Проект TrueCrypt официально закрыт

[Ramzes]

На официальном сайте популярной системы дискового шифрования TrueCrypt опубликовано заявление, что система не является безопасной и может содержать уязвимости. Более того, сообщается, что с мая 2014 года разработка TrueCrypt прекращена. В то же время выпущен финальный релиз TrueCrypt 7.2, который рекомендуется использовать только в качестве промежуточного звена при миграции на другие системы.

Указанная на сайте причина закрытия проекта вызывает большие сомнения в правдивости опубликованной информации. В частности, указано что проект закрыт после прекращения поддержки платформы Windows XP в которой отсутствовали встроенные средства шифрования дисков, в то время как в остальных платформах для которых развивался TrueCrypt (Windows 8/7/Vista, OS X и Linux) присутствуют встроенные средства дискового шифрования.

Более непонятной ситуация становится в свете того, что разработчики TrueCrypt не разглашают информацию о себе и являются анонимами. Кроме того, в апреле был завершён независимый аудит исходных текстов TrueCrypt, который не выявил опасных проблем. При этом код TrueCrypt не является свободным и распространяется под собственной лицензией TrueCrypt License, содержащей дополнительные требования к области распространения и упоминании авторства, что делает её не совместимой со свободными лицензиями и мешает сообществу продолжить развитие через создание форка.

Что касается нового выпуска TrueCrypt 7.2, то отличия от версии 7.1a сводятся к выводу предупреждения о небезопасности проекта и удалению кода для создания новых шифрованных разделов (можно только расшифровать существующие разделы TrueCrypt). Также несущественно был изменён текст лицензии. Самое интересное, что архив с выпуском TrueCrypt 7.2 подписан официальным приватным ключом проекта, что ставит под сомнение гипотезы об изменении сайта злоумышленниками в результате взлома. Маловероятно, что получив доступ к ключу формирования подписей для релизов атакующие оказались способны только на шалость с подменой сайта.

При этом многое в этой истории пока вызывает вопросы, например, зачем понадобился редирект сайта truecrypt.org на страницу truecrypt.sourceforge.net и почему для пользователей Windows рекомендуется миграция только на Microsoft BitLocker. Пользователям Linux не даётся конкретных рекомендаций, несмотря на наличие tc-play, альтернативной свободной реализации TrueCrypt, распространяемой под лицензией BSD.

Представители SourceForge указали на то, что не нашли никаких признаков взлома аккаунта и аномальной активности, а недавняя принудительная смена паролей было мероприятием по улучшению инфраструктуры, а не реакцией на взлом.

Дополнение: Проект TrueCrypt закрыт из-за потери интереса к его разработке. Представлен форк TrueCryptNext. В рамках инициативы OpenCryptoAudit аудит TrueCrypt будет доведён до конца.
Источник

***
Стивену Барнхарту (Steven Barnhart), принимавшему участие в инициативе по аудиту TrueCrypt, удалось связаться с одним из анонимных разработчиков TrueCrypt, отвечающего под ником "David", с которым он контактировал ранее в процессе проведения аудита кода проекта. Судя по состоявшемуся диалогу, после десяти лет интенсивной работы над TrueCrypt, разработчики потеряли интерес к проекту (последний значительный релиз был выпущен в 2011 году). По поводу рекомендации Bitlocker, разработчик сообщил, что изначально основной целью проекта было предоставление средств шифрования для Windows и Bitlocker является приемлемым штатным решением для современных выпусков Windows.

До сих пор сдерживающим фактором для продолжения поддержки были пользователи ОС Windows XP, для которой компания Microsoft не предоставляла средств для дискового шифрования. Поэтому в качестве основного мотива закрытия проекта указано прекращение жизненного цикла Windows XP. Заявление о возможных уязвимостях в TrueCrypt следует трактовать с позиции, что разработчики больше не отвечают за безопасность их кода и в случае выявления уязвимостей, не будут выпускать исправления.

Тем временем, группа OpenCryptoAudit намерена продолжить аудит TrueCrypt 7.1a, который после завершения анализа исходных текстов и подтверждения тождественности бинарной сборки с исходными текстами, перешёл на вторую стадию - изучение криптостойкости применяемых алгоритмов шифрования и корректности их реализации. Отчёт о результатах второй стадии аудита планируется опубликовать в течение нескольких месяцев. Кроме того, участники OpenCryptoAudit рассматривают несколько сценариев дальнейшей судьбы кодовой базы TrueCrypt, в том числе поддержание форка под приемлемой свободной лицензией с обеспечением воспроизводимых бинарных сборок.

Не дожидаясь OpenCryptoAudit группа энтузиастов уже инициировала форк - TrueCryptNext. Сайт проекта размещён в Швейцарии, чтобы избежать возможных юридических угроз со стороны США. При разработке решено отказаться от анонимности, имена всех участников проекта будут известны. Инициаторами форка выступили Thomas Bruderer, бывший президент Пиратской партии Швейцарии, и Joseph Doekbrijder. На первом этапе участники проекта планируют взять на себя поддержку выпуска обновлений и обеспечить возможность продолжения работы тех, кто уже использует TrueCrypt. Для совместной работы над кодом создан репозиторий в GitHub. Организовано распространение последних сборок TrueCrypt 7.1a, которые были удалены с официального сайта TrueCrypt.

Следует напомнить, что пользователи Linux и BSD-систем имеют возможность перейти на использование проекта tc-play, в рамках которого c 2011 года развивается полностью переписанная альтернативная свободная реализация TrueCrypt, распространяемая под лицензией BSD. Tc-play поддерживает полный спектр возможностей TrueCrypt и может работать с дисковыми разделами TrueCrypt, в том числе со скрытыми разделами.
Источник

***
Версии произошедшего с хабра
В обращении о закрытии TrueCrypt нашли скрытое предупреждение о причастности АНБ
Скачать уцелевшую версию 7.1 одним zip-архивом

***
EncFS
GNOME-EncFS-manager
Cryptkeeper
Промышленные алгоритмы шифрования на службе Линуксоида