Щось дуже дивне відбувається з популярним безкоштовним пакетом для шифрування диска TrueCrypt . Історія поки в розвитку, але все йде до того, що TrueCrypt ось-ось припинить існування. Єдине на даний момент пояснення, дане його розробниками, вказує на те, що використовувати TrueCrypt «Небезпечно через невирішені проблеми із захистом» .
Що ж це за проблеми? А ось цього люди з TrueCrypt не розкрили до сих пір. Є деякі припущення про можливе Бекдор в коді програмного забезпечення, але це всього лише припущення, в кращому випадку. Ходили також чутки про можливе дефейси, так як офіційний сайт TrueCryptвнезапно став перенаправляти відвідувачів на сторінку пакета на Sourceforge. Зараз хоча б з'явилася ясність з тим, що це не був дефейс: поряд з перенаправленням саме програмне забезпечення теж змінилося і тепер видає таке ж попередження, що і сайт Sourceforge. Користувачам TrueCrypt рекомендується перейти з TrueCrypt на BitLocker від Microsoft, і розробники TrueCrypt пропонують покрокову інструкцію з цього приводу.
TrueCrypt є (тобто був) крос-платформних, безкоштовним, з доступними кодами додатком для шифрування, яке могло створити віртуальний зашифрований диск всередині файлу, зашифрувати розділ (під MicrosoftWindows, крім Windows 8 з GPT) або весь накопичувач (з авторизацією перед завантаженням) . Пакет використовувався протягом майже 10 років, і весь цей час його розробники перебували в тіні, навіть їхні імена залишалися в таємниці.
Схоже, розробники TrueCrypt раптом вирішили відмовитися від пакету без пояснення причин.
TrueCrypt високо цінували за стабільність, солідний набір функцій, підтримку розпаралеленого шифрування для багатоядерних систем і, особливо, за функцію «правдоподібного заперечення», що дозволяло створювати «прихований тому» всередині іншого томи.
Розробники перш визнавали, що TrueCrypt вразливий для малого числа відомих атак, наприклад, він може стати жертвою буткіта «Stoned», тому слід вживати додаткових заходів безпеки. Але за винятком цього TrueCrypt, в цілому, отримував найвищі оцінки, якщо не звертати уваги на туманні формулювання в його ліцензії. Ліцензія TrueCrypt є унікальною і відрізняється від широко використовуються ліцензій на ПЗ з відкритим вихідним кодом і безкоштовний софт, так як містить обмеження, що стосуються поширення і дотримання авторських прав.
До травня 2014 року TrueCrypt був завантажений 28 мільйонів разів. А тепер розробники, мабуть, різко вимкнули рубильник і покинули неспокійну сферу криптографії, життя в якій зараз ще більше ускладнилася, ніж після одкровень Е. Сноудена в минулому році.
Насправді, саме ці одкровення частково підігнали попит на незалежний аудит безпеки, щоб з'ясувати ступінь можливих маніпуляцій з TrueCrypt. Криптограф і професор Університету Джона Хопкінса Метью Грін, як давній «скептик» щодо TrueCrypt, запустив подвійну краудфандінговую кампанію з метою фінансування подібної перевірки. Спільнота продемонструвало неабиякий інтерес до затії: Гріну, в кінцевому підсумку, вдалося зібрати цілих $ 70. 000 (набагато більше запланованої суми), і перший раунд аудиту був успішно завершений на початку цього року, чи не принісши ніяких неприємних відкриттів. Другий етап ще навіть не починався, а тепер він і зовсім видається малоймовірним. А в зв'язку з «туманним» правовим статусом вихідного коду TrueCrypt неясно, чи зможе хто-небудь продовжити розробку продукту.
Отже, давайте говорити прямо: на даний момент ніхто, крім самих розробників TrueCrypt, звичайно, насправді не знає, що відбувається. Немає ніякої інформації про характер проблем з безпекою і можливі способи їх усунення.
Це програмне забезпечення було досить популярним: 28 мільйонів завантажень - вже багато саме по собі, і навіть якщо тільки третина скачали пакет фактично їм користувалися, їх число вже можна порівняти з населенням великого міста. Легка міграція на BitLockerв реальності доступна тільки деяким користувачам, так як BitLocker входить в комплект тільки топових версій WindowsVista, 7 і 8.
Всі ці люди зараз задаються питанням, чи були взагалі їх дані надійно захищені з того дня, як вони почали користуватися TrueCrypt. Відсутність пояснень вже точно їх не заспокоїло, якщо не сказати більше.
Хоч все прекрасно розуміють, що ліцензійні угоди ніхто і ніколи не читає, користувачі розраховують на те, що вендорам ПЗ можна довіряти поза незалежності від того, комерційний це софт, безкоштовний або з відкритим вихідним кодом. В останню чергу люди чекають від розробника ПЗ раптового зникнення з горизонту практично без попереджень і пояснень, не кажучи вже про те, щоб цінувати такий вчинок. Так справи не робляться, особливо в сфері інформаційної безпеки.
Що ж це за проблеми?