BACHA! Do doby , než se vše níže uvedené potvrdí nebo vyvrátí, nepoužívejte TrueCrypt ve verzi 7.2.. Zdá se totiž, že jde o podvrh, a že poslední „opravdová“ verze je 7.1a
Dnes jsou všechna česká i zahraniční média (a také Twitter) plná zpráv o náhlém a nečekaném ukončení vývoje šifrovacího programu TrueCrypt. Pro spoustu IT profesionálů i běžných uživatelů to je obrovský šok. A dá se říct, že téměř nic nenasvědčuje tomu, že to není pravda, protože:
- oficiální webová stránka TrueCryptu jasně hovoří o ukončení vývoje, a to především z důvodu nalezení zranitelnosti použitých metod.
- všude se o tom píše
Ovšem aby si člověk udělal střízlivý a profesionální názor na věc, je potřeba si uvědomit následující fakta:
- Na základě odhalení praktik NSA Edwardem Snowdenem nalili sponzoři TrueCryptu značné množství financí do otestování jeho bezpečnosti. Minulý měsíc skončila první fáze tohoto auditu: VŠE JE OK, ŽÁDNÁ ZADNÍ DVÍŘKA NEBO ZRANITELNOSTI. Pro zájemce popis v angličtině.
- TrueCrypt je dlouhou dobu jedničkou pro profesionály v oblasti bezpečnosti právě díky jeho open-source vývoji, který značně eliminuje možnost existence zadních vrátek nebo prolomitelných algoritmů.
Takže já si myslím, že Projekt TrueCrypt (ne samotný program!) se stal terčem velmi sofistikovaného útoku hackerů!
A proč si to myslím? Mám tyhle důvody:
- Web www.truecrypt.org jakoby neexistuje a pouze přesměrovává na truecrypt.sourceforge.net, kde nalezneme výše zmíněné podivné oznámení.
- Na webu s oznámením o konci vývoje doporučují přechod na Bitlocker jako jedinou možnost. Existují přitom i jiné alternativy, navíc BitLocker je pouze pro Windows, a to ještě jen pro některé verze, takže naprosto nepokrývá „území“ pokryté TrueCryptem.
- Na stránkách vývojářů spojených s truecryptem se mluví o podvržených verzích a kontrolních součtech, podpisech aplikací atd.
- Ve velmi nedávné době se objevilo několik zmínek o tom, že právě s disky zašifrovanými TrueCryptem si ani NSA ani naše policie tak nějak neví rady (pokud majitel disků použil dostatečně dlouhou šifrovací frázi, samozřejmě).
Co mi z toho všeho vyplývá?
Mám dost odvážnou teorii: To, že se NSA nerozpakuje používat hackerské techniky, víme už z případu HeartBleed. Takže já by řekl, že NSA použila své experty (nebo si někoho najali, rozpočet mají dostatečný), aby zdiskreditovali projekt TrueCrypt, který je jim trnem v oku. Budoucnost ukáže, jestli a jak moc se pletu…
Další články na téma bezpečnost