Vídeo: История TrueCrypt. Недоказуемость криптоконтейнеров. (Setembre 2024)
Si utilitzeu TrueCrypt per xifrar les vostres dades, heu de canviar a un altre programa de xifrat per protegir els vostres fitxers i, fins i tot, discs durs sencers.
El programari TrueCrypt de codi obert i lliure disponible ha estat popular durant els últims deu anys, ja que es considerava independent dels venedors principals. Els creadors del programari no han estat identificats públicament. Presumptament, Edward Snowden va utilitzar TrueCrypt, i l'expert en seguretat Bruce Schneier era un altre conegut partidari del programari. L'eina facilitava convertir una unitat flash o un disc dur en un volum xifrat, protegint totes les dades emmagatzemades de la mirada indiscutible.
Els misteriosos creadors van tancar bruscament TrueCrypt dimecres, afirmant que no era segur utilitzar-lo. "ADVERTIMENT: utilitzar TrustCrypt no és segur, ja que pot contenir problemes de seguretat no fixats", llegiu el text a la pàgina SourceForge de TrueCrypt. "Haureu de migrar qualsevol dada xifrada per TrueCrypt cap a discs xifrats o imatges de disc virtual compatibles amb la vostra plataforma", deia el missatge.
"És el moment de començar a buscar una manera alternativa de xifrar els vostres fitxers i el disc dur", va escriure el consultor independent de seguretat Graham Cluley.
Consensuari: no és un engany
Al principi, hi havia la preocupació que alguns atacants maliciosos havien defaciat el lloc, però cada vegada és més clar que no es tracta d'un engany. El lloc SourceForge ofereix actualment una versió actualitzada de TrueCrypt (signada digitalment pels desenvolupadors per la qual cosa no és un pirateig) que apareix una alerta durant el procés d’instal·lació per informar als usuaris que haurien d’utilitzar BitLocker o alguna altra eina.
"Crec que és poc probable que un pirata informàtic desconegut identifiqués els desenvolupadors de TrueCrypt, que li robés la clau de signatura i que piratés el seu lloc", va dir Matthew Green, un professor especialitzat en criptografia a la Universitat Johns Hopkins.
Què cal fer després
El lloc, a més de l’alerta emergent del programari, té instruccions sobre com transferir fitxers xifrats TrueCrypt al servei BitLocker de Microsoft, integrat a Microsoft Vista Ultimate i Enterprise, Windows 7 Ultimate i Enterprise i Windows 8 Pro i Enterprise. La versió 7.2 de TrueCrypt permet als usuaris desxifrar els seus fitxers, però no els permetrà crear nous volums xifrats.
Si bé BitLocker és l’alternativa òbvia, hi ha altres opcions a mirar. Schneier va dir a The Register que està tornant al PGPDisk de Symantec per xifrar les seves dades. Symantec Drive Encrpytion ($ 110 per una llicència d'usuari única) utilitza PGP, que és un mètode de xifrat molt conegut. Hi ha altres eines gratuïtes per a Windows, com ara DiskCryptor. Expert en seguretat El Grugq va reunir l’any passat una llista d’alternatives TrueCrypt, que encara és útil.
Johannes Ullrich de l'Institut SANS va recomanar que els usuaris de Mac OS X s'adhereixin amb FileVault 2, integrat en OS X 10.7 (Lion) i versions posteriors. FileVault utilitza el xifrat XTS-AES de 128 bits, que és el mateix que utilitza la NSA. Els usuaris de Linux haurien de complir amb la configuració unificada de claus de Linux (LUKS), va dir Ullrich. Si feu servir Ubuntu, l’instal·lador del sistema operatiu té l’opció d’encendre el xifrat del disc des del primer moment.
No obstant això, els usuaris necessitaran una eina diferent per a unitats portàtils que es mouen entre diferents sistemes operatius. "PGP / GnuPG em ve al cap", va dir Ullrich al Diari de controladors d'InfoSec.
L'empresa alemanya Steganos ofereix una versió més antiga de la seva eina de xifrat (la versió 15 és la més recent, però l'oferta és per a la versió 14) de forma gratuïta per als usuaris, la qual cosa no és tan ideal.
Vulnerabilitats desconegudes
El fet que TrueCrypt pugui tenir vulnerabilitats de seguretat és difícil a l’hora de considerar que actualment s’està realitzant una auditoria independent del programari i no hi ha hagut informes d’aquest tipus. Els seguidors van recaptar 70.000 dòlars per a l’auditoria per problemes que l’Agència de Seguretat Nacional té la capacitat de descodificar quantitats importants de dades xifrades. La primera fase de la investigació, analitzada pel carregador d'arrencada TrueCrypt, es va publicar el mes passat. "No va trobar cap evidència de taps posteriors o de falles intencionades". La següent fase, que examinarà la criptografia que utilitzava el programari, estava prevista per finalitzar aquest estiu.
Green, que va ser una de les persones implicades en l'auditoria, va dir que no tenia cap avís previ sobre el que planejaven els desenvolupadors de TrueCrypt. "Per últim vaig escoltar a Truecrypt:" Esperem els resultats de la fase 2 de la vostra auditoria. Que desitgeu de nou tots els vostres esforços! ", Va publicar a Twitter. S’espera que l’auditoria continuï malgrat l’aturada.
És possible que els creadors del programari decidissin aturar el desenvolupament perquè l’eina és tan antiga. El desenvolupament "va acabar el 5/2014 després que Microsoft finalitzés el suport de Windows XP", deia el missatge a SourceForge. "Windows 8/7 / Vista i més tard van oferir suport integrat per a discs xifrats i imatges de discs virtuals." Amb els xifrats integrats en molts dels sistemes operatius de manera predeterminada, és possible que els desenvolupadors creguessin que el programari ja no era necessari.
Per fer les coses encara més funestes, sembla que es va afegir un bitllet el 19 de maig per eliminar TrueCrypt del sistema operatiu segur Tails (també un altre favorit de Snowden). Sigui com sigui, és clar que ningú hauria d’utilitzar el programari en aquest moment, va advertir Cluley.
"Tant si es tractés de trucades, pirates o final de vida real per a TrueCrypt, és clar que cap usuari conscient de la seguretat es sentirà còmode confiant en el programari després d'aquesta debacle", va escriure Cluley.
