TrueCrypt

TrueCrypt – скандалы, интриги, расследования

05.07.2014

Только я запланировал в конце мая написать заметку об успешном окончании первого этапа аудита TrueCrypt, как стало известно, что официальный сайт проекта закрылся, сам проект закрылся... Эта новость прогремела как гром среди ясного неба.

Что же произошло? Что делать дальше? Стоит ли искать аналоги TrueCrypt, и какое ПО можно считать полноценной альтернативой? Обо всем этом и поговорим.

Немного предыстории. TrueCrypt – это бесплатное криптографическое ПО с открытым исходным кодом, позволяющее создавать как файловые криптоконтейнеры, так и шифровать целые разделы жестких дисков, съемные носители, и даже ОС.

Читатель, если ты в курсе всех недавних событий вокруг TrueCrypt и тебе интересен лишь вопрос альтернативы этого ПО, то можешь переходить ко второй части статьи.

Постоянные читатели сайта знают, что я уже публиковал подробные инструкции по этой программе:

  1. TrueCrypt. Базовый уровень
  2. TrueCrypt. Продвинутый уровень

Так вот, ТруКрипт практически всегда был лидером в данной области, можно сказать эталоном. Им пользуются и преступники всех мастей, и хакеры, и всяческие шпионы, и диссиденты, и информаторы, и простые обыватели, и бизнес-сфера, и многие-многие другие категории пользователей, которым так или иначе требуется тщательно зашифровать информацию.

И однажды, после разного рода разоблачений АНБ от Сноудена и т.п., пользователи решили провести полный аудит этой программы: привести в порядок лицензионное соглашение (в нем были какие-то нюансы, которые, напр., не позволяли включать TrueCrypt в открытые ОС семейства Linux и BSD, в общем, де-юре лицензия была не совсем свободная), проверить аутентичность бинарных файлов, хранящихся на официальном сайте (вдруг сайт уже давно взломан), и, главное – проверить исходные тексты загрузчика и драйвера, и провестиполный анализ кода, криптостойкости алгоритмов шифрования и т.д.

Также многих пользователей смущала абсолютная анонимность разработчиков сего замечательного ПО.

Под это дело замутили краудфандинг, собрали нужные суммы (даже сверх того), наняли независимых аудиторов и запустили этот самый аудит.

Начальный этап аудита прошел успешно – аутентичность бинарников была подтверждена.

Позже (это произошло совсем недавно) первый этап был полностью завершен. Его вердикт – в TrueCrypt нет никаких бэкдоров. Также не было выявлено никаких серьезных проблем, которые могли бы поставить под сомнение безопасность использования TrueCrypt. Были обнаружены лишь незначительные уязвимости (это связано, в том числе и с тем, что последняя версия программы была выпущена в феврале 2012 года, а на дворе уже 2014), которые абсолютно не критичны.

Все это очень порадовало сообщество! Но радость длилась недолго...

"Использовать TrueCrypt небезопасно, проект закрывается!"

Данная новость многих повергла в шок и ступор. Как так? Что случилось? Первые несколько дней с момента закрытия сайта все были в полном неведении. Все произошло так неожиданно, странно и "мутно".

Сначала был закрыт официальный сайт truecrypt.org. При его посещении происходит редирект на страницу http://truecrypt.sourceforge.net/ (это тоже своего рода официальная страница, только на проекте sourceforge.net).

На этом сайте говорится, что использовать ТруКрипт небезопасно, поддержка прекращается с мая 2014. А создана эта страница только с одной целью – помощь в миграции с TrueCrypt (ВНИМАНИЕ!!) на BitLocker! Собственно на этом сайте и размещена инструкция по переходу на БитЛокер, а также новая "урезанная" версия TrueCrypt 7.2. Данная версия программы позволяет только дешифровывать имеющиеся криптоконтейнеры для последующего переноса данных в незашифрованную область или в другие шифроконтейнеры и диски.

Все ссылки на предыдущие версии TrueCrypt удалены, сайт удален.

Особое масло в огонь подливает еще и то, что архив сайта удален из "кэша интернета":

Этот факт многим не дает покоя, как бы намекая, что без спецслужб здесь не обошлось.

Мне неизвестно, кто имеет право и возможность исключать из веб-архива какие-то сайты. Может быть такую возможность имеет любой, кто подтвердит право на собственность того или иного сайта, а может быть это делается только по специальным решениям (суд, спецслужбы и т.д.). Не знаю. Хотя вотздесь пишется, что собственник сайта вроде как может попросить удалить свой сайт из архива.

Совет переходить на BitLocker как бы тоже намекает: "пользоваться TrueCrypt – это тоже самое, что юзать BitLocker".

Немного поясню. БитЛокер – это встроенная в современные версии Windows (выше XP) технология шифрования. Весьма, кстати, удобная, простая в использовании и т.д. Но с одним но – это Microsoft. То есть, ни о каких открытых исходниках не может быть и речи.

Кроме того, в Битлокере имеется возможность восстановления ключей, а значит, это могут сделать и другие (сам MS, например, по запросу органов). Ну, и само собой, можно косвенно полагать, что в Windows и без того имеются различные бэкдоры для того же АНБ и ЦРУ.

В пользу версии о причастности АНБ есть еще один факт. В официальном сообщении о закрытии проекта нашли закодированное послание (да и сам поступок разработчиков очень похож на "свидетельство канарейки"). Дело в том, что в предложении "WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues" первые буквы слов можно трактовать, как "uti nsa im cu si", что в переводе с латыни может означать следующее: "If I wish to use the NSA" ("Если я хочу пользоваться АНБ"). Как вам такое послание, а?

В общем, за эти дни разных версий произошедшей ситуации было много:

  • Давление правительства и спецслужб, и, как следствие, такая реакция авторов TrueCrypt – некий завуалированный сигнал, знак для всех пользователей (основная версия).
  • Сайт взломан, ключи скомпрометированы и находятся в руках злоумышленников, ПО скомпрометировано.
  • Авторы просто решили "забить" на дальнейшую поддержку и разработку.
  • Корпорация Microsoft предложила разработчикам очень высокоплачиваемую работу, с условием закрыть проект TrueCrypt =)
  • Цель данного поступка – сорвать дальнейший аудит.

Были и многие другие версии. Если интересно, почитайте пост и камменты к нему на Хабре.

Позже история получила логическое продолжение.

Одному из аудиторов TrueCrypt (Steven Barnhart) все-таки удалось связаться с одним из анонимов-разработчиков TC, называющим себя David.

Тот прокомментировал ситуацию примерно так: мы потеряли интерес к дальнейшей разработке данного ПО. Кроме того, по словам Дэвида, TrueCrypt изначально был ориентирован на Windows, и т.к. прекращена поддержка Windows XP, а в новых версиях есть BitLocker, то и свою миссию они считают выполненной.

Такие вот дела. Кого-то заявление Дэвида успокоило, у кого-то оно вызвало еще большее недоумение и опаски. Но, факт остается фактом - ТруКрипт прекращает свое официальное существование (точнее свое развитие).

Что ж, переходим ко второй части статьи, к вопросу аналогов и их необходимости.

Альтернативы и аналоги TrueCrypt

Для начала давайте определимся, а стоит ли вообще паниковать и искать замену TrueCrypt? Я определенно считаю, что суетиться нет нужды. По крайней мере, до окончания полного аудита и оглашения его результатов.

Да, официальный сайт закрыт, нет возможности официально получить TC. Но! Есть ряд сайтов и репозиториев, где все еще можно скачать любые версии TrueCrypt, от самой первой до последней стабильной (напомню, последняя актуальная версия – это TrueCrypt 7.1a, версию 7.2 мы во внимание не берем).

Но, прежде чем ринуться вбивать в Google "скачать TrueCrypt" или что-то подобное, нужно понимать следующее: в свете последних событий в интернете наверняка появится масса "фэйковых" сборок с троянами, бэкдорами и т.д. Как же быть? А ответ прост. Для этого существуют контрольные суммы (хэш-суммы), которые подтвердят, что скачанный файл – это настоящий TrueCrypt.

Вот хэши для файла TrueCryptSetup 7.1a.exe:

  • SHA256: e95eca399dfe95500c4de569efc4cc77b75e2b66a864d467df37733ec06a0ff2
  • SHA1: 7689d038c76bd1df695d295c026961e50e4a62ea
  • MD5: 7a23ac83a0856c352025a6f7c9cc1526

Полный список контрольных сумм для версии 7.1a (включая сорцы) находитсяздесь:

Вообще, стоит взять за правило сверять хэши при скачивании любого ПО – это будет гарантировать аутентичность и целостность скачанного файла, т.е. это будет значить, что вы скачали именно тот файл, и во время скачивания он случайно не "испортился".

С хэшами определились. Теперь авторитетные ссылки, где можно скачать "настоящий" TrueCrypt:

  1. Страница на Gibson Research Corporation. Первоисточник информации по случившемуся инциденту, ответ Дэвида и т.д. И, конечно же, ссылки на все сборки и исходники последней актуальной версии TrueCrypt. Также на этой странице есть ссылка (которую я упоминал выше) на хэш-суммы, и др. полезные ссылки.
  2. Репозиторий на GitHub с полным архивом всех версий TrueCrypt, начиная с самой первой (даже когда программа еще называлась Scramdisk).
  3. Проект TCnext планирует продолжить дело TrueCrypt! Сейчас здесь также есть ссылки на скачивание "правильных" файлов, запущен форум, активно ведется твиттер-аккаунт и т.д.
  4. Из комментариев к посту на Хабре: http://cyberside.planet.ee/truecrypt/ иhttp://cyberside.net.ee/truecrypt/. Тут также располагаются все версии TrueCrypt. На момент публикации этих ссылок на Хабре хэши версий 7.1a совпадали с оригиналами.

Думаю этого достаточно. Еще раз напомню, что категорически противопоказано качать ТруКрипт при помощи первых попавшихся ссылок в поисковиках или на торрент-трекерах. А если уж качаете, то обязательно сверяйте контрольные суммы.

И, прежде чем перейти к аналогам, оставлю тут еще несколько ссылок. Так сказать для энциклопедичности:

  1. Is TrueCrypt Audited Yet? – официальная страница аудита: новости, отчеты и т.д.
  2. Неофициальная копия сайта truecrypt.org. В копию, конечно же, внесены изменения в соответствии с текущими реалиями, но сохранена документация и т.п. Тут же есть и почти полная копия прежнего сайта: http://andryou.com/truecrypt_orig/
  3. Страница на ETCWIKI - англоязычная статья, аналогичная той, что опубликована на Хабре. Точно не знаю, но вероятно у них один и тот же автор – ValdikSS

Итак...

Аналоги (правильнее будет сказать альтернативы) TrueCrypt...

Если врожденная или приобретенная паранойя (или религия) не позволяет вам и дальше пользоваться ТруКриптом, то можно присмотреть себе альтернативу. Правда замечу, что абсолютно полноценной замены я лично пока не вижу.

Большинство из описываемых ниже решений я ранее не использовал, о многих из них узнал совсем недавно. Так что полноту сведений не гарантирую => только весьма поверхностный обзор.

BitLocker

Раз уж разработчики TrueCrypt рекомендуют пользователям Windows переходить на БитЛокер, с него и начнем.

Напомню, BitLocker – это встроенная в ОС семейства Windows (начиная с Висты) технология шифрования. Но имеется она не во всех редакциях, а только в "старших":

  • Vista и Windows 7 - Enterprise и Ultimate
  • Windows 8.1 - Профессиональная и Корпоративная

Серверные версии (2008, 2012) должны иметь на борту BitLocker независимо от редакции ОС. Поддерживаемые алгоритмы шифрования: AES-128 и AES-256.

BitLocker позволяет шифровать как диски (включая системный), так и съемные носители (BitLocker To Go). Точнее шифруются не диски, а тома. Но для простоты понимания, пусть будут диски.

Плюсы:

  • Встроенная в ОС технология (не нужно ничего скачивать отдельно, приобретать лицензию на ПО и т.д.)
  • Полная совместимость с поддерживаемыми версиями и редакциями ОС
  • Простота использования, удобство
  • Возможность временно приостановить шифрование, или же наоборот - перманентно дешифровать диск: без переноса данных, без форматирования и т.д.

Минусов больше:

  • Это все-таки Microsoft =) Хотя я лично ничего не имею против этой корпорации и ее современных операционных систем. Но, если вы не совсем законопослушный человек или какой-нибудь "Сноуден", и хотите зашифровать что-то вас компрометирующее, то стоит призадуматься, прежде чем воспользоваться БитЛокером.
  • Естественно, проприетарная лицензия. К тому же придется заплатить не малые деньги за саму ОС.
  • Кроссплатформенность? Не, не слышали. Даже не все редакции собственных ОС имеют эту функцию, чего уж говорить о сторонних операционках.
  • Отсутствие возможности создавать файловые контейнеры, только диски (флешки) целиком.
  • В Википедии, на странице "Шифрование диска BitLocker" кратко описаны уязвимости механизмов расшифровки.

Кому рекомендован BitLocker? Да кому угодно. Если вы самый обыкновенный пользователь ПК, то это отличное решение для обеспечения сохранности ваших данных. Скажу так, лучше пользоваться БитЛокером, чем не пользоваться шифрованием вообще. Например, в случае кражи или утери ноутбука, при использовании шифрования, вряд ли третья сторона получит доступ к хранимым на нем данным.

Для корпоративного сектора – это тоже очень приемлемое решение (не зря же BL присутствует в серверных версиях Windows). Но, БитЛокер, как и многие другие криптографические продукты, не имеет сертификации в РФ (т.е. нельзя официально использовать данное ПО, например, в госсекторе, где имеются данные под различными секретными грифами и т.д.).

Далее тут http://bloginfo.biz/truecrypt_analogs.html