています:「ソースコードはまだ利用可能です、覗き見できます」(ソースはまだ参考として利用可能です) 「私は尋ねました、そして、最後の答えで、開発者がフォークを有害であると考えたことは明らかでした。 彼らだけがコードを理解しています。」 「彼はまた、彼が「サポート契約」を提供されたときを除いて、彼は政府と接触していないと言った。」

TrueCrypt開発者「David」:「Bitlockerは「十分」であり、Windowsが主な開発目標でした」

開発者の言葉:「これ以上の関心はありません。」


TL; DR:「新しい」バージョンはデータの暗号化を解除できるだけであり、トロイの木馬を含んでいる可能性があります(私はそれを見つけられませんでしたが、あなたは私の言葉を受け入れません)。 バイナリは正しい開発者キーで署名されています。 古いバージョンはすべて削除され、リポジトリも消去されます。



ページには、MicrosoftがWindows XPのサポートを停止した後、今年5月にTrueCryptの開発が中止され、TrueCryptはより安全ではなく、脆弱性が含まれている可能性があることがわかります。

さらに、ページにはTrueCryptからBitLockerへの移行手順の詳細が含まれています。



このサイトにはTrueCryptバイナリファイルへのリンクもあり、SourceForgeダウンロードセクションとデジタル署名が表示されます。 このファイルは正しい(古い)キーで署名されており、その中に:



画像



5月22日、SourceForgeはパスワードハッシュアルゴリズムを変更し、全員が新しいアルゴリズムを使用するように変更することを提案しました。 たぶん何かがうまくいかなかった。



SourceForgeは何も起こらなかったと言っています:



SourceForgeからいくつかの詳細を提供します。

1. TrueCryptプロジェクトチームとは連絡がありません(したがって、苦情はありません)。

2.アカウントの侵害の兆候は見られません。 現在の使用法は過去の使用法と一致しています。

3.最近のSourceForgeの強制パスワード変更は、妥協ではなくインフラストラクチャの改善によって引き起こされました。 FMIはsourceforge.net/blog/forced-password-changeを参照してください

ありがとう

SourceForgeチームcommunityteam@sourceforge.net




仮定1



ウェブサイトがハッキングされ、キーが侵害されました。 このバージョンをダウンロードしたり、実行したりしないでください。 また、BitLockerに切り替えないでください。

最新の作業バージョン:7.1a。 バージョン7.2-偽物。



なぜそう思うのですか?キーの奇妙な変更(最初に新しいものをアップロードし、次に削除して古いものを返しました)、そしてなぜビットロッカーですか?



仮定2



開発者(殺すのが怖い)またはTrueCrypt自体(重大な脆弱性が見つかった)に何かが起こり、そのようなバージョンがリリースされました。



なぜそう思うのですか:すべてのファイルに正しい署名があり、すべてのリリースがリリースされています(Windows、Linux x86、x86_64、コンソールバージョン、Mac OS、ソース)。 ライセンステキストも変更されました (以下のdiffを参照)。

BitLockerを使用するアドバイスがとてつもなく大きいのはなぜですか? TrueCryptは、常にTPMサポートに激しく反対しており、BitLockerで広く使用されています。 他のオープンソースの代替を推奨しないのはなぜですか? 開発者は直接言葉で何も言えないようです。 これはカナリア証言と非常に類似しています。



残念ながら、これまでのところ、この仮定は最初のものよりも現実的に見えます。 悲しいが本当。



仮定3



バージョン7.1aにはトロイの木馬が含まれており、開発者はすべてのユーザーがそれを使用できないように保護したいと考えています。



なぜそう思うのか:バージョン7.1aのすべてのリリースのハッシュ量を記載したtruecryptcheck.wordpress.comというブログがあります。 2013年8月15日付けのエントリは1つのみです。 1つのプログラムとその1つのバージョンのみのハッシュがあるサイトを作成するのは少し奇妙です。



etcwikiのページからの仮定:

仮定4



TrueCryptの監査資金調達キャンペーンは、データを解読できるコードに抜け穴があるかどうかを調べるために62,000ドルを獲得しました。 同時に、TrueCrypt Foundationへの寄付はほとんどなく、開発者は誰もが反対していることに失望しました。



なぜそう思うのか:TrueCrypt開発者はほとんど寄付を受けていません。 もちろん、具体的な数字はわかりませんが、おそらくその監査は、その存在中にTrueCryptよりも高い得点を獲得しました。 開発者は匿名であるため、感謝の言葉を受け取りません。 これはすべて疑わしいですが、おそらく開発者自身またはTrueCrypt Foundationによって行われました。



仮定5



開発者はプロジェクトの開発にうんざりしているか、実生活で困難を抱えています



なぜそう思うのか:それは誰にでも起こる。 TrueCryptはもはやセキュリティで保護されていないという声明は、更新プログラムがこれ以上ないことを考えると十分に思えます。 すべての変更は開発者によって行われたようです。



仮定6



政府は開発者を見つけようとしています(「煙」)。 誰かがTrueCrypt開発者のログインとキーにアクセスできましたが、開発者自身を見つけることができませんでした。



なぜそう思うのか:政府には開発者の鍵を解読してサイトにアクセスするのに十分なリソースがあるかもしれません。 BitLockerに切り替える不条理なステートメントは、実際の開発者にステートメントを作成するか、別の方法で応答することを強制できます。



postdigが述べたように:

truecrypt.org.ua/news

2014年4月12日、サイトは読み取り専用モードに切り替わりました。 ユーザーアカウントが削除されました。

プロジェクトの開発に参加したすべての人に感謝します!



まるでプロセスが突然ではないことを示唆しているように。





Twitter Wikileaksから:

(1/4)Truecryptは、それが安全ではなく、開発がtruecrypt.sf.netで終了したというアップデートをリリースしました

(2/4)発表のスタイルは非常に奇妙です。 ただし、単純な改ざんではなく、正当である可能性が高いと考えています

(3/4)新しい実行可能ファイルには同じメッセージが含まれており、暗号で署名されています。 私たちは力の衝突があるかと信じています...

(4/4)開発チームまたは心理的問題、何らかの形式の強制、またはサイトとキーへのアクセス権を持つハッカー。


TwitterのMatthew Green (TrueCryptの監査員の1人)から:

@SteveBellovin @mattblaze @ 0xdaeda1aこれは合法だと思います。


TrueCrypt Setup 7.1a.exe:





TrueCrypt 7.1a Mac OS X.dmg:





truecrypt-7.1a-linux-x86.tar.gz:





truecrypt-7.1a-linux-x64.tar.gz:





その他の考えと興味深い情報:

www.reddit.com/r/crypto/comments/26px1i/truecrypt_shutting_down_development_of_truecrypt/chu5bhr

krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/comment-page-1/#comment-255908

bradkovach.com/2014/05/the-death-of-truecrypt-a-symptom-of-a-greater-problem

boingboing.net/2014/05/29/mysterious-announcement-from-t.html

steve.grc.com/2014/05/29/an-imagined-letter-from-the-truecrypt-developers



ニュースおよびブログエントリへのリンク:

news.ycombinator.com/item?id=7812133

www.reddit.com/r/netsec/comments/26pz9b/truecrypt_development_has_ended_052814

www.reddit.com/r/sysadmin/comments/26pxol/truecrypt_is_dead

www.reddit.com/r/crypto/comments/26px1i/truecrypt_shutting_down_development_of_truecrypt

arstechnica.com/security/2014/05/truecrypt-is-not-secure-official-source-forge-page-abruptly-warns

krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure

www.pcworld.com/article/2241300/truecrypt-now-encouraging-users-to-use-microsofts-bitlocker.html#tk.twt_pcworld

www.coindesk.com/popular-encryption-tool-truecrypt-mysteriously-shuts

business.kaspersky.com/truecrypt-unexplained-disappearance

www.forbes.com/sites/jameslyne/2014/05/29/open-source-crypto-truecrypt-disappears-with-suspicious-cloud-of-mystery-これは非常によく書かれています

news.softodrom.ru/ap/b19702.shtml-非常に良い記事(偶然、 20145月15日執筆)

pastebin.com/7LNQUsrA-開発者向けの情報



Twitterストリーム: twitter.com/search?q=truecrypt&src=typd



通常のバージョン7.1aと現在の7.2の違い

githubのdiff



英語を話す友達のためのリンク



truecrypt.sourceforge.net



All Articles