TrueTrueCrypt官方网页现在指出:


警告:使用TrueCrypt是不安全的,因为它可能包含未解决的安全问题


此该页面的存在仅是为了帮助迁移由
TrueCrypt加密的现有数据。 Windows 8/7 / Vista和更高版本提供了对加密磁盘和虚拟磁盘映像的集成支持。在其他平台上也可以使用这种
集成支持(有关更多信息,请单击此处
)。您应将通过
TrueCrypt加密的所有数据迁移到您的
平台上支持的加密磁盘或虚拟磁盘映像。 。

是官方公告还是棘手的污秽攻击?

评论

还没有人知道。稍等一下,事实就会出来。此刻我的钱正在被毁。

如果我是美国国家安全局(NSA),这差不多就是我对Truecrypt的处理方式。

奇怪,您甚至无法获得truecrypt.org的存档。 web.archive.org/web/http://truecrypt.org:对不起。此URL已从Wayback Machine中排除。

@SimonKuang审计师公开表示,他们对整个事情和其他人一样困惑。因此,这不太可能。

@VolkerSiegel不见了。

#1 楼

在这一点上,目前还不清楚。关于这是污损还是正式退役的猜测普遍存在。

,值得注意的是,TrueCrypt的最新版本(在现在发布的7.2版本之前)已经使用了两年以上。同样,如果您考虑使用Windows 8的公开发布的预发行版本,则还没有做出明显的努力来支持Windows 8上的全磁盘加密,甚至比TrueCrypt 7.1a还要早。

许多Windows过去曾经依靠TrueCrypt的8位用户可能已经迁移到Bitlocker进行了全磁盘加密,因此移动其余受TrueCrypt保护的数据(如果还没有的话)仍然是下一步的逻辑。对于其他任何人,可能最好等到清除整个混乱为止。

TrueCrypt审核的第一阶段涉及引导加载程序和Windows内核驱动程序,发现的漏洞少于十二个-其中最严重的等级为“中”等级。报告还说,源代码“未达到安全代码的预期标准”。

他们提到的一项建议:


由于质量标准不严格, TrueCrypt的源代码很难审核和维护。



另一条注释指出:


当前所需的Windows构建环境
取决于从可靠的来源很难获得的过时的构建工具和软件包



所有这些,再加上新版本的发布已经过去了两年,又缺乏对最新操作系统的全面支持,这确实使人们容易相信TrueCrypt的团队确实确实会付出代价。如果他们确实选择这样做,那么TrueCrypt实际上将变得与Windows XP几乎相同的方式变得不安全-不会修补任何新发现的安全漏洞。但是,TrueCrypt与Windows XP之间的主要区别在于,由于TrueCrypt是开源软件,因此仍可能会开发和更新兼容的替代产品。

仍然,非常突然和意外的公告肯定值得一些怀疑论。除非对此消息进行进一步的验证,否则我建议您不要信任TrueCrypt网站或SourceForge页面上发布的任何内容-尤其不要下载新的“ 7.2”下载。


更新:2014- 05-29 0645Z

布莱恩·克雷布斯(Brian Krebs)报告了此问题,并给出了一些合理的理由说明为什么这不太可能是骗局。此外,他提到IsTrueCryptAuditedYet.com的幕后工作人员将继续他们的工作,尽管该软件项目目前处于现状。

猜测当然仍然在线猖ramp。但是,尽管TrueCrypt开发团队的持续匿名性使得几乎无可否认地对其地位进行了真实的确认。马修·格林(Matthew Green)在此推文中提出了一个明确的观点:


但更重要的是,如果Truecrypt签名密钥被盗了,并且TC开发人员不能让我们知道-那是足够谨慎的理由。


实际上,无论签名密钥的状态如何,TrueCrypt开发人员都不能(或者至少到目前为止似乎还没有做出任何努力)发出任何单独的权威性信息来验证其网站发生的事实这一事实应该是:足以引起重大关注。如果TrueCrypt团队要求退出,那么该是继续前进并寻找/做出替代选择的时候了。如果不是这样,那么他们对这一事件的带外响应不足就引发了一个严重的问题(现在比以往任何时候都更加严重),即我们到底有多信任我们以最宝贵的秘密来维护我们希望信任的那种软件。

无论哪种状态,最好都是寻求替代解决方案。一般来说,TrueCrypt网站上的建议还不错。但是,它们缺少TrueCrypt广为人知且广受赞誉的一些功能:文件(您可以使用Bitlocker和VHD来执行此操作,但它不如TrueCrypt那样流畅和无缝)


更新:2014-05-29 1450Z

杰克·丹尼尔(Jack Daniel)在最近的一条推文中已经很好地总结了我对该主题的看法:


所以,是的:hack,troll,ragequit,等等-沉默意味着TrueCrypt组织可以不能信任,TrueCrypt也不能。该死的。



更新:2014-05-30 1545Z

GRC声称通过True Steven Barnhart听到了TrueCrypt开发人员的声音。

https://www.grc.com/misc/truecrypt/truecrypt.htm

如果可以相信来源(同样,TrueCrypt开发团队的公共匿名性使得几乎不可能进行某些身份验证),那么原团队实际上不再在积极地使用TrueCrypt。此外,该许可还可以防止他人合法地编写新的“ TrueCrypt”(尽管有可能他们可以使用其他名称来分叉它)。

要注意的一件事,尽管对于GRC而言,它可能有点过分夸张,甚至可能夸大了它的价值,但就众所周知,最新的功能齐全的TrueCrypt(7.1a)版本仍可以“安全”地使用。直到发现如此重大且可利用的漏洞之前,在truecrypt.org发布之时,确实没有理由认为7.1a本质上比以前任何时候都更加“不安全”。

也就是说,还必须牢记(如本文前面所述),TrueCrypt 7.1a中发现的任何漏洞都不会在任何将来的版本中修复。因此,开始寻求其他选择仍然是明智的。这与Windows XP一样适用-唯一的实质区别是XP具有更高的配置文件,并且很有可能会更快地产生很长的不可修补漏洞列表(有些可能已经存在)。 />
Open Crypto Audit Project已在Twitter上发布了一个TrueCrypt版本“受信任档案”的链接,适用于那些寻求在truecrypt.org上不再可用的较旧副本的人:

https:// github .com / DrWhax / truecrypt-archive

感谢@Xander指出了GRC文章。

评论


有人创建了7.1a版的diff并新发布了7.2版:github.com/warewolf/truecrypt/compare/master...7.2这里有可疑之处吗?

–user11153
2014年5月28日在21:29

我敢肯定Sourceforge发出的通知说每个人都应该更改密码是完全偶然的,并且无关紧要的……尽管它是完全同时发生的。

– tylerl
2014年5月29日0:41

至少可以说这令人不安。

– Ben Sidhom
2014年5月29日在3:02

@tylerl-根据ISC日记,由于他们正在更改其密码哈希机制,因此完成了SourceForge密码重置。它与任何已知的攻击无关。

– Iszi
2014年5月29日下午3:11

@BenSidhom参见上文,RE:SourceForge PW重置。

– Iszi
2014年5月29日,下午3:12

#2 楼


重要的是,TrueCrypt 7.2版已通过官方TrueCrypt私人签名密钥认证。这表明警告TrueCrypt不安全的页面并不是设法获得未经授权访问的黑客的恶作剧。毕竟,有能力签署新的TrueCrypt版本的人可能不会恶作剧挥霍。另外,该帖子还指出,证明应用程序真实性的加密密钥已被盗用,不再由TrueCrypt官方开发人员独家控制。 ArsTechnica的故事

虽然确实很引人注目,但是TrueCrypt团队可以肯定发生的事情。可证明与TrueCrypt有联系的人们缺乏明智的确认,确实加强了污损理论。
编辑:在Hacker News讨论中,此海报声称密钥仅在签署新版本之前3小时进行了更新。

密钥与以前的二进制文件相同吗?我怀疑,因为在新二进制文件发布前仅三个小时就替换了密钥。

EDIT2:SourceForge代表说:

从SourceForge提供一些细节:


我们没有与TrueCrypt项目团队联系(因此也没有投诉)。


我们看不到帐户受到损害的迹象;当前使用情况与过去使用情况一致。


我们最近的SourceForge强制密码更改是由基础结构改进触发的,而不是妥协。 FMI参见http://sourceforge.net/blog/forced-password-change/




评论


寻找“可证明有联系的人”一直很困难。多年来,TrueCrypt团队主要以匿名方式运作。

– Iszi
2014年5月28日在21:29

#3 楼

进行此更改之前,他们的网站上有一个gpg公钥。

此外,Truecrypt是一个开源项目,因此不可能“停止开发。任何人都可以继续开发或修复错误。许多免费和开放源代码软件主要由社区维护。

我不知道此公告有何意义。作者可能会诱使人们使用Bitlocker,然后加以利用Bitlocker中的一个错误,尽管它似乎不可取,因为它不能被远程/大规模利用;或者他可能只是因为血腥(想像他是一名开发人员,因此可以访问该网站)而与用户打交道。 br />
查看历史DNS记录,该IP地址似乎没有发生变化。至少它不是另一个DNS劫持。不管是大骇客还是无赖的开发人员。与此同时,我的钱仍然是FUD:如果有这样的消息,信息将会有所不同莉莉一直是个问题。至少它不会建议使用专有软件来替代。