22:00
28/5/2014

Zaskakująca wiadomość pojawiła się na stronie znanego i szanowanego projektu TrueCrypt, który umożliwiał szyfrowanie nie tylko wybranych plików czy partycji, ale również całych systemów operacyjnych (tzw. Full Disk Encryption). Projekt został przerwany …a jako powód podano koniec wsparcia Windowsa XP przez Microsoft. Brzmi jak żart?

“TrueCrypt nie jest bezpieczny!!!”

Jeśli w pierwszym odruchu pomyśleliście, że ktoś podmienił TrueCryptowi stronę internetową, to nie jesteście jedyni. Kuriozalny powód zamnknięcia, przekierowanie z oficjalnej domeny na sourceforge…

TrueCrypt zakończony?

TrueCrypt zakończony?

Być może jednak nie jest to żart ani atak deface — a jeśli jednak deface, to całkiem nieźle przygotowany. Na stronach należących do TrueCrypta, oprócz ostrzeżenia, że TrueCrypt nie jest bezpieczny umieszczono bowiem dość precyzyjne instrukcje migracji danych z TrueCrypta do alternatywnych, wbudowanych w odpowiednie systemy operacyjne rozwiązań (tj. do BitLockera na Windows i dla Mac OS X wykorzystując Disk Utility i szyfrowany typ partycji) — co w sumie jest ciekawe, bo wiemy przecież, że NSA chciało namówić twórcę BitLockera do wstrzyknięcia backdoora.

TrueCrypt 7.2 – nie pobierać!

Na stronach TrueCrypta do ściągnięcia została udostępniona rzekomo nowa wersja 7.2 …i wielkie, czerwone ostrzeżenie, że program nie jest bezpieczny i powinien być użyty tylko na czas migracji. Niektórzy twierdzą, że binarka, przynajmniej ta na OS X jest podpisana poprawnym kluczem developerów (tym samym, którym podpisana była wersja 7.1). Ale to w zasadzie nic nie znaczy, bo i klucze mogły zostać wykradzione, o ile zakładamy, ze serwer developerów został przejęty.

Na wszelki wypadek sugerujemy POWSTRZYMANIE SIĘ od ściągania TrueCrypta — brak na razie oficjalnych informacji, że treść strony TrueCrypt.org nie jest wynikiem ataku.

O czym nie wiemy?

Projekt TrueCrypt miał dość burzliwą historię w swoich początkach (oskarżenia o kardzież kodu, wybiegi ze zmianą licencji), ale przez ostatnie lata rozwijany był w dość spokojny i stabilny sposób. Niedawno powstał nawet projekt publicznego audytu kodu TrueCrypta — który we wstępnym raporcie potwierdził brak jakichkolwiek backdoorów. A to w świetle ostatnich doniesień na temat błędu w otwartoźródłowym projekcie OpenSSL, znanego jako HeartBleed koiło serce.

Przypomnijmy też, że do tej pory TrueCrypt miał opinię “nie do złamania” — są udokumentowane przypadku, kiedy FBI (często pracujące jako podwykonawca NSA) nie było w stanie poradzić sobie z rozszyfrowaniem dysków zaszyfrowanych TrueCryptem.

Coś tu śmierdzi… Zmiany w kodzie źródłowym nowej wersji TrueCrypta pokazują, że podmieniono funkcję do zakładania nowych bezpiecznych kontenerów na taką, która jest zaślepką, wyświetlającą ostrzeżenie podobne do tego, które znajduje się na stronie TrueCrypta.

Czyżby bunt któregoś z developerów? Spiskowe teorie już się pojawiają — jeden z nich dowiedział się o współpracy innych z służbami, albo w ogóle, do wszystkich developerów TrueCrypta przyszło, podobnie jak do BitLockera, NSA i kazało wprowadzić backdoora, postanowili więc ubić projekt, tak jak zrobił to niedawno twórca usługi LavaBit, z której korzystał Edward Snowden. Na razie same pytania i zero odpowiedzi.

PS. Co ciekawe, ktoś zadał sobie dużo trudu, aby dostęp do poprzednich wersji TrueCrypta był drogą przez mękę. Stare paczki pokasowano i nawet usunięto mirrory strony z projektu Archive.org…


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

265 komentarzy

Dodaj komentarz
  1. Może NSA maczało w tym ręce?

  2. AFAIK ostatnią dostępną wersją było 7.1a, więc wersja 7.2 do pobrania wygląda dosyć podejrzanie …

    • Co ciekawe, ktoś zadał sobie dużo trudu, aby dostęp do poprzednich wersji TrueCrypta był drogą przez mękę. Stare paczki pokasowano i nawet usunięto mirrory strony z projektu Archive.org…

      http://www.oldversion.com/windows/truecrypt/

      no błagam… ale z drugim zdaniem się zgodzę, brak mirrorów strony producenta na archive.org, niecodzienne. Tylko jakim trzeba być debilem żeby to zrobic?

  3. No coś mi się nie do końca chce w to wierzyć…..

  4. Czyżby kolejna luka stulecia po Heartbleed ?

    • Jeśli to byłaby luka na tą skalę – podaliby jakieś wyjaśnienia, przynajmniej ogólnikowe.

  5. Podejrzana sprawa.
    Na stronie link do wersji 7.2… ?

  6. Raz raz alternatywe..

  7. Okay, przyjmując, że to nie jest żart, znacie jakąś dobrą alternatywę do tworzenia szyfrowanych kontenerów?

    • 7zip?

    • LUKS + LVM

    • Co tam z szyfrowanymi kontenerami… Jeżeli to prawda z tym Truecryptem to darmowa alternatywa do szyfrowania całych dysków by się przydała (z opcją pree-boot).

    • Osobiście funkcji pre-boot nie używam, tylko kontenerowania, bo komputer dzielony, ale prawda, przydałaby się alternatywa…

    • DiskCryptor.

    • loop-aes

    • BitLocker ;/

    • Od pewnego czasu korzystam z VeraCrypt. W zasadzie oprócz wydłużonego startru kontenera, pozostaly kod zgodny z TC 7.1a

  8. Dziwne, nie ma żadnych zmian w kodzie…
    http://wklej.se/f30a

    • Ale podpis PGP się zgadza.

    • No chyba nie bardzo…

      https://github.com/warewolf/truecrypt/compare/master…7.2

    • @agilob:
      Ech…
      Zapomniałem użyć przełącznika -r do diff-a…

    • Jak sa zrodla i diffy to jaki sens ma kasowanie starszych wersji?

    • @a: TrueCrypt ma potrzebne mu podpisane sterowniki, co prawda można to obejść podpisem testowym, ale na 64-bitowych Windach trzeba włączyć Test Signing Mode przy uruchamianiu.

  9. Ale numer. Myślałem że sobie jaja robicie. Ciekawe o co tym razem chodzi.

  10. Same here: http://sourceforge.net/projects/truecrypt/

    • Dzisiaj Hetzner rozsyłał abuse właśnie w tej sprawie jeśli na liście są konta FTP powiązane z maszynami które u nich ma się wykupione.

    • Też dostałem takiego maila. Wylistowane dane były natomiast nieaktyalne i pochodziły co najmniej sprzed roku.

  11. Jako alternatywę polecam DiskCryptor. Używałem zamiast True Crypta i teraz nie żałuję.
    A z TC sprawa jest bardzo dziwna…

  12. To chyba dość oczywiste – autorzy uznali, że nie mają po co rozwijać dalej TrueCrypta, skoro istnieją wbudowane w OSy alternatywy.
    A ostrzeżenie o błędach bezpieczeństwa dlatego, że skoro nie rozwijają dalej softu, to też nie łatają znalezionych dziur…

    • Jasne, bardzo logiczne że zamiast ewentualnie dodać nową stronę do faq, popełnili poradnik migracji na bitlockera, usuwając przy tym wszystkie starsze buildy…

      Oczywiste dla każdego myślącego człowieka jest, że to hak albo grubsza sprawa pod stołem. Nie trzeba być zwolennikiem teorii spiskowych w stylu: reptilian rządzących światem tylko chwilę logicznie pomyśleć, naprawdę logicznie.

    • Nowy w IT?

    • Gówno prawda. Szyfrowanie wbudowane w OS to jakiś żart – naszpikowane to backdoorami dla amerykańskich służb specjalnych od góry do dołu.

  13. bzdura. na nic nie bede migrował. niby w jaki sposob stał sie nagle podatny? niech opiszą tą podatnosc, zaprezentuja PoE. a ta binarka 7.2 do zassania to juz woogle kompletna bzdura – pewnie z master password dla NSA.

    ładny deface, kradziez kluczy do podpisania binarki, czyzby robota NSA?

    • pasowałoby na działania służb. Nie chcą współpracować to ich uziemimy. Styl ala wujek sam.

    • Tym bardziej, że polecają migrację na szyfrowanie wbudowane w OS, co jest praktycznie najmniej bezpieczną metodą szyfrowania ze wszystkich dostępnych.

  14. Ostatnio SourceForge proponował zmianę haseł, może ktoś przejął hasła do projektu TC ?
    Podejrzane jest też, że usunięto z repozytorium starsze wersje.

    http://sourceforge.net/blog/sourceforge-net-password-reset-required/

  15. Migracja jest najgorszą aktualnie rzeczą jeśli ma się binarki 7.1a, nie wiadomo co dokładnie pozmieniali “Showing 43 changed files with 1,760 additions and 4,112 deletions. ” Trochę tego jest, przejrzenie zmian chwilę zajmie…

  16. Śmierdzi włamem. Na wykopie krzyczą, że klucz się nie zgadza. Brak wcześniejszych wersji, oczywiście komunikat, że Truecrypt nie jest już bezpieczny, a jako alternatywę dają co – Microsoftowy BitLocker lub OSXowe narzędzie. Ta.. bo oczywiście one nie mają ukrytych backdoorów… Wygląda na próbę zniechęcenia ludzi do Truecrypta.

  17. a ja w weekend postawię go sobie na wirtualce, puszczę ją przez whonixa i zobaczymy, stay tuned.

    • mam nadzieję, że masz ściągniętego whonixa, bo aktualnie strona https://www.whonix.org nie działa … przypadek :-) ?

  18. Z grubsza przejrzałem zmiany (7.1a i 7.2) to mamy:

    1) są zmiany wskazujące, że ktoś (na 99,99% autor lub jego wspólnik – podpisy się zgadzają; komu by się chciało tworzyć fake na takim poziomie zaawansowania?) aktualizował TC – może chciał wydać nową wersję – zmiany w komentarzach (w tym literówkowe), wykorzystanie nowego WinAPI, zwykłe poprawki, reorganizacja kodu (m.in. przerzucanie fragmentów do nowych funkcji itp.)

    2) zmieniła się licencja – z grubsza chyba jest od teraz kompatybilna z open-source

    3) najważniejsze – całe fragmenty kodu odpowiedzialne za tworzenie nowych kontenerów, szyfrowanie nowych dysków i tworzenie partycji rozruchowych są zamienione na groteskowe: AbortProcess (“INSECURE_APP”);

    • Po za tym, ciekawostka – każde “U. S.” zamienione na “United States”. To też może być zwykła poprawka?

    • Mi to wygląda na porządkowanie kwestii licencyjnych. Przez kiepską licencję TC nie było w repozytoriach Linuksów.

    • Zbyt dziwny zbieg okoliczności na zwykłe porządkowanie licencji.

    • Co skanery mają ci wykryć, jak nikt nie wie co się dzieje :o

  19. Ciekawe czy ta akcja jest związana z ostatnim wierszem najnowszego wpisu na stronie ‘The TrueCrypt Audit’:

    “p.s. We hope to have some *big* announcements this week, so stay tuned”

    https://www.indiegogo.com/projects/the-truecrypt-audit

  20. Może faktycznie to jakaś akcja promocyjna :-)
    Coś w stylu: nie ważne co mówią, ważne by mówili – zyska się rozgłos.

    • LOL! Akurat w przypadku oprogramowania “zaufania publicznego” jak TrueCrypt akurat ta zasada ma slabe zastosowanie :D.

      To tak jakby szpital celowo rozglaszal informacje o tym, ze szaleje w nim zoltaczka (czy inny gronkowiec), a matki masowo umieraja przy porodzie. Bo liczy sie rozglos!

  21. Właściwie jaki sens miałoby w ramach nagłego zakończenia projektu publikować “nową” wersję z subtelnymi zmianami i zamykać dostęp po starszych wersji? Bez sensu.

    • To nie są “subtelne” zmiany. To zmiany które uniemożliwiają tworzenie najbezpieczniejszych wersji szyfrowanych dysków.

    • Źle się wyraziłem. Może nie “subtelne”, tylko blokujące funkcjonalność zmiany. Tylko po co im ten wysiłek? Żeby uchronić biednych użytkowników przed ich nagle niebezpiecznym narzędziem? ;)

  22. Binarka pod Windows też ma prawidłowy podpis PGP. Może przy aktualizacji strony popełnili jakiś błąd i doszło do włamania. To wygląda na deface, bo trudno uwierzyć, żeby autorzy TC namawiali do przejścia na podejrzewanego o bycie zbackdoorowanym Bitlockera. Jeśli już, to sugerowaliby inne oprogramowanie open source.

  23. Trzeba było prawdziwego maniaka (lub grupę maniaków – zawsze podpisywał/li się jako grupa) żeby stworzyć taki program, będący nie na rękę wielu grupom interesów.

    Skoro Truecrypt Foundation zdecydowało się ubić swoje wypieszczone przez lata dziecko, musieli być poddani ogromnej presji. Powód który podali celowo jest kuriozalny, stanowi swoiste mrugnięcie okiem i wskazanie że prawdziwych powodów podać nie mogli.

    • Do tego ciekawostka, archiwum strony TrueCrypta zniknęło z archive.org: https://i.imgur.com/qiFEFCP.png

      Przypadek? Nie sądzę.

    • Po prostu ktos w NSA czy innej agenturze stwierdzil “ksiegowosc zamyka projekt TC, a my musimy zrobic to tak, aby ludzie nadal uzywali jego starszych wersji uwazajac ze sa bezpieczne”. I taka cala prawda. TC cuchnie od samego poczaku na kilometry.

  24. TruCrypt/TOR/PGP nic nie jest bezpieczne. NIC! Dlaczego? Bo wszystko idzie złamać brute forcem. Hmmm ale zaraz, przecież przy odpowiednio długim kluczy to zajmie tysiące (jak nie więcej lat). Problem w tym, że zakładamy, że “ich” technologia jest na podobnym poziomi do naszego.

    Patrząc na historię można wnioskować, że “oni” posiadają już dużo wydajniejszą technologię. Np. komputery kwantowe. Nawet jeśli nie są aż tak do przodu, to korzystają z własnego sprzętu, własnych procesorów (sami je projektują i produkują), więc tak czy inaczej są dużo do przodu. Poza tym “oni” nie muszą się trzymać kompatybilności wstecznej tworząc nowe technologie, maja dużo $, specjalistów i mogą tworzyć rozwiązania dedykowane do łamania konkretnego zabezpieczenia. ASICi mogą być w przypadku łamaniu haseł dużo wydajniejsze niż zwykłe chmury i komputery.

    1.Podsłuchiwanie wszystkiego (np. w TORze podsłuchują nie tylko exit-nody)
    2.Deszyfracja wszystkie
    3.Analiza wszystkiego
    4.Wszystko w czasie rzeczywistym

    Niemożliwe? Niestety bardzo prawdopodobne. Patrząc na historię, trzeba stwierdzić, że zawsze byli technologicznie do przodu. Każda technologia cywilna najpierw była w wojsku.

    Kim są “oni” – rządy, wojsko, agencje wywiadowcze. Nie ma NSA, FBI, są “oni”. Wszyscy szpiegują. W Polsce nie? Nasz rząd i nasze wojsko też nas szpieguje. Czemu miałoby być inaczej?

    A co do TOR-a. Dlaczego Stany sponsorowały TOR-a i początkowo wspierały jego rozwój? Dlaczego nie “zbanują” TORa (można to zrobić nieoficjalnie, jakimś atakiem, nie trzeba robić zamachu na wolność słowa), nie zdelegalizują go? Bo umieją go deszyfrować i analizować ruch w nim, a dopóki lód wierzy, że TOR jest bezpieczny będzie z niego korzystał.

    Lata 20. XX wieku – prowadzenie badań nuklearnych w ZSRR
    1938 – rozbicie jądra atomu
    1940 – patent na wykorzystanie uranu jako środka wybuchowego
    1945 – użycie bomby atomowej podczas wojny
    Podobno stany były w stanie zrobić bomby atomowe już w latach 20. Tak czy inaczej od czasu oficjalnego rozbicia atomu w Niemczech do użycia bomby (w wojnie, pomijam poligony) minęło 7 lat. Od czasu oficjalnego rozpoczęcia badań ok 20 lat.

    TOR został “upubliczniony” w 2004, oficjalnie pomysł komputerów kwantowych powstał w latach 80, pierwsze obliczenia na takim komputerze zaprezentowano w 1995.
    Licząc 7 lat (tyle ile minęło w przypadku bomby atomowej) od 1995 mamy 2002, czyli przed 2003/2004 (TOR).
    Licząc 20 lat od lat 80, również wychodzi, że powinno być możliwe wykorzystanie komputerów kwantowych do łamania haseł, kluczy, deszyfracji, w momencie kiedy pojawił się TOR.

    Moim zdaniem jesteśmy w dupie i nie ma prywatności. Nie mam na to dowodów, ale jak uczy historia…

    Jedynie co może dać szyfrowanie to że dla “małych” spraw nie złamią go, dla zachowania pozorów. Tzn. sprawdzą czy nie ma nic interesującego, ale jak nic nie znajdą to powiedzą że nie umieją złamać tc, TORa, itd.

    • po tak długim komentarzu masz pewnie nadzieję że ktoś ci odpowie, więc odpowiadam ;0

    • ktoś tu potrzebuje pilnej pomocy lekarskiej!!!

    • “lód”. Przestałem czytać. Zainteresuj się kryptografią krzywych eliptycznych i schowaj pan te swoje bajki o komputerach kwantowych.
      Pozdrawiam

    • @TrzebaNiszczyćFUD Komputery kwantowe istnieja na 100%, nie ma watpliwosci – takie badania prowadzili np. Japonczycy i dziwnym trafem ich laboratoria zostaly calkowicie zniszczone “osunieciem ziemi”. Sprawa byla w mediach jakis rok temu. Ktos tu nie lubi konkurencji.

    • A zupełnie poważnie, to 8 kubitów mieli już w 2007 r. Podobno 20 kubitów wystarczy do złamania dowolnego szyfru metodą brute force.

    • Zobacz coś o firmie D-Wave mi szczęka do ziemi opadła jak się na to trafiłem przypadkiem. Aż strach pomyśleć co może posiadać wojsko, ponoć Google i organizacja rządowa USa kupili sobie po jednej maszynce.

    • Kryptografia, hm. Szyfrujesz coś i jedynym klucz na ‘otwarcie pudełka’ jest w Twojej głowie? Tak?
      A czy jak przyjmiemy, że niektóre projekty które pozwalają na czytanie w myślach są już testowane? To gdzie schowasz klucz?

      Nic nie jest pewne.

      Czego się tak boicie? Co macie do ukrycia?
      Gdzie wasza wolność? Bawicie się ich zabawkami i gracie w ich gry..

    • Znowu jakiś pseudo-geniusz który przeczytał jakieś skrawki artykułów na Wikipedii i myśli, że coś wie. Żałosne.
      Idź pan do Macierewicza a nie tutaj będziesz się ośmieszał.

    • Idąc tokiem Twojego rozumowania, to należy myśleć, że gdzieś tam na Ziemii istnieją już od dawna stabilnie działające elektrownie termojądrowe?

    • trash02 ja wiem zes jest tylko durnym trolem, ale co tam – odpisze.
      Przeczytać jeszcze raz czym jest kryptografia krzywych eliptycznych i przestac pie***** o komputerach kwantowych, moze wtedy sie rozjasni DLACZEGO komputery kwantowe nie maja zastosowania w cracking tego typu szyfrowania, tak jak jest to w przypadku faktoryzacji RSA.

    • @TrzebaNiszczyćFUD Gdy glupiec nie ma argumentow zaczyna rzucac wyzwiskami. Moj ty intelektualny biedaczku… :)

    • XOR z kluczem jednorazowym o długości wiadomości jest bezpieczny i go nie złamiesz brute forcem.
      Ta-da :-)

    • ECC, XOR, wszystko można złamać brute forcem. Dlaczego miałoby się nie dać?
      Mamy tekst zaszyfrowany, do którego deszyfracji potrzebny jest klucz prywatny lub dla szyfrowań symetrycznych hasło (a konkretnie hash hasła). Wystarczy próbować różnych kombinacji, aż wynik będzie wyglądał na sensowny tekst jawny, tylko to wymaga dużej mocy obliczeniowej, co dają komputery kwantowe. Ba są wręcz one idealne do tego zadania, bo mogą wykonywać na raz tą samą operację na tych samych danych, dla różnych danych wejściowych (czyli prościej mówiąc mogą na raz sprawdzać kilkaset kluczy/hashy haseł, itd.). Jedyne co można zrobić to próbować tekst jawny (to co chcemy zaszyfrować) zapisać tak, żeby ciężko było poznać, że jest on czymś odszyfrowanym. Wtedy komputer nie będzie w stanie sprawdzić, czy hasło/klucz jest dobre, bo dla wszystkich kombinacji otrzyma pozornie bezsensowne dane. W tej chwili można łatwo sprawdzić czy to co otrzymaliśmy po deszyfracji m.in dzięki nagłówkom.

      Jeśli chodzi o TC, to skoro w krótkim czasie potrafi sprawdzić, czy hasło jest poprawne to porównuje jakiś nagłówek (może nie jest to typowy nagłówek, ale jakiś ciąg jest zapisany na początku kontenerów).

    • Nie da się złamać bruteforcem bo to po prostu nic nie daje. Skoro wiadomość ma n znaków i klucz ma n znaków i jest jednorazowy i xorujesz to każdy klucz deszyfruje. Masz więcej niż jedną “zrozumiałą” wiadomość po deszyfracji.
      Dla przykładu:
      Ala ma kota i psa
      Zabić prezydenta!
      Mają tyle samo znaków i skąd wiesz, która dobra? Dla dłuższych wiadomości sprawa się odpowiednio ładniej układa.

    • @TrzebaNiszczyćFUD ++

      @TrashO2 “ja wiem zes jest tylko durnym trolem, ale co tam – odpisze.”
      cytując klasyka ;) Panie Szanowny “Gdy glupiec nie ma argumentow zaczyna rzucac wyzwiskami.” Dokładnie Tak jak zrobiłeś :) Oceniłeś swoją miarą. Pozdrawiam!

  25. Mi podchodzą tylko 2 wersje wydarzeń:
    1. Twórcy faktycznie czegoś się dowiedzieli, np. że ktoś kupił i wykorzystuje lukę w kodzie, której nie da się poprawić przy obecnej koncepcji rozwiązania lub w algorytmie, ew. wiedzą że NSA/FBI mogą w jakiś sposób (może przy pomocy D-Wave Two) zbruteforce’ować hasło, ew. jest luka w kodzie/algorytmie podobna do WPS PIN w AP’s(chociaż nie bardzo w to wierzę)?
    2. Ktoś po prostu przejął temat, bo Twórcy okazali się wyjątkowo niepokorni i nie chcieli za cholerę wstawić w system back-door’a, a sam system był flawless :D

    Na szczęście mam wersję 7.1a zarówno instalkę jak i binarki :) UFF!

    • Może udostępniłbyś w PW?

  26. Jak dla mnie to dostali ultimatum. Życie ich i rodzin i master password dla służb albo offline. Wybrali to drugie i dlatego jak ktoś ma starą wersję już pobraną to jego zwycięstwo.

    Ja używam TC w dość ciekawy sposób, mam zaszyfrowane pliki na Dropbox’ie, a w folderze obok mam binarke TC. Teraz “trochę się cykam”, bo nie wiadomo, czy nie dogadali się z Dropbox’em na podmianę binarek TC, a hashy nie mam, bo do tej pory nie byłem aż tak źle nastawiony do TC.

    • Binarka na dropboxie to już jest ZŁY sposób wykorzystania truecrypta (dowolnego blokowego szyfrowania dysku). Jest narażony na szereg ataków, przed którymi szyfrowanie dysku nie działa. Ogólnie szyfrując dysk zakładasz, że ktoś nie jest w stanie oglądać zmian w czasie – uzyskując wiele ciphertextów dla danego IV obliczanego na podstawie położenia na dysku.

      Ogólnie nie jest to MEGA niebezpieczne, ale nie jest zalecane. W sumie i tak bardziej ufałbym temu niż np. szyfrowanym zipom.

    • Punkt drugi – jak masz BINARKĘ .exe TC na dropboxie to w ogóle nie możesz być pewien, że ktoś jej nie podmieni na taką, która internetem prześle do DB Twoje hasło! Musisz ufać binarkom!

  27. Cała dyskusja na temat truecypt, jakby ktoś spać nie mógł: https://news.ycombinator.com/item?id=7812133 :) Miłej lekturki :)

  28. NSA, NSA i jeszcze raz NSA. TrueCrypt w odróznieniu od BitLockera i Disk Utility jest otwarty i nie dawno jeszcze potwierdzono brak backdoorów itp, a wiadomo co się dzieje, gdy coś jest zbyt bezpieczne.

    • Jednak, ta strona daje dużo do myślenia. Zapewne nie tylko ja dzięki niej uznałem TrueCrypta za najbezpieczniejsze oprogramowanie do szyfrowania dysków :)

    • Co wy wszyscy chcecie od tego biednego NASA? Jeżdzą sobie robotami po Marsie (prawie jak studenci Politechniki Białostockiej) a wy tu non stop jakieś smuty o spiskach.

    • To wszystko przez ich “artyzm” na innych planetach:

      http://f2.thejournal.ie/media/2013/04/nasa-penis-mars-630×332.jpg

  29. MD5 TC7.1a zassany Pazdziernik 2013
    7A23AC83A0856C352025A6F7C9CC1526

    • A o generowaniu kolizji md5 na binarkach kolega słyszał?

  30. Ostatnia kopia TC http://cyberside.planet.ee/truecrypt/ Plik: TrueCrypt Setup 7.1a.exe
    CRC-32: 1b1ac848
    MD4: b7fd2d3097e0c939bd3440b7ddacc521
    MD5: 7a23ac83a0856c352025a6f7c9cc1526
    SHA-1: 7689d038c76bd1df695d295c026961e50e4a62ea

    • Zgadza się, mój instalator 7.1a ściągnięty jeszcze pod koniec 2012 roku posiada takie same hash’e.

    • Jest jeszcze na filehippo

      http://filehippo.com/pl/download_truecrypt/tech/

  31. okej, podsumowując:

    —wszystkie stare binarki i kody źródłowe zostały usunięte z sourceforge, do ściągnięcia jest wersja 7.2 (nie sciągać tego dopóki to wszystko śmierdzi tak jak teraz)

    —ktoś zrobił diffy, i wychodzi na na to że wszystkie funkcje dotyczące szyfrowania danych zostały zmienione na malownicze :
    AbortProcess (“INSECURE_APP”);
    Print (“WARNING: Using TrueCrypt is not secure”);
    co ciekawsze, wszystkie skróty U.S w komentarzach zostały zamienione na United States. (przypadek? względy estetyczne? iluminaci?)

    —binarka 7.2 jest podobno(?) podpisana prawdziwym kluczem, tym samym co 7.1a, pozwala tylko na deszyfrowanie i migrację.

    —deface strony, truecrypt.org przekierowuje na zdefaceowaną stronę sourceforge, gdzie jesteśmy witani czerwonym times new romanem, ostrzegającym że oprogramowanie może nie być bezpieczne (na dole pisze że NIE JEST bezpieczne)

    —”nowa” strona pokazuje jak przerzucić się na bitlockera albo applowskie rozwiązanie, z tego co pamiętam filevault, co do których nie można mieć pewności czy są czyste, tzn czy nie mają żadnych ciekawych backdoorów, czy innego master keya dla służb.

    —audyt truecrypta, którego pierwsza faza niedawno się zakończyła, nie wykazał żadnych większych wątpliwości co do bezpieczeństwa

    —powód zakończenia wsparcia jest kuriozalny – zakończenie wsparcia dla windowsa xp, TO WCALE NIE TAK ŻE MIELI WPROWADZIĆ PEŁNĄ OBSŁUGĘ WINDOWSA 8, i kilka innych opcji.

    —zmieniła się licencja – od teraz można tworzyć forki, nie jest wymagany zapis że zmieniony twór powstał na bazie truecrypta.

    moim zdaniem, jest źle, to nie wygląda na prosty deface/dns hijacking i podrobioną binarkę z trojanem (podpisaną prawdziwym(?) kluczem), za dużo wysiłku żeby po prostu zrobić zamieszanie. Całkiem prawdopodobne że niedługo znajdziemy, jak to napisał ktoś z forum ycombinator, powieszonego Czecha z powyrywanymi paznokciami. Lub po prostu autor przestał interesować się projektem, ale w takim wypadku czemu usunięty został kod źródłowy 7.1a, z szyfrowaniem, w celu łatwiejszego tworzenia forków? i jeżeli została znaleziona podatność, to czemu nie została opisana? chyba że na dniach jakiś instytut matematyczny/kryptologiczny opublikuje jakąś podatność na AES, wtedy wszystko szlag trafi.

  32. Jaki związek ma koniec wsparcia xp z true cryptem? Bardzo prosty – skoro system nie jest już wspierany to należy zwigrować na win 7 / win 8 gdzie jest bit locker.

    • Tak, ale nie kazda wersja windy ma BitLocker’a – wiekszosc koomputerow leci z Home Premium lub podobnymi, tam BL nie dziala, ani w Win7 ani w 8/8.1 albo ograniczaja funkcjonalnosc

      Windows 8.1 ma na przyklad ograniczenie, ze mozesz zaszyfrowac tylko dysk systemowy (przynajmniej ta wersja co ja mam tak ma) – jesli chcesz zaszyfrowac tak samo pen-drive albo karte SD to masz pecha. Albo uzyjesz innego narzedzia (TC?) albo kupisz wysza licencje windows’a. Tak wyglada sytuacja w wiekszosci tabletow/netbook’ow z Win8.1.

      Jak do tej pory TC byl IMHO najogiczniejszym wyborem ze wzgledu na wsparcie win/lin/mac ale teraz to sie skonczylo.

    • Przemku, drogi Przemku… pojęcia nie ma czy dociera do Cię fakt korzystania przez jednego/kilku userów otwierających/montujących kontener na wielu platformach?
      Jeśli masz problem ze zrozumieniem powyżej, to podam praktyczny przykład: tworzę sobie archiwum danych z plikami projektu, danymi finansowymi, zatwierdzonym engineeringiem w formie kontenera TrueCrypt pod Windowsem. Wrzucam to w formie zaszyfrowanej na jakiego DropsaBoxa, albo inne chmurakieruj. Po czym, jak potrzebuję dostępu do tego bałaganu gdzieś tam, to sobie toto ściągam na tablet z Androidem, i otwieram korzystając z dobrodziejstw aplikacji EDS.
      Dla ułatwienia: w przypadku Windowsa XP, MOGŁEM korzystać z podobnej pary: FreeOTFE na Windowsie, LUKS manager na androidzie.

      Teraz poranne dwa pytania dla Ciebie, Przemku:
      1. Jak już zwigrujesz na BitLocker, to zapodaj uprzejmie jak dostąpić zaszczytu obejrzenia zawartości na innej platformie.
      2. Matka wiedzą, że ćpiesz?

    • Zapomnialem dodac powyzej…

      Windows 8.1 (OEM) pozwoli uzyc bitlocker’a do zaszyfrowania dysku systemowego tylko i wylacznie po tym jak zaczniesz uzywac swojego ‘microsoft account’ do logowania sie do swojego komputera, czyli na powitanie masz wlaczobny Microsoft One Drive czy jak to sie dzisiaj nazywa itd. Po co? A po to aby BitLocker mogl zrobic backup kluczy na One Drive na wypadek gdybys potrzebowal pozniej go zdeszyfrowac na innej maszynie. Pelna rewelacja, prawda?

      Proces przetestowany, klucze trafiaja do chmury microsoftu, super… teraz przelaczam konto microsoft spowrotem na konto lokalne (jest mozliwosc konwersji kont miedzy lokalnym a Microsoft account – Windows+W na klawiaturze odpala kreator w Win8.1) ale maly kruczek – po migracji z windows account na lokalne gdy BitLocker jest aktywny, juz nie zalogujesz sie do systemu. Szczerze mowiac nawet nie udalo nam sie go odpalic po takim manewrze :)

      Ktos jeszcze chce migrowac na BitLocker’a na sprzecie COTS z softem OEM? Powodzenia!

    • Tomaszu, BitLockera. Bez debiloapostrofu. SJP.pl polecam

  33. Ciekawe kto z nas by się nie ugiął przy propozycji nie do odrzucenia…

    • Tu nie chodzi o to by się nie uginać, bo skończysz jak gen. Petelicki , system można pokonać, ale trzeba przeniknąć w jego strukturę i w odpowiednim momencie powiedzieć dosyć, nie wierze w to,że wszyscy ludzie pracujący dla ciemnej mocy pozbyli się sumienia, JFK mówił o tym sporo wsześniej, nadszedł czas takich Snowdenów którzy dla korzyści ogółu(ujawniajac tajemnice), są wstanie poświęcić swoje życie.

  34. Cytuję mój komentarz na blogu dobrychprogramów:
    ,,I teraz gdzie znajdę taki dobry program pod linuxa. Bitlockerowi nie ufam, po mojej ostatniej sytuacji z znikającymi danami na dysku (najczęściej to były pełne wersje programów z KŚ+)… NSA jest coraz gorsze. Najpierw furtka w Windows 8, potem prośba o umieszczenie furtki w jądrze linuxa, potem truecrypt. Mi to wygląda na podrobienie strony. Czemu tak myślę?
    – ostatnio wyciekły hasła z sourceforge
    – pierwszy build 7.2 był źle podpisany
    – strona jak w pośpiechu
    – przekierowanie na sourceforge (gdzie wyciekły hasła, wspominałem?)
    – BRAK instrukcji dla INNYCH systemów (może ma znaczenie czy w systemie istnieje furtka NSA? bo do takich należy Windows…)
    – głupi powód porzucenia projektu (brak wsparcia dla XP, hahahah jakie straszne)
    – Microsoft potrafi podawać złe informacje (dotyczy bitlockera, czyli ,,braku” furtki)
    Co tam, że pod linuxem jest cryptsetup, jak on trochę słabo chroni.”

    • Dlaczego wg Ciebie cryptsetup słabo chroni?

    • Trzymaj się True Crypta, tylko wersji 7.1a.

    • Witam
      Ciekawe zamieszanie – pożyjemy, zobaczymy co będzie.
      Ale –
      1) cryptsetup obsługuje kontenery TC – całkiem przyzwoicie.
      2) istnieją inne pakiety zapewniające w linuksie obsługę/wykorzystanie kontenerów TC.
      Problem dla użytkowników win – bezmyślna aktualizacja posiadanej wersji jest niewskazana.
      pozostający w stanie zaciekawienia
      SM

  35. Pamiętajcie, że przepisy amerykańskie karzą za ujawnienie współpracy z ich służbami. Więc jeśli to tamte służby to autorzy po prostu nie mogą podać tej przyczyny z uwagi na odpowiedzialność karną. Co więc mogli zrobić? Wypuścić nową wersję, jak tego chcieli smutni panowie, a przy tym napisać, że ich zdaniem jest niebezpieczna (tego prawo nie zakazuje).

    • O ile żaden z devów TC nie mieszka w USA albo nie zamierza się tam wybierać, służby mogą ich w dupę pocałować.

  36. gdyby ktoś szukał wcześniejszych wersji to tuaj macie mirror
    https://github.com/DrWhax/truecrypt-archive

  37. […] związanych z programem TrueCrypt, o których możemy przeczytać na np. Niebezpieczniku tutaj -> Koniec TrueCrypta, postanowiłem dodać do działu download TrueCrypta w wersji 7.1a. Czyli tak właściwie tej […]

  38. Jak nie wiadomo o co chodzi, to chodzi o pieniądze ;)

  39. hmm…. ktoś zadbał nawet o szczegóły ;)

    https://web.archive.org/web/*/http://truecrypt.org i komunikat:
    Sorry. This URL has been excluded from the Wayback Machine.

  40. IMHO wyjaśnienie tej sprawy jest banalnie proste. To nie żaden atak, ani sprawka NSA. TC jest (był?) świetnym DARMOWYM narzędziem. Dokładnie, DARMOWYM! Kwestią czasu było gdy ktoś ich wreszcie ‘kupi’.
    Przecież nie możemy dostać identycznej funkcjonalności oraz bezpieczeństwa jak oprogramowanie komercyjne za darmo! Do tego jeszcze na licencji zezwalającej korzystania z TC w celach komercyjnych. Oszaleliście, przecież trzeba generować $$$$
    Historia zakończy się tak samo, jak w przypadku wielu innych świetnych darmowych (często opensource’owych) narzędzi. Będziemy mieć okrojoną wersję do użytku domowego (z trojankami dla NSA, KGB, ITP.:) oraz wersję „delux” dla firm. Bardzo prawdopodobne, że pod inną marką.

    Smutne, ale tak wygląda świat.

    PS. Czy nie zaobserwowaliście podobnej tendencji jeśli chodzi o OS’y? Co lepsze przestały być projektami strickte opensource. Obstawiam, że w kolejce czeka w tej chwili K/Ubuntu.

    • Deluxe dla firm bez backdoora? LOL

    • licencje open-source nigdy nie zabraniały sprzedawać tego oprogramowania
      licencja wymusza otwarto-źródłowość
      “The complete source code of Your Product must be freely
      and publicly available (for exceptions, see Section III.2)
      at least until You cease to distribute Your Product”
      wiec nie pozwala na powstanie komercyjnych zamknie-źródłowych “forków”

  41. Mogę wiedzieć czemu mój komentarz z linkiem do mirrorów wcześniejsztch versji został usunięty ?
    czyżbyście współpracowali z NSA? ;p

  42. […] poradzić sobie z zaszyfrowanymi kontenerami, jeżeli nie pozna hasła. Jak zwraca uwagę Niebezpiecznik, Truecrypt przeszedł publiczny audyt kodu, który potwierdził brak umyślnie pozostawionych […]

  43. …a może to Microsoft wyłożył grubszą kaskę na promocję nowszych Winblowsów!? ;)

  44. zaraz.. a co to, truecrypt jest tylko amerykańskim projektem? jezeli projekt ogólnoświatowy to powinni w jakis sposób dac znać np na pewnym serwisie z którego korZystał pewien pan znany, ze były naciski i wyjaśnić sprawę. a sam tc powinien przejść w jakis tryb pokroju libreoffice.. (gdy zarzucili rozwijanie openoffice)…
    ja się tam bie znam, ale tak to powinni wyglądać…

  45. Ojć, zostaję przy 7.1a, ale cała sprawa wygląda smutno.

    Benjamin Franklin:
    Ludzie, którzy dla tymczasowego bezpieczeństwa rezygnują z podstawowej wolności, nie zasługują ani na bezpieczeństwo, ani na wolność.

    • Ten cytat to niby apropos kogo?

    • Marcin, każdego kto ma w czterech literach swoją prywatność.

    • @Nikodem oraz hiv. Nie podpierajcie swoich tez słowami, których najwyraźniej nie rozumiecie. Na samym początku trzeba by ustalić co kto rozumie pod sformułowaniem “podstawowa wolność”. Gdyby odnieść się do ostatnio sformułowanych w UE praw podstawowych człowieka to jest to m. in. prawo do poszanowania prywatności, ale to wcale nie oznacza, że wszystko co jest prywatne ma być dla każdego niewtajemniczonego niedostępne. Przykładowo gdyby służby państwowe przy kontroli toreb przechodniów, gdy w danym miejscu istnieje chociażby ryzyko zamachu lub jest to blokada drogi po jakimś napadzie, po usłyszeniu słów: “To są tylko moje rzeczy osobiste”, odstąpili od sprawdzenia co faktycznie się tam znajduje do to czego by to prowadziło? Za to gdyby w wyniku takiej kontroli weszli w posiadanie waszych roznegliżowanych zdjęć, na których widać wasze małe atuty i umieścili by je w ogólnodostępnym miejscu to już aktualnie podpada pod paragrafy.

      Podobnie w sytuacji, gdy Policja dysponuje metodami włamania się do mieszkania to już oznacza, że nie ma wolności w danym kraju? No nie żartujmy sobie. Po pierwsze trzeba wiedzieć, że wolność jednej osoby kończy się tam, gdzie zaczyna się drugiej. Po drugie gdyby istniały 100% pewne sposoby ukrywania informacji to przestępcy, szczególnie ci w białych rękawiczkach, mieli by o wiele łatwiejsze życie. Odrębną kwestią jest, że i tak zazwyczaj największym problemem w utrzymywaniu tajemnicy są osoby ze zbyt “długim językiem”.

    • @Martin
      “Po drugie gdyby istniały 100% pewne sposoby ukrywania informacji to przestępcy, szczególnie ci w białych rękawiczkach, mieli by o wiele łatwiejsze życie.”

      Ale my mamy łatwe życie! Allegro trochę daje ostatnio po dupie, ale póki co jest klawo :)

    • @Marcin
      Cytat a propos społeczeństwa, większości ludzi, niestety. Wszak teoria o naciskach na twórców TC jest możliwa (powiedziałbym – prawdopodobna), a dobrze jest pamiętać, że wszelkie służby specjalne powstają zasadniczo po to, aby chronić społeczeństwo. W dodatku większość ludzi, nawet jeśli narzeka na metody ich działań, to i tak nie zrezygnowałaby z zapewnianego bezpieczeństwa.

      Sama możliwość sprawdzenia prywatnych danych kogokolwiek przez służby publiczne nie jest jeszcze niczym złym. Problem pojawia się, gdy do inwigilacji nie potrzeba uzasadnienia lub potrzeba uzasadnienia jest fikcją. A także gdy nie ma adekwatnych konsekwencji dla takiej nieuprawnionej inwigilacji.

      TC zapewniał jednak pewne poczucie bezpieczeństwa danych, a fakt, że każdy może sobie zaszyfrować dowolne dane musiał chętnych do inwigilowania doprowadzać do szału.

  46. TrueCrypt mógł zostać ubity jak LavaBit… albo autorowi znudziło się grzebanie za darmo w przestarzałym kodzie (jakość kodu została dość krytycznie oceniona w audycie iSEC).

    • Gdyby się autorowi znudziło wydawanie nowych wersji to: po pierwsze zostawił by ostatnią stabilną wersję oraz betę (a może i alfę). Po drugie by się kulturalnie pożegnał pisząć że to koniec projektu bo się znudził. A on sam zajmie się bardziej pasjonującym zajęciem takim jak np. uprawa kartofli czy wędkowanie. A tu co mamy, starych wersji brak, kodów źródłowych brak ( nie licząc mirorów), nowa wersja – cripled/demo, zachęta do używania Bitlockera. Brakuje tylko jeszcze tekstu że autor TC zaleca win8.1:D W świadku deweloperów dobrego oprogramowania zabezpieczającego nie ma czegoś takiego jak przypadek.

  47. NSA maczała w tej sprawie swoje palce.

  48. Patrzac na to realistycznie, jaki jest nasz model ryzyka? Kto jest naszym przeciwnikiem i co przed kim chronimy?

    1. Zlodzieje – TC wystarczy nawet jesli ma jakis blad (na razie nic nie znaleziono w trakcie audytu kodu zrodlowego), wiec jesli ktos buchnie mi laptop to trace sprzet ale zlodziej nie ma moich danych… to samo dotyczy zwlaszcza napedow przenosnych.
    2. Konkurencja (szpiegostwo przemyslowe, itp) – kto wie co oni moga zdzialac, trzeba zalozyc ze maja fundusze na nieco ciekawsze ataki, wiec rzeczy typu cold-boot itp sa bardziej realne, choc sa i prostsze metody jesli chcesz aby ktos oddal Ci dane. TC powinien byc ok, tak samo jak BitLocker, LUKS + dm-crypt i spolka… przegrywasz jedynie jesli nie uzywasz zupelnie niczego do szyfrowania dyskow.
    3. Rzad i agencje bezpieczenstwa – jesli maja fundusze i sa na Ciebie uwzieci to po pierwsze masz wazniejsze problemy niz “dramat TrueCrypt’a”, po drugie jedyna pewna metoda aby nie wpasc z jakimis lewymi danymi to ich po prostu nie miec (dlugo mozna szukac na dysku czegos czego tam nie bylo i nie ma).

    No wiec przed kim sie bronicie? Moim zmartwieniem jest #1 i #2 powyzej, wiem ze przed #3 nawet gdybym potrzebowal to realistycznie nie jestem w stanie sie zabezpieczyc.

    Ide po popcorn, dzisiaj bedzie sporo czytania – glownie FUD ale moze cos dobrego sie trafi i byc moze za jakis czas dowiemy sie cos wiecej o powodach zamkniecia projektu i o tej dziurze (w TC/windows/inne?) ktora powoduje ze TC nie jest juz bezpieczny.

    • “Przed kim się bronicie?” przed permanentną inwigilacją aka 1984

    • Ad 1. To był audyt programistyczny – wyczytałem, ze kolejny miał być dotyczący kryprografii – może coś tutaj zostało wykryte.

    • jedyny słuszny komentarz.

    • J/w. Dla mnie najlepsze podsumowanie calej hecy miesci sie w zdaniu:

      ‘Rzad i agencje bezpieczenstwa – jesli maja fundusze i sa na Ciebie uwzieci to po pierwsze masz wazniejsze problemy niz “dramat TrueCrypt’a”’
      :D
      Nie wolno zapominac o starych, sprawdzonych metodach kryptoanalizy przy uzyciu narzedzi w rodzaju gumowej palki, balii z woda, czy kilku dob w izolatce o chlebie i wodzie (albo i bez nich, jak straznik “zapomni” o waszej celi).

      Dodatkowo-strach przed “seryjnym samobojca” rowniez pomaga odswiezyc pamiec.

  49. Prymitywne zagrywki aby dowodnic jaka to 7.1a byla bezpieczna. Historyjka dla frajerow.

  50. Czy Niebezpiecznik ma swoje kopie TC we wcześniejszych wersjach i może podać ich md5?

    • fa8f08013422a4eb68072668b3a73293 TrueCrypt.exe
      48538c19abe905d22e147b1c25d90880 TrueCrypt Format.exe
      ed5e4ce36c54f55e7698642e94d32ec7 truecrypt.sys
      370a6907ddf79532a39319492b1fa38a truecrypt-x64.sys
      5939393e926e3bbc421d24233ce4229f Language.pl.xml

  51. Nie, żeby coś, ale tak sobie myślę, że gdyby to była akcja NSA, to dawali by mniej powodów, żeby ich podejrzewać… Po co zmieniać wersję na 7.2? Można podmienić binarki 7.1a oraz hashe na stronie (ilu użytkowników sprawdzi, że zmieniły się hashe od czasu, gdy ostatnio pobierali tę samą wersję?). Po co pisać o problemach bezpieczeństwa, zamiast krótkiego komunikatu, że “developerzy nie mają czasu, więc projekt zostanie zamknięty za 6 miesięcy” (i wszyscy rzucą się ściągać wersję z backdoorem). Po co wreszcie publikować zmiany w kodzie, skoro (podobnie jak z 7.1a) audyt może porównać dekompilację ze źródłami?

    Może twórcy rzeczywiście wykryli błąd, który umknął i NSA i audytowi, ale nie publikują szczegółów, żeby nie umożliwić nikomu jego wykorzystania…?

  52. Autorzy TC nagle kończą z rozwojem projektu?
    Nie che mi się wierzyć…

  53. Dobrze że jest jeszcze polski chomik, tam można znaleźć stare wersje truecrypta :)

  54. Kryptolog Prof. Matthew Green, dokonujący audit TrueCrypta, powiedział w rozmowie telefonicznej:
    “Myślę, że to zrobił zespół TrueCrypta. Postanowili wyjść i to jest ich sposób…”
    Green powiedział, że on rozczarowany, że zespół TrueCrypt zakończył project tak nagle, jak to zrobili, i że ma nadzieję, że mogą być zebrane grupa wolontariuszy, aby kontynuować rozwój kodu TrueCrypta.

    krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/

  55. Ciekawa informacja z strony: http://pclab.pl/news57956.html :

    “Sytuacja jest jednak dość nietypowa, bo nie tak dawno TrueCrypt miał właściwie bezproblemowo przejść audyt bezpieczeństwa. Wskazuje się, że winny mógłby być trojan umieszczony w aplikacji przez hakera. Wskazywać miałoby na to zanotowanie nieznanego ruchu sieciowego od wersji 7.2. Zalecamy Wam, abyście nie pobierali do czasu wyjaśnienia sprawy najnowszej wersji tego oprogramowania. ”

    Czyli krótko mówiąc trzymajmy się wersji 7.1a, nie pobierajmy 7.2 i będzie git :D Ponadto skoro truecrypt jest open-source i twórcy nie będą chcieli go rozwijać, znajdzie się inna grupa, która weźmie to w swoje ręce i rzesza fanów truecrypta, którzy będą chcieli nadal go rozwijać, więc moim zdaniem truecrypt forever :D

  56. No to co? Wystawiamy starsze paczki TC na torrentach/forach/p2perach/hubach z odpowiednim “dodatkiem”? :)

    PS. Czekam na artykuł w bezpieczniku o alternatywnych rozwiązaniach.

  57. na Cricetus ;) sa rozne wersje dostepne :)

  58. Stawiam na koniec TC. Początkowo wyglądało to na typowe włamanie i podmiankę, ale to raczej nie to. Przekierowanie domeny, zmiana strony, usunięcie z wayback, usunięcie starszych wersji – za dużo jak na jeden raz. Stawiam na pieniądze: pojawił się kupiec mówiący “biorę ten interes”, możliwe że doszło to “delikatnego” zachęcenia do oddania projektu i już. Wystarczy zamknąć stronę, podmienić program i po TC. Mam na szczęście zapisaną gdzieś starszą wersję na czarną godzinę :-) Zapewne źródła też ludzie mają na dyskach, nie będzie problemu z odpaleniem truecrypt-new.org. Ale czy zaufanie wróci?

  59. Moje przypuszczenia.
    Po analizie wykryto błąd krytyczny – dotyczący nie tyle jakiejś funkcji a jakiegoś ogólnego założenia. Takiego, którego nie da się poprawić a dotyczy on wszystkich wersji.
    Nie podali szczegółów – bo narazili by użytkowników, może szczegóły pojawią się później.

    Opublikowali tylko informację – że aplikacja nie jest bezpieczna.
    7.2 w zasadzie służy do odszyfrowania danych – nie szyfrowania.
    To by też tłumaczyło instrukcję migracji danych do innych systemów.

    NSA itp – to bym włożył między bajki – to czy mi NSA zajrzy do komputera czy nie to mi wisi – gorzej jeśli moje dane obejrzy złodziej, konkurencja czy inne osoby.

  60. Biorąc pod uwagę jak długa przerwa była od wydania v7.1a, stawiam na to że zespół przestał się zajmować projektem, ktoś to kupił i już rozwija dalej w formie “closed”, a teraz wypuścili dla dotychczasowych użytkowników wersję deszyfrującą, żeby można było się przesiąść na coś innego.

  61. Przypadek wygląda na analogiczny do tego “dobrowolnie” zamkniętego serwisu bezpiecznego e-mail. Zdaje się, że w tym USA mają nawet jakieś prawo zabraniające eksportu zaawansowanych technologii kryptograficznych, może więc wzieli się za jego egzekwowanie? Widać ekipa TC musi być jakoś od USA uzależniona.

    • Ale tam nie ma żadnych “zaawansowanych technologii kryptograficznych”, są algorytmy od dawna dokładnie opisane w setkach publikacji.

    • @werggg, ale nie ma ładnego i wygodnego narzędzia żeby używać tych algorytmów. TrueCrypt był narzędziem mas, typu odpal i zapomnij.

    • w USA silna kryptografia jest uznawana za technologię wojskową, a tu żadna wolność nie działa…… w usa.

  62. Z 10 lat temu w moim mieście po bodajże roku od otwarcia wywieszono na Media Markt czarny banner “zamykamy”… Pracownicy chodzili ubrani na czarno, jakby była żałoba…
    Otóż to… było zamknięcie i przeceny… Na jeden dzień zamknęli, zrobili inwentaryzację czy coś, i znowu otworzyli.. Ale efekt dla maluczkich musiał być :D

    Tutaj może być identycznie. To może być jedna wielka akcja reklamowa dla TC.

    • Czyżby Zgorzelec ? ;)

  63. Dziwnie to wygląda aczkolwiek ja tam z wersji TC 7.1a nie zamierzam rezygnować na rzecz jakiś narzędzi M$ z dodatkami od służb.
    Dobrze mieć nawyk ściągania i przechowywania źródeł + instalek :D.

  64. starsze wersje sa na chomiku, ale nie mowcie nikomu

  65. Najbardziej w tej sprawie ‘śmierdzi’ to, że ludzie którzy popierali wolność i prywatność wydali nową wersję w której sugerują przejście na jedno konkretne rozwiązanie…

  66. Bardzo ładne zachowanie z strony dobreprogramy:

    “Uwaga!
    Twórcy udostępnili program wersji 7.2,z którą to rzekomo kończą rozwój programu. Oferuje ona jedynie opcje deszyfrowania zaszyfrowanych wcześniej danych. Do momentu upublicznienia audytu narzędzia zalecamy ostrożność i zachęcamy do korzystania z poprzedniej, w pełni funkcjonalnej wersji 7.1a. Użytkownicy, którzy mimo wszystko chcieliby przetestować nowe wydanie znajdą je w sekcji ‘Wszystkie wersje’.”

    http://www.dobreprogramy.pl/TrueCrypt,Program,Windows,12856.html

  67. Źródła 7.1 https://github.com/FauxFaux/truecrypt. Ktoś wie czy rzetelne?

  68. […] Linki dodatkowe: https://niebezpiecznik.pl/post/koniec-truecrypta-oficjalna-strona-przyznaja-ze-truecrypt-nie-jest-bez… […]

  69. Moim zdaniem lepiej trzymać się jeszcze starszych wersji TC.
    7.1a też może być trafna z uwagi na to, że to naturalny odruch aby sięgnąć po ostatnią dobrą… 😊

  70. Dla wielbicieli teorii spiskowych. Izrael wycofuje gotówkę z obiegu. TrueCrypt kończy działalność i poleca Bitlockera. Chiny nie chcą Windows 8.

  71. Ciekawostka:
    “The SANS Institute website has this set of presentation slides http://digital-forensics.sans.org/summit-archives/2010/18-lord-cryptanalysis.pdf by Jason A. Lord. Slide 23 is on TrueCrypt. Unlike other slides in the same presentation, this one doesn’t have any informative bullets, only a note that says “Removed at request of US Government”. I’ve wondered what to make of it.”

    Czyżby służby trzyliterowe coś wiedziały wcześniej?

  72. chłopaki przyjarali i tak to się kończy…

  73. Dobrze, że zawsze ściągam i zachowuję paczki .deb na dysku. Tak też było w przypadku 7.1a.

  74. Hejka.

    Ciekawe. ciekawe. A oto moje spostrzeżenia:
    1. Gdyby TrueCrypt został wykupiony, to nie sądzę żeby odsyłali do M$, chyba że kupcem jest M$ :-)
    2. Tłumaczenie że ‘is not secure’ może mieć wiele wymiarów. Bo nie koniecznie musi chodzić o szyfrowanie a np możliwość utraty danych z zaszyfrowanego wolumenu.

    Dla mnie padła jedna z legend. Szkoda. Ale ponieważ kod jest open, sądzę że pustka zostanie wypełniona :-)

  75. A ja zostane przy tc-play

    https://github.com/bwalex/tc-play

  76. A mnie najbardziej ciekawi czy dokończa audyt

  77. bb355096348383987447151eecd6dc0e truecrypt-7.1a-linux-x64.tar.gz

  78. Cóż trzeba działać na wersji 7.1a, albo poszukać następcy małe porównanie: Diskcryptora, FreeOTFE i TrueCrypt grzglo.jogger.pl/2011/09/04/diskcryptor-vs-freeotfe-vs-truecrypt//trackback/

    • FreeOTFE też zdechło, tylko bez takich fajerwerków.

      A patrząc na zachowanie fanów (a może deweloperów) DiskCryptora w komentarzach jakoś mi spadło zaufanie do tego produktu.

  79. Wszyscy pierdolicie równo. Poczekajmy może na jakieś oficjalne wyjaśnienie albo raport kompetentnych ludzi odnośnie tego co stało się z TC. Na ten czas stosujcie 7.1a lub przesiądźcie się na alternatywne rozwiązania (broń Was przed tymi z zamkniętym kodem). I przede wszystkim – nie otwierajcie ust (palców) jeśli nie znacie się na rzeczy, a w komentarzach na niebezpieczniku widzę przynajmniej 90% takich, którzy jedyną wiedzę jaką posiadają czerpią z niebezpiecznika.

  80. goście tak się zjarali, że dla śmiechu usunęli swój projekt :D

  81. Jak dla mnie tylko agencje wywiadowcze USA stać na tak szeroko zakrojoną akcję. Nic tylko czekać na fork projektu poza USA, ten kraj się stacza. Podobnie było z wypuszczeniem DES i SSH poza USA. Trzeba było skorzystać z wolności wypowiedzi, w ….. formie książkowej. Więc czekamy na forka.

  82. ciekawe że przepadła tylko binarka dla windowsa, za to został do niej podpis:
    http://sourceforge.net/projects/truecrypt/files/TrueCrypt/Other/
    ciekawe ile to jeszcze będzie wisiało.

  83. http://truecrypt.ch/

  84. Napiszę to, co na DP: Pisanie o teoriach spiskowych akurat ma sens… kiedyś mówiąc ludziom, że podsłuchują, zbierają dane, itd. ludzie pukali się w czoło. Teraz piszesz, że są superkomputery, że jest przetwarzanie live, itd. – też co niektórzy pukają się w czoło. A najgorsze jest to, że wypowiadają się (i zaprzeczają) osoby, które niewiele na ten temat czytają, wiedzą, słuchają, oglądają.

  85. Tak mnie się tylko po łbie kołacze…

    Ktoś rozważał w ogóle możliwość że całość działań (kompleksowe acz proste zmiany kodu, “niewyjaśniające niczego” wyjaśnienia powodów, przekierowanie strony, brak jakichkolwiek dodatkowych komentarzy, umieszczona w tekście “precyzyjna inaczej” data zakończenia wsparcia) wygląda prawie jak “Dead Man Switch” w działaniu?

    • To całkiem popularna teoria, dead man’s switch albo warrant canary.

      Tylko jak mieć jakąś pewność, czy to czy coś innego? Może ludzie od TC w końcu się odezwą, z drugiej strony, jeśli się nie odezwą to też nie jest twardy dowód na to, że ich dopadli tajniacy.

      Teraz byłby idealny moment dla NSA aby podstawić swoich ludzi jako nowych deweloperów, “ratujących TC przed upadkiem” i wydawać wersje z backdoorami w wydaniu binarnym (bo wiadomo że praktycznie nikt nie sprawdza, czy binarki faktycznie zgadzają się z opublikowanymi źródłami).

  86. Trochę uspokojenia:
    https://www.grc.com/misc/truecrypt/truecrypt.htm

  87. Podsumowowanie moje:
    – Ktoś chce siać FUD, jeśli 20% userów TC zrezygnuje i użyje czegoś gorszego, dla wielu organizacji jest to zwycięstwo.

    – Nowa wersja jest faktycznie podpisana starym kluczem deweloperskim (sprawdzone). Ale ten klucz ma tylko 1024 bitów! Przeliczając zdolność obliczeniową na kasę NSA dysponuje odpowiednimi środkami by jeden klucz 1024 bitowy łamać na tydzień lub miesiąc. Mogli to spokojnie obsłużyć. Rząd np. Chin pewnie też.

    – Jeśli istniały niezależne implementacje (cryptsetup) potrafiące otwierać kontenery TC (czyli było to np. rzetelne aes-xts-256) to jedyne ataki jakie mogli wykryć na TC to side channel, nie czyszczenie czegoś w ramie, itp. Nie sądzę by sam algorytm był choćby lekko złamany. Audyt programistyczny się odbył, kryptograficzny częściowo przez w/w założenie – też.

    So: Nie siać FUDu, używać i czekać. Używać zgodnie z przeznaczeniem swoją drogą.

  88. Witam! Mam problem z zainstalowaniem TrueCrypt’a na moim komputerze(każda wersja od 7.0a do 7.2). Przy próbie włączenia instalatora zawsze pojawia się błąd “True Crypt Error: This installer file does not contain any compressed files. To create a self-extracting installation package (with embedded compressed files), run: “TrueCrypt Setup.exe” /p”. Ktoś? Coś? Windows 7 HP x64.

    • http://bit.ly/SjAo1c

    • @BloodMan… Tyle lat a to wciaz cieszy ;D.

      Pozdrawiam.

      Andrzej

    • Nie uwierzycie, ale na to wpadłem znacznie wcześniej i niestety żadne z tych rozwiązań, które tam znalazłem mi nie pomogło. I właśnie dlatego napisałem tutaj.

    • No to możliwe inne przyczyny:
      1. brak miejsca na C: (lub tam gdzie jest %TEMP%) lub brak dostępu – objawiałoby się to też przy próbie instalacji innego softu.
      2. wirus, robal, etc. infekujący pliki – porównaj sume kontrolną twojego .exe z wersją oficjalną
      3. lub nadgorliwy antywirus, avast?
      4. nie mam pojęcia, a próbowałeś pod innym systemem z TYM plikiem instalacyjnym?

    • 1. ~25 GB wolnego miejsca
      2. Sumy kontrolne się zgadzają(program pobierałem z różnych źródeł z poprawnymi sumami).
      3. ESET. Nic nie wykrywa. Po wyłączeniu ochorny to samo.
      4. Spróbuję na szybkości postawić Windowsa XP na wirtualnej maszynie i sprawdzę.

  89. Aktualizacja by sie przydala panowie…

    http://steve.grc.com/2014/05/29/an-imagined-letter-from-the-truecrypt-developers/
    https://twitter.com/SGgrc/status/472205118197071873
    https://twitter.com/SGgrc/status/472182824296910849
    https://www.grc.com/misc/truecrypt/truecrypt.htm

    Wyglada na to ze kolesie poprostu pozegnali sie z projektem w taki dziwny sposob. Po ponad 10 latach maja juz dosc. Ich przeslanie wyglada mniej wiecej tak:

    http://www.youtube.com/watch?v=uxCGSWlq2Po

    Dodam tez ze nadal nikt nie zajal sie sprawa wlamania na forum avasta:

    E-mail:

    “Dear AndrzejL,

    The AVAST forum is currently offline and will remain so for a brief period. It was hacked over this past weekend and user nicknames, user names, email addresses and hashed (one-way encrypted) passwords were compromised. Even though the passwords were hashed, it could be possible for a sophisticated thief to derive many of the passwords. If you use the same password and user names to log into any other sites, please change those passwords immediately. Once our forum is back online, all users will be required to set new passwords as the compromised passwords will no longer work.

    This issue only affects our community-support forum. No payment, license, or financial systems or other data were compromised.

    We are now rebuilding the forum and moving it to a different software platform. When it returns, it will be faster and more secure. This forum for many years has been hosted on a third-party software platform and how the attacker breached the forum is not yet known. However, we do believe that the attack just occurred and we detected it essentially immediately.

    We realize that it is serious to have these usernames stolen and regret the concern and inconvenience it causes you. However, this is an isolated third-party system and your sensitive data remains secure.

    All the best,

    Ondrej Vlcek
    COO AVAST Software”

    Forum nadal jest offline.

    Pozdrawiam.

    Andrzej

  90. “WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues”
    “not secure as” => NSA
    TrueCrypt is NSA

  91. truecrypt.ch
    bedzie fork

  92. Ciekawostka (z komentarzy na blogu Briana Krebsa):
    From the “new” website, in red letters:
    TrueCrypt is not secure as…

    Now, with added emphasis:
    TrueCrypt is
    N ot
    S ecure
    A s…

    Wow, przekonalo mnie to….

    • My (czyli: Katolicka Unia Równości Wyznaniowej Ateistów) oraz nasi przyjaciele (Dystrybutorzy Uniwersalnych Produktów Amway’a) też zauważyliśmy tę ukrytą wiadomość i jesteśmy przerażeni.

  93. Usunięto starsze wersje…
    Dlatego nie znoszę tych wszsytkich chmur, wifi, aktualizacji online i całego tego streamingowego dziadostwa.
    Offline i własny backup to podstawa. A online tylko jako dodatek, nie odwrotnie.

  94. @bystryy 2014.05.29 11:58 | # |

    “A zupełnie poważnie, to 8 kubitów mieli już w 2007 r. Podobno 20 kubitów wystarczy do złamania dowolnego szyfru metodą brute force.”

    Dowolnego prócz szyfrowania kwantowego, bo próba odczytu takiego szyfru zmieniłaby jego zawartość.

  95. Podobno szyfrowania z kluczem jednorazowym nie da się złamać.

  96. Na szczęście mam gdzieś na dysku jeszcze “starą” wersję.

  97. 2013: rajd na Freedom Hosting, złośliwy iframe
    2014: Heartbleed i TrueCrypt
    2015: ?… złamanie TOR albo PGP, odszyfrowanie transakcji BTC?

    I don’t want to live on this planet anymore.

  98. Jaki brak wsparcie dla xp ?
    [HKLM\System\WPA\PosReady]
    “Installed”=dword:00000001

    …..odnośnie TC proponuje rzucić okiem co ciekawego dzieje się w pamieci , oraz zamiast grzebać w źródłach pobawić sie trochę szerzej inżynierią wsteczną :)
    Tak na marginesie…..uważacie że AES daje wam dobry poziom bezpieczeństwa ? :) może problem tkwi w innej materii np w generowaniu liczb pseudolosowych?……

  99. W zeszłym roku zniknął inny podobny projekt (FreeOTFE) – przypadek?

  100. A moim zdaniem może być związek pomiędzy końcem wsparcia XP a TC. Możliwe że dostęp do dokumentacji windy 7/8+ (takiego niskiego poziomu) wymaga zakupienia w cholere droższej licencji developerskiej od M$. Z drugiej strony coraz bardziej nadchodzi GPT i EFI … można mieć dość czyli tzw. ręce opadają…

  101. Ciekawostka wskazana przez Karla na GOTD. W komunikacie na Sourceforge zaszyta (zaszyfrowana?) została informacja. Biorąc pierwsze litery z tekstu:
    Using TrueCrypt is not secure as it may contain unfixed security issues
    wychodzi taki ciąg:
    uti nsa im cu si
    Ten ciąg należy wrzucić do translatora Google (z łaciny).

    • dobre

    • Wie ktoś co to znaczy? Bo tłumaczenie z g.translate jest dla mnie trudne do zrozumienia:
      If I wish to use the NSA
      Jeśli chcesz korzystać z NSA

    • Zastanawiacie sie co oznacza “uti nsa im cu si” – “Jeśli chcesz korzystać z NSA?” Wydaje sie bardzo proste, aczkolwiek zalatuje teoriami spiskowymi ;). Mozna to zdanie potraktowac jako ostrzezenie – uzywanie obecnej wersji TC 7.1 jest niebezpiecznie ze wzgledu na to program ten nie zabezpiecza przed NSA (np. backdoor w binariach). Poniewaz bezposrednie ostrzezenie nie bylo mozliwe uzyto szyfru. Wiem, wiem… iluminaci, Roswell itp ;)

  102. Deweloperzy ze Szwajcarii postanowiła przejąć projekt ” TrueCrypt must not die”
    http://truecrypt.ch/

    • A skąd wiesz, że to nie NSA ;]

  103. Hah, http://www.etcwiki.org/wiki/What_happened_to_Truecrypt_-_May_2014
    Szczególnie punkt 2, Unappreciated.

    No to jak dla mnie nie ma sie co dziwić. Wiadomo, ze z datków devom ciężko wyżyć, niewazne jaki by projekt nie był. Wiadomo też, że co i rusz ktoś zarzucał devom TC, że zamieszczali backdoory, współpracowali z agencjami, etc. A tu nagle 62 tys. dolarów się zebrało ot tak na audyt mający sprawdzic, czy oni na pewno nie zaaplikowali w TC jakiegoś syfa. No ja na ich miejscu bym się delikatnie rzecz biorąc wku***ł. Wymowa i sposób zamknięcia działalności jak dla mnie pasuje do tego scenaruisza.

    • Skoro nikt nie zna twórców, skoro nikt nie ma z nimi kontaktu to skąd pewność, że nie mieli za robotę kasy? Skoro było tylu chętnych na audyt to znaczy, że jeszcze większa rzesza używa�??a ich softu, a przy sporej liczbie statystyka mówi, że jakiś tam procent świadomych userów coś kapnął co mogło przekładać się na jakieś konkretniejsze sumy.
      BTW gdyby o mnie chodziło to bym napisał wprost “ej ludziska ogarnijcie się” i następną wersję zrobił płatną (mając audyt, że są bezpieczni mogli – gdyby chcieli – żądać naprawdę ciekawych sum).

  104. Nie zdziwie się, jak za jakis czas to samo spotka sieć TOR – zniknie w tajemniczych okolicznosciach……..

  105. “WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues”

    Wezmy pierwsze literki tego pierwszego zdania na czerwono…
    Zalozmy, ze to tresc w lacinie, wuti nsa im cu si >>> angielski: If I wish to use the NSA (google translate). Oczywiscie, zbieg okolicznosci.

    • Dobre ! “uti nsa im cu si” -> łacina na polski -> “Jeśli chcesz korzystać z NSA”

    • A jak weźmiemy pierwsze litery, to zobaczcie: WUTin sai McUsi”. nawet bez większego kombinowania: “Putin say: macusi”. Niech zwolennicy teorii spiskowych sprawdzą, czy w jakimś narzeczu afrykańskim “macusi” to nie jest coś związanego z kryptonimem tajnej akcji wojskowej albo tajemniczym składnikiem Ciateczek Babuni.

    • Prawdopodobnie chodzi o Mari Mancusi http://en.wikipedia.org/wiki/Mari_Mancusi i dalej Blood coven więc raczej bym stawiał nie na NSA lecz na ziły zła.

    • Chyba jest bardziej finezyjnie. “Mari Mancusi” od razu mi się układa w “Marilyn Manson”. No i mamy: Putin uruchomił procedurę wykorzystania uśpionych sił zła do pracy dla NSA :-)

      Trochę się dziwię: minęło sporo czasu od zniknięcia TC, a dalej ani widu ani słychu.

  106. czy truecrypt od jakiegoś czasu nie należy do microsoftu? może stąd te namawiania na migracje do mało bezpiecznego bitlockera?

  107. nie mam instalki swojego starego(7.1a)TC
    ale porównałem swój główny plik binarny TC które mam już zainstalowane hohoho dawno temu jeszcze z przed czasów audytu
    moja wersja TC linux x86 gui

    md5sum /usr/bin/truecrypt
    fe78d730f7c57c0365ba2c57f60c7194 /usr/bin/truecrypt

    pobrane instalki z http://www.grc.com/misc/truecrypt/truecrypt.htm , truecrypt.ch , github.com/DrWhax/truecrypt-archive i rozpakowane pokazują takie same sumy z tych samych plików binarnych

    • A co to za problem podrobić MD5? :>

  108. @Jake
    Zgodzę się, że XOR może być w 100% bezpieczny, ale są to ograniczone przypadki:
    1.nie wyobrażam sobie szyfrowania plików o rozmiarze 1KB, ze względu na bardzo długi klucz/hasło
    2.Klucz dla dużych plików musiałby być bardzo duży, więc rodzi się problem z przekazaniem go, a tym bardziej nie może to być coś co jest tylko w głowie
    3.Dla dużych plików/długich kluczy prawdopodobieństwo otrzymania sensownej zawartości dla całego tekstu, mimo błędnego klucza maleje co daje szanse na złamanie brute forcem
    4.Długość tekstu/pliku który się rozszyfrowuje jest informacją o długości klucza co jest cenna wskazówką przy brute force

    • 1-2 a także 4: Można użyć algorytmu pseudolosowego a klucz byłby po prostu seedem używanym do szyfrowania/deszyfracji – “prawdziwy” klucz byłby generowany pseudolosowo w locie, podczas generacji klucza dzięki czemu mógłbyś zapamiętać klucz nawet do 20gb pliku.
      3. W wypadku tekstu, może – ale wtedy skąd pewność że to jest “prawdziwa” wiadomość? Dla plików binarnych, praktycznie zawsze otrzymasz uszkodzony plik, chyba że użyjesz poprawnego klucza.

    • Boshe… podczas generacji klucza = podczas szyfracji/deszyfracji. Brain fart.

    • Wtedy to już nie jest `XOR’ z OTP tylko AES-CTR np… (jakoś musisz wygenerować ten pseudolosowy klucz.). To się robi prawie równoważne do AES-CBC + łatwiejszy bit flipping jeśli nie użyciesz HMACa.

    • Tyle że mój algorytm jest inny: Hasłem jest np. 200 – zwykły numer, który jest seedem, potem algorytm generuje pseudolosowe liczby z zakresu 0-255 i szyfruje każdy bajt danych w “wiadomości” poprzez bajt_danych xor wylosowana_liczba, deszyfracja odbywa się podobnie.

      Weźmy np. wiadomość “Hello World”. Hasłem jest 200, więc algorytm tego generatora pseudolosowego wylosował poniższe liczby:
      242, 126, 57, 38, 152, 65, 109, 146, 195, 210, 0, 29

      Teraz każdy znak jest szyfrowany używając tych liczb jako klucza. Nie podam tego co wyjdzie, ponieważ będzie zawierać znaki niedrukowalne i wordpress tego nie łyknie, więc podam wartości liczbowe:
      242, 54, 92, 74, 244, 46, 77, 197, 172, 160, 108, 121

      Jeśli się do odszyfrowania użyje innego seeda, wyjdzie crap. A zaszyfrowany plik będzie wyglądał jak losowe dane co z punktu kryptograficznego jest bardzo dobre gdyż nawet nie pomyślą że to może być coś ważnego, a jeśli się to połączy ze steganografią i ukryje w zdjęciu kotka…

    • Właśnie opisałeś AES-CTR.

    • 1 i 2. 1k to dużo? Jak Cię nie stać to idź do biedronki ;-)
      3. Rośnie!
      4. Żadna wskazówka. Mogę Ci jawnie powiedzieć jakiego algorytmu używam i to Ci nic nie da.

      Umówmy się tak: wygeneruję Ci prosty 1k tekst, zaxoruję i jak go złamiesz bruteforcem to stawiam piwo. Nawet Ci samochód osobowy piwem wypełnię.

  109. Co ciekawe Arch Linux (jak wszyscy wiemy słynący z najnowszych pakietów) obecnie dostępną ma wersję 1:7.1a-2.

    SHA1SUM:
    fcf428cbab1bcb8f98c446239a5376a47342fc7e truecrypt-1:7.1a-2-x86_64.pkg.tar.xz
    MD5SUM:
    31b9b8f0b3e5ac0d0c49459d771130d4 truecrypt-1:7.1a-2-x86_64.pkg.tar.xz

  110. Oj tam, oj tam…

    True crypt nie jest bezpieczny właśnie dlatego że jest nie do złamania. Jak się NSA albo zaprzyjaźnione z nimi służby za ciebie wezmą, to lepiej dla ciebie żebyś miał bit-lockera do którego mogą sobie zajerzeć od niechcenia, albo najlepiej wogóle dysku nie szyfrować. Bo jak zobaczą True-crypt’a to będą musieli zastosować kryptoanalizę gumowej pałki – jak będzie trzeba to oskarżą cię o terroryzm tylko po to żeby mogli poucinać ci place – bo jeżeli jesteś niewinny, to nie masz się czego bać, więc czemu nie chcesz podać hasła?

  111. Jest jeszcze jedna możliwość, niestety przykra. Jeśli rzeczywiście do tej pory był audyt programistyczny, a kryptograficzny dopiero miał się odbyć, to nagłe zniknięcie – a właściwie wymazanie – TC z Internetu może sugerować, że w kodzie było coś, co autorzy chcieli ukryć. Do tej pory im się udawało, teraz audyt mógłby to pokazać.

    • W sumie to możliwe, albo np. znalezienie dowodów że jeden lub więcej z grupki dev był na etacie…
      Odnośnie budowania zaufania na podstawie: “Przypomnijmy też, że do tej pory TrueCrypt miał opinię ”nie do złamania” — są udokumentowane przypadku, kiedy FBI (często pracujące jako podwykonawca NSA) nie było w stanie poradzić sobie z rozszyfrowaniem dysków zaszyfrowanych TrueCryptem.” to patrząc na to co jest (np. że nie ma oświadczenia w stylu: póki co, używajta se, ludziska, wersji 7.1a albowiem zaprawdę powiadamy Wam że NSA se zęby na niej połamało), to bądźmy szczerzy:
      Sam, na miejscu jakiegoś pierdzistolka w NSA zrobiłbym zebranie i zapodał: chopy, i dziewczątka, mamy backdoora, więc trza zrobić tak, coby różne Snowdeny, Wikiprzecieki, terrorysty, kułaki, cykliści i inna antykołchozowa swołocz lgnęła do tego jak do miodu i używała obowiązkowo. Dlatemu, zaprawdę powiadam wam, zróbta wyciek jaki że Stasió Pierdziszewski sprzedający dane banku Maruszeczko i Synowie (byle nie za dużego), slusznie czy niesłusznie przeszukan był. We wyniku tej akcji ma wyciec info że jasne jak wół o poranku jest to, że złamać tego nijak nie możemy.”

      Na honeypota niby, nie?
      Dlatego bardzo ciekaw jestem wyniku auditu, zakładając że mniej lub bardziej niezależny będzie…

    • Tylko ze nie. Przeciez nie znikna kodu ktory juz u ludzi jest. Weic jakby chcieli cos ukryc, to troche glupi sposob.

  112. Jakoś ostatnimi czasy, tuż przed zniknięciem projektu, ten prezydent, co ma oba kernele, ogłosił dalszą walkę z terroryzmem. Dziwny zbieg okoliczności?

  113. Audyt, audytem…
    …ale… jak ufać oprogramowaniu, które nie wiadomo przez kogo jest pisane i nie wiadomo w jakim celu?

    Kto z Was wie ile osób stoi za kodem TrueCrypta i kto im za to płacił?

    • Źródła są dostępne weryfikacja czy binarki podchodzą ze źródeł też. Niech źródło mowi za siebie, a nie to, że nie znamy nazwisk autorów. Nazwiska autorów openssl były znane.

    • No i co Ci źródło mówi?

      …audytu jakoś nie udało się na razie skończyć…

    • ” jak ufać oprogramowaniu, które nie wiadomo przez kogo jest pisane i nie wiadomo w jakim celu?”

      A jakie ma to znaczenie kto to pisał? Jak dla mnie, to mogła to pisać 90 letnia babcia z nudów na emeryturze :) Wolisz ufać zamkniętemu, płatnemu oprogramowaniu, bo jest tam jakieś nazwisko gościa, którego i tak nigdy na oczy nie widziałeś? To że ktoś bierze kasę za program nie znaczy, że jest on idealny i pozbawiony backdoorów, a chyba jednak znacznie łatwiej je wypatrzyć w źródle, tak?

      “No i co Ci źródło mówi?”
      Na tyle na ile znam się na krypto, wiem, że program robi to co ma robić. I nawet bez audytów, jestem pewny, że wiele osób znających się na rzeczy te źródła analizowało…

    • Gdyby truecrypt słał na jakiś serwer hasła które wpisujesz – dawno byśmy wiedzieli. Tyle audyt sprawdził. AES i jego tryby działają dobrze bo inaczej by się nie dało share’ować kontenerów. Zostaje jeden temat – jak są generowane liczby losowe.

      To jest w Random.c, ma ledwie 772 linie. Fakt – jest nieco przekombinowane, ale wygląda poprawnie.

    • “jak ufać oprogramowaniu, które nie wiadomo przez kogo jest pisane i nie wiadomo w jakim celu?” , nie rozumiem twojego podejścia. autorzy chcieli użytkownikom windowsa to, co w linuxie jest już od dawna. a że wyszło lepiej niż bardzo dobrze, zrobili też porta na linuxa i macosa :)
      z drugiej strony jak można ufać windowsowemu bitlockerowi, skoro twórca bez żadnych haseł, kluczy, czegokolwiek jest w stanie to odszyfrować po uiszczeniu odpowiedniej opłaty za pomoc? skoro tobie może pomóc w ten sposób, to może “pomóc” każdemu, np. NSA. tak nawiasem NSA bardzo nie lubi truecrypta, chyba nie muszę tłumaczyć dlaczego :)

      jeśli chodzi o pazerność różnych wielkich instytucji, ciekaw jestem kiedy twórcy oprogramowania P2P wreszcie zaimplementują protokół komunikacji z pośrednikami. Proof of concept już od dawna jest, nazywa się Ant (nie chodzi o odpowiednika gnu make!), który jest napisany w javie. piszę o tym, bo roszczenia różnych instytucji do ochrony “wolności” czy “praw autorskich” już dawno przekroczyły granice rozsądku.

    • …naprawdę wierzycie w “darmowe (wystawne) obiady”?

    • Tak. Inni też wierzą – czego dowodem jest PD, GNU, itd.

    • @Stonek
      Kod źródłowy jest otwarty, czyli każdy może zajrzeć i zweryfikować czy program robi to co ma robić. Zapewniam Cię, że są setki tysięcy ludzi, którzy nawet hobbistycznie lubią sprawdzać tego typu rzeczy, analizować kod i szukać dziur w zabezpieczeniach. Twierdzenie, że nie istnieje nic takiego jak “darmowy obiad” implikuje fakt, że każda aplikacja open-source non-profit ma w sobie backdoory, włączając w to testowy kalkulator napisany w Qt przez studenta pierwszego roku i udostępniony za darmo w internecie – ciekawe ile tam musi być backdoorów NSA.

  114. Może ktoś się wypowiedzieć, czy darmowy program VeraCrypt bazujący na Truecrypt a modyfikowany przez IDRIX jest bezpieczny do użycia? (pospekulować czy np rząd im kazał umieścić backdoory?)

    • Przeciwko rządowi nic nie robię, więc nie obawiam się, że odszyfruje mój dysk. Szukam natomiast alternatywy a ta wydaje się sensowna. Dzięki za link.

  115. Dla poszukiwaczy wcześniejszych wersji:
    http://www.oldversion.com/windows/truecrypt/

    Ostrzegam: nie pobierałem, nie sprawdzałem, ale wydaje się OK :)

  116. TrueCrypt.ch – tutaj można pobrać jakieś binaria. Wygląda na jakąś dziwną kontynuacje. Ciekawe czy binaria są bezpieczne…

    • Instalka dla windows jest identyczna jak ścągnięta przeze mnie ze strony projektu w 2012 roku. Jak z resztą to nie wiem.

  117. Cały czas nie rozumiem po co deweloperzy TC mieliby usuwać archiwalne wersje strony?

    • “But TrueCrypt, which we love, has been an obligation hanging over our heads for so long that we’ve decided to not only shut it down, but to shoot it in the head.”

    • @BloodMan – nie wiem czy wiesz ale na wszelki wypadek powiem: to nie jest prawdziwy list…

    • Wiem, i co w związku z tym?
      Jakby nie było, brzmi sensowniej niż histeryczna treść obecnej strony www TC ;)

    • @polak – a gdzie jest to napisane?

  118. http://truecrypt.ch/

  119. //znalezione w sieci

    If you take just the first letter of each word, except the word “WARNING”:

    Using TrueCrypt is not secure as it may contain unfixed security issues
    you get this:

    uti nsa im cu si
    It’s Latin that roughly means:

    Unless I want to use the NSA
    So, the full message seems to be this:

    WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues, unless I want to use the NSA
    Which is English that roughly means:

    Don’t use TrueCrypt because it is under the control of the NSA

  120. Przed zaszyfrowanym zapisem jest “Warning”, dalej “uti nsa im cu si – jeśli chcesz korzystać z NSA”…
    kryptograficznie, biorąc pod uwagę treść strony przerzucającej użytkowników na płatnego Bitlockera to! przesłanie może byc takie: “Warning! jeśli chcesz korzystać z NSA, sposób masz poniżej, czyli Bitlockera wysyłającego hasła na serwery Micorsoftu/NSA!” Może to chce przekazać twórca

  121. […] po ostatnich perypetiach ciężko jest zaufać, Bitlocker — jak się właśnie dowiedzieliśmy — od 2010 roku […]

  122. Czy ktoś z Was analizował czy wersje na https://truecrypt.ch/ są działającymi/bez “dodatków” ?

    • Również proszę o informacje.

    • Nikt nie jest w stanie potwierdzić oryginalności tego rozwiązania, nawet, jeśli ktoś powie, że jest ok, to nie będzie wiadomo, na ile to jest rzetelna informacja…

  123. […] Jeszcze do niedawna bez wahania odpowiedzielibyśmy TrueCrypt, ale programiści stojący za tym projektem zrobili psikusa i w dość widowiskowy sposób zrezygnowali z rozwoju tego oprogramowania, twierdząc, że nie jest ono już bezpieczne i odsyłając do konkurencji – szczegóły tutaj: https://niebezpiecznik.pl/post/koniec-truecrypta-oficjalna-strona-przyznaja-ze-truecrypt-nie-jest-bez… […]

  124. tu jest następca truecrypt: ciphershed kropka org/
    a tu drugi: veracrypt kropka codeplex kropka com/
    który lepszy? dopiero się wczytuję :/
    osobiście zacząłem używać tego drugiego. tak ludziki sugerują na forach
    zobaczymy
    algorytm aes two fish jedzie mi jakies 160-180 MB/s wiec nie jest tak źle
    linux lepszy od windy. ALE podejrzewam, że i tam są już w jądrze zaimplementowane rozwiązania odpowiednie, żeby oprawcy, w imię walki z terroryzmem, mogli mieć dostęp do kompów z linem
    generalnie jeśli to wszystko prawda …. no to wkroczyliśmy w nowy etap. Dla mnie to już jest śmierć pewnego porządku, wolności.
    teraz trzeba współpracować, tłumaczyć się. Na wszelki wypadek, a nóż ktoś coś przeskrobie.
    terroryzm? pedofilia? – to tylko preteksty od lat, po to żeby móc inwigilować zwykłych obywateli. Tak to się zaczyna. Najpierw jakis paru terrorystów, a potem szary obywatel. Po co? Wystarczy, że ktoś będzie miał nieprzychylne zdanie na temat obecnie panujących polityków. usa/europa, nieważne, zasada ta sama.
    W przyszłości będzie totalna inwigilacja przez rządy lub korporacje. Oczywiście dla dobra ludzi.
    Jak dawniej w literaturze sci-fiction lub filmach :-( Miałem nadzieję, że to tak szybko nie nastąpi…
    Tylko pytanie, co można zrobić??
    Ja będę używał jakiegoś nowego programu, zobaczę.
    Aha. nie jestem terrorystą. Po prostu żeby kogoś przeszukiwać/szpiegować trzeba miec jakeis solidne podstawy ku temu. a nie, że będzie mozna kazdego inwigilować ot tak.
    A dlaczego jeżeli ktoś ma parę piratów to nie ma szyfrować? Jak kogoś nie stać żeby wszystko kupować? Ceny niech obniżą, a nie… Oczywiście ja nie jestem piratem, teoretyzuję tylko.
    Ciężkie czasy nadciągają :/
    Wypowiedzcie się konstruktywnie na ten temat drogie ludziki. Póki możecie.
    Chwała Wielkim Słowianom!

  125. Przeczytałem wszystko i dochodzę do wniosku, że najlepszym zabezpieczeniem danych jest….
    MŁOTEK!
    TAK ZWYKŁY MŁOTEK, KTÓRYM W RAZIE POTRZEBY WALISZ W NOŚNIK DANYCH BY NIKT GO NIE ODCZYTAŁ I PO SPRAWIE.
    OCZYWIŚCIE DRUGI TAKI SAM NOŚNIK Z KOPIĄ DANYCH MASZ SCHOWANY W ŚRODKU AMAZOŃSKIEJ DŻUNGLI ZABEZPIECZONY PRZED MROZEM I WILGOCIĄ :))))

  126. Słyszałem, że wersja 7a, to ostatnia bezpieczna wersja.
    A w kolejnych wersjach bitdefender, współpracują już z służbami, i mają backdory do rozszyfrowania partycji. :-)

    • Popularny fork z literką V ma podobno backdoory dla służb. Sam usłyszałem takie stwierdzenie przy pewnej rozmowie ze służbami. Czy to prawda kto to wie?

    • Nie wiem.

Odpowiadasz na komentarz Jan Kowalski 01

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: