וִידֵאוֹ: История TrueCrypt. Недоказуемость криптоконтейнеров. (נוֹבֶמבֶּר 2024)
אם אתה משתמש ב- TrueCrypt כדי להצפין את הנתונים שלך, עליך לעבור לתוכנת הצפנה אחרת כדי להגן על הקבצים שלך, ואפילו על כוננים קשיחים שלמים.
הקוד הפתוח ותוכנת TrueCrypt הזמינה בחינם פופולרית בעשר השנים האחרונות מכיוון שהיא נתפסה כלא תלויה בספקים גדולים. יוצרי התוכנה לא זוהו באופן פומבי. אדוארד סנודן השתמש לכאורה ב- TrueCrypt, ומומחה האבטחה ברוס שנייר היה תומך ידוע נוסף בתוכנה. הכלי הקל להפוך את כונן הבזק או הכונן הקשיח לנפח מוצפן, ואבטח את כל הנתונים המאוחסנים עליו מעיניים סקרניות.
היוצרים המסתוריים כבו בפתאומיות את TrueCrypt בטענה שהם לא בטוחים לשימוש. "אזהרה: השימוש ב TrustCrypt אינו מאובטח מכיוון שהוא עשוי להכיל בעיות אבטחה לא קבועות", קרא את הטקסט בדף SourceForge של TrueCrypt. "עליכם להעביר נתונים המוצפנים על ידי TrueCrypt לדיסקים מוצפנים או תמונות דיסק וירטואליות הנתמכות בפלטפורמה שלך", נכתב בהודעה.
"הגיע הזמן להתחיל לחפש דרך חלופית להצפין את הקבצים שלך ואת הכונן הקשיח", כתב יועץ האבטחה העצמאי גרהאם קלולי.
קונצנזוס: לא מתיחה
בהתחלה, היו חששות שמא חלק מהתוקפים הזדוניים ניתקו את האתר, אך מתברר כי זה לא מתיחה. אתר SourceForge מציע כעת גרסה מעודכנת של TrueCrypt (חתומה דיגיטלית על ידי המפתחים אז זה לא פריצה) שמציגה התראה במהלך תהליך ההתקנה כדי להודיע למשתמשים שהם צריכים להשתמש ב- BitLocker או בכלי אחר.
"אני חושב שזה לא סביר שהאקר לא ידוע זיהה את מפתחי TrueCrypt, גנב את מפתח החתימה שלהם ופרץ את האתר שלהם", אמר מתיו גרין, פרופסור המתמחה בקריפטוגרפיה באוניברסיטת ג'ונס הופקינס.
מה לעשות אחר כך
באתר, כמו גם את ההתראה הקופצת בתוכנה, יש הוראות להעברת קבצים מוצפנים של TrueCrypt לשירות BitLocker של מיקרוסופט, המובנה בתוך Microsoft Vista Ultimate ו- Enterprise, Windows 7 Ultimate ו- Enterprise ו- Windows 8 Pro ו- Enterprise. גרסת 7.2 של TrueCrypt מאפשרת למשתמשים לפענח את הקבצים שלהם אך לא תאפשר להם ליצור אמצעי אחסון מוצפנים חדשים.
בעוד BitLocker הוא האלטרנטיבה הברורה, ישנן אפשרויות אחרות לבחון. שנייר אמר ל- The Register שהוא חוזר ל- PGPDisk של סימנטק כדי להצפין את הנתונים שלו. קידוד הכונן של Symantec (110 $ עבור רישיון משתמש יחיד) משתמש ב- PGP, שהיא שיטת הצפנה ידועה. ישנם כלים בחינם אחרים עבור Windows, כגון DiskCryptor. מומחה האבטחה הגרוגק הרכיב בשנה שעברה רשימה של חלופות TrueCrypt, שעדיין מועילה.
יוהנס אולריך, מכון SANS, המליץ למשתמשים ב- Mac OS X להישאר עם FileVault 2, המובנה במערכת ההפעלה X 10.7 (Lion) ואילך. FileVault משתמש בקידוד ה -128 סיביות של XTS-AES, זהה לזה שמשמש את ה- NSA. משתמשי לינוקס צריכים להישאר עם ההתקנה המובנית של Linux Unified Key (LUKS), אמר אולריך. אם אתה משתמש באובונטו, להתקין מערכות ההפעלה יש את האפשרות להפעיל הצפנת דיסק מלאה כבר מההתחלה.
עם זאת, המשתמשים יזדקקו לכלי אחר לכוננים ניידים העוברים בין מערכת הפעלה שונה. "עולה בראשכם של PGP / GnuPG, " אמר אולריך ביומן מטפלי InfoSec.
חברת סטגנוס הגרמנית מציעה גרסה ישנה יותר של כלי ההצפנה שלהם (גרסה 15 היא האחרונה שלהם, אך ההצעה היא לגירסה 14) בחינם למשתמשים, וזה לא ממש אידיאלי.
פגיעויות לא ידועות
העובדה של- TrueCrypt עלולות להיות פגיעות אבטחה צורמת בהתחשב בכך שביקורת עצמאית של התוכנה מתנהלת בימים אלה ולא היו דוחות כאלה. תומכים גייסו 70, 000 דולר לביקורת בגלל חששות שלסוכנות הביטחון הלאומית יש יכולת לפענח כמויות משמעותיות של נתונים מוצפנים. השלב הראשון של החקירה שהתייחס למטען האתחול של TrueCrypt שוחרר רק בחודש שעבר. הוא "לא מצא שום עדות לדלתות אחוריות או לפגמים מכוונים." השלב הבא, אשר יבחן את הקריפטוגרפיה המשמשת את התוכנה, אמור היה להסתיים בקיץ הקרוב.
גרין, שהיה אחד האנשים שהיו מעורבים בביקורת, אמר כי אין לו אזהרה מראש על מה שתכננו מפתחי TrueCrypt. "לאחרונה שמעתי מ- Truecrypt: 'אנו מצפים לתוצאות של שלב 2 של הביקורת שלך. שאתה מאוד תומך בכל מאמציך!'", פרסם בטוויטר. הביקורת צפויה להימשך למרות הכיבוי.
יתכן ויוצרי התוכנה החליטו להפסיק את הפיתוח מכיוון שהכלי ישן כל כך. הפיתוח "הסתיים ב- 5/2014 לאחר שמיקרוסופט הפסיקה את התמיכה ב- Windows XP", נכתב בהודעה ב- SourceForge. "Windows 8/7 / Vista ומאוחר יותר הציעה תמיכה משולבת לדיסקים מוצפנים ותמונות דיסק וירטואליות." עם הצפנה המובנית ברבות ממערכות ההפעלה כברירת מחדל, ייתכן שהמפתחים הרגישו שהתוכנה כבר לא הייתה נחוצה.
כדי להפוך את הדברים לעורקים יותר, נראה כי נוספה כרטיס 19 במאי כדי להסיר את TrueCrypt ממערכת ההפעלה המאובטחת Tails (גם מועדף נוסף של Snowden). מה שלא יהיה, ברור שאיש לא צריך להשתמש בתוכנה בשלב זה, הזהיר קלולי.
"בין אם לרחף, לפרוץ או לסיים חיים אמיתיים עבור TrueCrypt, ברור ששום משתמשים שאינם מודעים לאבטחה לא ירגישו בנוח לבטוח בתוכנה לאחר התקלה זו", כתב קלואי.