Читаем TrueCrypt & VeraCrypt, шифрование файлов и дисков полностью

Начальный этап аудита прошел успешно – аутентичность бинарников была подтверждена.

Позже (это произошло совсем недавно) первый этап был полностью завершен. Его вердикт – в TrueCrypt нет никаких бэкдоров. Также не было выявлено никаких серьезных проблем, которые могли бы поставить под сомнение безопасность использования TrueCrypt. Были обнаружены лишь незначительные уязвимости (это связано, в том числе и с тем, что последняя версия программы была выпущена в феврале 2012 года, а на дворе уже 2014), которые абсолютно не критичны.

Все это очень порадовало сообщество! Но радость длилась недолго...

Данная новость многих повергла в шок и ступор. Как так? Что случилось? Первые несколько дней с момента закрытия сайта все были в полном неведении. Все произошло так неожиданно, странно и "мутно".

Сначала был закрыт официальный сайт truecrypt.org. При его посещении происходит редирект на страницу http://truecrypt.sourceforge.net/ (это тоже своего рода официальная страница, только на проекте sourceforge.net).

На этом сайте говорится, что использовать ТруКрипт небезопасно, поддержка прекращается с мая 2014. А создана эта страница только с одной целью – помощь в миграции с TrueCrypt (ВНИМАНИЕ!!) на BitLocker! Собственно на этом сайте и размещена инструкция по переходу на БитЛокер, а также новая "урезанная" версия TrueCrypt 7.2. Данная версия программы позволяет только дешифровывать имеющиеся криптоконтейнеры для последующего переноса данных в незашифрованную область или в другие шифроконтейнеры и диски.

Все ссылки на предыдущие версии TrueCrypt удалены, сайт удален.

Особое масло в огонь подливает еще и то, что архив сайта удален из "кэша интернета":

Этот факт многим не дает покоя, как бы намекая, что без спецслужб здесь не обошлось.

Мне неизвестно, кто имеет право и возможность исключать из веб-архива какие-то сайты. Может быть такую возможность имеет любой, кто подтвердит право на собственность того или иного сайта, а может быть это делается только по специальным решениям (суд, спецслужбы и т.д.). Не знаю. Хотя вот здесь пишется, что собственник сайта вроде как может попросить удалить свой сайт из архива.

Совет переходить на BitLocker как бы тоже намекает: "пользоваться TrueCrypt – это тоже самое, что юзать BitLocker".

Немного поясню. БитЛокер – это встроенная в современные версии Windows (выше XP) технология шифрования. Весьма, кстати, удобная, простая в использовании и т.д. Но с одним но – это Microsoft. То есть, ни о каких открытых исходниках не может быть и речи.

Кроме того, в Битлокере имеется возможность восстановления ключей, а значит, это могут сделать и другие (сам MS, например, по запросу органов). Ну, и само собой, можно косвенно полагать, что в Windows и без того имеются различные бэкдоры для того же АНБ и ЦРУ.

В пользу версии о причастности АНБ есть еще один факт. В официальном сообщении о закрытии проекта нашли закодированное послание (да и сам поступок разработчиков очень похож на "свидетельство канарейки"). Дело в том, что в предложении  "WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues" первые буквы слов можно трактовать, как "uti nsa im cu si", что в переводе с латыни может означать следующее: "If I wish to use the NSA" ("Если я хочу пользоваться АНБ"). Как вам такое послание, а?

В общем, за эти дни разных версий произошедшей ситуации было много:

Давление правительства и спецслужб, и, как следствие, такая реакция авторов TrueCrypt – некий завуалированный сигнал, знак для всех пользователей (основная версия).Сайт взломан, ключи скомпрометированы и находятся в руках злоумышленников, ПО скомпрометировано.Авторы просто решили "забить" на дальнейшую  поддержку и разработку.Корпорация Microsoft предложила разработчикам очень высокоплачиваемую работу, с условием закрыть проект TrueCrypt =) Цель данного поступка – сорвать дальнейший аудит.

Были и  многие другие версии. Если интересно, почитайте пост и камменты к нему на Хабре.

Позже история получила логическое продолжение.

Одному из аудиторов TrueCrypt (Steven Barnhart) все-таки удалось связаться с одним из анонимов-разработчиков TC, называющим себя David.

Тот прокомментировал ситуацию примерно так: мы потеряли интерес к дальнейшей разработке данного ПО. Кроме того, по словам Дэвида, TrueCrypt изначально был ориентирован на Windows, и т.к. прекращена поддержка Windows XP, а в новых версиях есть BitLocker, то и свою миссию они считают выполненной.