» »

TrueCrypt na precepu

TrueCrypt na precepu

Krebs On Security - Spletna stran priljubljene brezplačne (in delno odprtokodne) rešitve za šifriranje diska TrueCrypt (truecrypt.org) od včeraj več ne obstaja, ampak le še preusmerja na projektovo domačo stran na portalu SourceForge. Tam pa je prisotno opozorilo, da "Uporabe TrueCrypt več ne priporočajo, ker bi lahko vsebovala več varnostnih pomanjkljivosti". V nadaljevanju so nato navodila za migracijo na druge rešitve (zlasti Bitlocker, ki ga je moč najti v nedavnih različicah Oken), ter povezava na orodja za dekripcijo in izvoz podatkov iz obstoječih TrueCrypt particij.

Okoli najave se poraja veliko vprašanj. Ni jasno, kaj točno se je zgodilo ter ali je TrueCrpyt sploh še varen. Nedavni delni varnostni pregled (t.i. security audit) za katerega se je lani nabralo za približno 70 tisoč dolarjev donacij, sicer ni pokazal nobenih lukenj. Tako se vse bolj govori, da se je ekipa, ki pripravlja TrueCrypt, preprosto naveličala svojega dela. Ob poplavi drugih, bolj popularnih rešitev za šifriranje diskov, naj bi si našli za delo kaj bolj zanimivega. Ker pa se pod svoje dosedanje delo niso nikoli podpisovali, jih za odgovore ni mogoče vprašati.

Tej teoriji govori v prid tudi dejstvo, da so priložena orodja za dekriptiranje podpisana s starim (veljavnim) zasebnim ključem te ekipe in tudi, da najavi po več kot 24-ih urah ni še nihče nasprotoval. Z migracijo na drugo orodje tako bržkone velja počakati, vsaj dokler se ta dim ne poleže. Govori se že tudi, da bi lahko delo prevzela kaka druga ekipa, a naj bi bilo treba rešiti še nekatera pravna vprašanja glede njihove (malo posebne) licence.

Več na našem forumu.

71 komentarjev

«
1
2

ulemek ::

Opozorilo z njihove strani se mi zdi precej splošno in ne namiguje na kaj konkretnega, temveč uporabnike usmerja k previdnmu ravnanju v bodoče, saj je ta kos programja ostal brez popravkov/razvoja.

Je pa napotitev na uporabo Bitlocker šifriranja bizarna.

Zgodovina sprememb…

  • spremenilo: ulemek ()

Tr0n ::

NSA says hi. :)

vostok_1 ::

To je že tako smešno predvidljivo.

Le kaaaaj bi lahko bilo. Duh!

Drgač pa...Bitlocker...lol. Še mal pa bo NSA postal ISP.

mk818764 ::

TrueCript je bil do sedaj nezlomljiv....to res nekaj smrdi.
Kaj ta bitlocker je ok? Nisem še uporabljal

black ice ::

Bitlocker ni ok. Nesi sarkazem detektor na popravilo. :)

Jupito ::

Razen tega, da Bitlocker MS-jev, Je na voljo le v "top of the line" edicijah: v Win7 Ultimate in Win8 Pro in pa v Enterprise.
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

Zgodovina sprememb…

  • spremenil: Jupito ()

njyngs ::

Verjetno so hoteli s predlogom BitLockerja nekaj povedati :)

mk818764 ::

Kaj pa je alternativa?

s6c-gEL ::

https://slo-tech.com/forum/t610788/p444...
diskcryptor.net ali fork od tc.

Zgodovina sprememb…

  • spremenilo: s6c-gEL ()

Matija82 ::

"Ob poplavi drugih, bolj popularnih rešitev za šifriranje diskov"

Npr.? TC je de facto standard.

AndrejO ::

BitLocker, FileVault in LUKS so najpogosteje uporabljeni na posamičnih operaciskih sistemih. TC je bil zanimiv predvsem zaradi svoje agnostičnosti glede opearcijskega sistema, vendar pa so tam v podjetjih postali zelo popularni USB ključki s strojno podprtim šifriranjem (lahko tudi možnostjo samouničenja).

Preostanek sveta pa predstavljajo ljudje, ki jih šifriranje ni ganilo in za TC niso niti slišali, ter majhna skupinica (gledano v deležu) entuziastov, ki so si izbrali programsko rešitev pred strojno.

poweroff ::

Strojne rešitve znajo biti problematične. Precej.

V resnici resnih (=zaupanja vrednih / auditanih) alternativ niti ni. eCryptFS je slaba šala, čeprav za specifične namene uporaben. LUKS pa ni bil auditan.

We are screwed. Zadeva pa precej smrdi po NSL.
sudo poweroff

Maximus ::

NSL pa naj bi bil kaj?

mat xxl ::

Tr0n je izjavil:

NSA says hi. :)


NSA says, yes do it, because we pay a lot money to stops Truecrypt :(

Mavrik ::

AndrejO je izjavil:

BitLocker, FileVault in LUKS so najpogosteje uporabljeni na posamičnih operaciskih sistemih. TC je bil zanimiv predvsem zaradi svoje agnostičnosti glede opearcijskega sistema, vendar pa so tam v podjetjih postali zelo popularni USB ključki s strojno podprtim šifriranjem (lahko tudi možnostjo samouničenja).


TC je bil uporaben tudi na precej home-us mašinah in laptopih, kjer BitLocker zaradi dragih Windowsov oz. pomanjkanja TPM čipa ni hotel delovati (uporabljati si moral dodaten USB ključek, ki je bil bistveno bolj neroden kot pa passphrase).

Prav tako ga je bilo bistveno lažje postaviti na obstoječi OS kot pa vklapljati BitLocker.
The truth is rarely pure and never simple.

mat xxl ::

Maverik pa saj to ni problem..... TC bo pač naprej delal, kot do sedaj, verjamemo, da velikih lukenj ni, NSA-a bi pa seveda bil bolj srečen, da se uporabljajo MS rešitve z vgrajenimi back doori , saj ekvivalent je npr. telefonija Skype, samo , da so tam MS-u naročili naj ga kupi in preusmeri in centralizira vse pogovore, kar je tudi storil, samo Skype je le uporabna rešitev in nam dol visi če poslušajo, kriptiranje je pa že tak tak, ne vidim nobene prednosti prehoda kam drugam, slabosti pa NORO PREVEČ. In pa ja na koncu naši tega ne bodo znali zlomiti, bodo pa za te stvari NSA mastno plačevali iz naših žepov ....davkoplačevalskih.... tako, da TC bo še kar dolgo uporaben ;)

Jupito ::

Če odmislimo tisto o "popularnih", se dejansko hitro znajdeš v poplavi, če povprašaš svoj najljubši iskalnik, tako da povpraševanje po softwerskih 3. party rešitvah tudi ne more biti tako majhno, če očitno vsak klinc, ki ima 5 min. časa ponuja eno. Če pa so primerljive s TC in dobre pa je seveda spet drugo vprašanje...
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

Roadkill ::

Maximus je izjavil:

NSL pa naj bi bil kaj?


National security letter @ Wikipedia
Ü

AndrejO ::

Mavrik je izjavil:

AndrejO je izjavil:

BitLocker, FileVault in LUKS so najpogosteje uporabljeni na posamičnih operaciskih sistemih. TC je bil zanimiv predvsem zaradi svoje agnostičnosti glede opearcijskega sistema, vendar pa so tam v podjetjih postali zelo popularni USB ključki s strojno podprtim šifriranjem (lahko tudi možnostjo samouničenja).

TC je bil uporaben tudi na precej home-us mašinah in laptopih, kjer BitLocker zaradi dragih Windowsov oz. pomanjkanja TPM čipa ni hotel delovati (uporabljati si moral dodaten USB ključek, ki je bil bistveno bolj neroden kot pa passphrase).

Prav tako ga je bilo bistveno lažje postaviti na obstoječi OS kot pa vklapljati BitLocker.

Uporabnikov, ki bi sistemski disk šifrirali s TC ni bilo nikoli na pretek. Večinoma smo to bili entuziasti, ki se nam je dalo. Ostali so uporabili kar so dobili "v škatli" (torej sistemsko rešitev) ali pa katero izmed dodatnih komercialnih PGP/Symantec/McAffee rešitev.

MrStein ::

Jupito je izjavil:

Razen tega, da Bitlocker MS-jev, Je na voljo le v "top of the line" edicijah: v Win7 Ultimate in Win8 Pro in pa v Enterprise.

Ter v Visti:

"BitLocker is available in the Enterprise and Ultimate editions of Windows Vista and Windows 7. It is also available in the Pro and Enterprise editions of Windows 8." BitLocker @ Wikipedia
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Lonsarg ::

Od Windows 8.1 naprej je BitLocker v vseh verzijah. Ne samo to, celo po defultu se vklopi na sveži inštalaciji, če so hardware zahteve izpolnjene! Torej nič več bootanja z Linuxom, da prideš do filov od kakega laika. Bo treba kar lepo admin/Microsoft geslo poznati.

Zaščita z BitLockerjem je proti špijonom in tatovom zadosti. Za kaj bolj občutljivega pa je TrueCrypt res nekako bil standard, pač dovolj poznan, da se mu je zaupalo. Zdaj bo očitno v tem segmentu luknja, dokler nek drug odprti software ne pridobi takega zaupanja/popularnosti. Oziroma TrueCrypt 7.1a bo pač nekaj časa kar iskana zadeva, treba nek zanesljivo kopijo dobit:)

Phantomeye ::

Lonsarg je izjavil:

Od Windows 8.1 naprej je BitLocker v vseh verzijah. Ne samo to, celo po defultu se vklopi na sveži inštalaciji, če so hardware zahteve izpolnjene! Torej nič več bootanja z Linuxom, da prideš do filov od kakega laika. Bo treba kar lepo admin/Microsoft geslo poznati.

Zaščita z BitLockerjem je proti špijonom in tatovom zadosti. Za kaj bolj občutljivega pa je TrueCrypt res nekako bil standard, pač dovolj poznan, da se mu je zaupalo. Zdaj bo očitno v tem segmentu luknja, dokler nek drug odprti software ne pridobi takega zaupanja/popularnosti. Oziroma TrueCrypt 7.1a bo pač nekaj časa kar iskana zadeva, treba nek zanesljivo kopijo dobit:)


https://www.dropbox.com/s/mue9yyyfxvbqy...

Če rabiš. Sem slučajno downloadal 3 dni nazaj. Očitno imam vedeževalne sposobnosti :D

ulemek ::

Kako varen je BitLocker, ne vemo. Preveriti pa ne moremo, čeprav velikim in pomembnim kupcem, najemnikom programske opreme MS omogoči vpogled kode.

Bi se pa dalo precej enostavno preveriti BitLocker. Ameriškim varnostnim organom "podtakneš" krasno najdbo, nek šifriran medij, ki naj bi si ga izmenjali tako zelo osovraženi teroristi. Pa not sporočila in v njih od soseda "Bošnjaka s skrajnimi idejami" naslov, kjer naj bi se sestali neznanci z iskano osebo, osumljeno terorizma. 8-)

Drugače pa, TC do nedavnega sploh ni veljal za niti približno varnega. Uporabljali so ga pa vsi. Popularni != varno, ravno tako odprtokodno != varno.

arjan_t ::

ulemek je izjavil:

Kako varen je BitLocker, ne vemo. Preveriti pa ne moremo, čeprav velikim in pomembnim kupcem, najemnikom programske opreme MS omogoči vpogled kode.


source ni dovolj, moras se preveriti da je binary resnicno compilan iz tega kar si ti videl

edit: in potreben je bil heartbleed da so podjetja z miljardami zasluzka uspela skupaj nabrat 4 miljone za 3 leta (Core Infrastructure Initiative), porazno

Zgodovina sprememb…

  • spremenil: arjan_t ()

Jupito ::

Lonsarg je izjavil:

Od Windows 8.1 naprej je BitLocker v vseh verzijah. Ne samo to, celo po defultu se vklopi na sveži inštalaciji, če so hardware zahteve izpolnjene! Torej nič več bootanja z Linuxom, da prideš do filov od kakega laika. Bo treba kar lepo admin/Microsoft geslo poznati.

Zaščita z BitLockerjem je proti špijonom in tatovom zadosti. Za kaj bolj občutljivega pa je TrueCrypt res nekako bil standard, pač dovolj poznan, da se mu je zaupalo. Zdaj bo očitno v tem segmentu luknja, dokler nek drug odprti software ne pridobi takega zaupanja/popularnosti. Oziroma TrueCrypt 7.1a bo pač nekaj časa kar iskana zadeva, treba nek zanesljivo kopijo dobit:)


Ni več povsem ista zadeva: http://arstechnica.com/information-tech...

MS: http://technet.microsoft.com/en-us/libr...

Ne vem sicer, če so do zdaj kaj spremenili ali pa se da kako izgoniti onemu "online" delu in uporabljati kot klasičen BL, ker se nisem ukvarjal s tem že iz principa (manj Majkrosoftov v mojem življenju, ne pa še več :D).
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

ulemek ::

arjan_t je izjavil:

ulemek je izjavil:

Kako varen je BitLocker, ne vemo. Preveriti pa ne moremo, čeprav velikim in pomembnim kupcem, najemnikom programske opreme MS omogoči vpogled kode.


source ni dovolj, moras se preveriti da je binary resnicno compilan iz tega kar si ti videl


Samoumevno, a za nas nepomembno.

Lonsarg ::

Jupito je izjavil:


Ni več povsem ista zadeva: http://arstechnica.com/information-tech...

Ne vem sicer, če so do zdaj kaj spremenili ali pa se da kako izgoniti onemu "online" delu in uporabljati kot klasičen BL, ker se nisem ukvarjal s tem že iz principa (manj Majkrosoftov v mojem življenju, ne pa še več :D).

Nič drugačen ni od prej, samo pač avtomatika. Komot izklopiš zadevo in na novo ročno vklopiš, tokrat brez online backupa, če je to bojazen:)

Ampak se mi zdi smešno, da bi se bal online hrambe recovery keya, ker potem bi se moral že apriori bati tudi BitLockerja. Ta online hramba je edina rešitev za povprečnega Janeza, ki ni sposoben skrbeti za recovery key in bi v nasprotnem primeru bilo veliko primerov izgube podatkov... Ne samo za Janeza, tudi meni je prav všeč. Če bi se hotel ščitil proti Microsoftu namreč tudi Windowsov ne bi uporabljal. Moja filozofija je, da je vseeno ali je en Microsoft v življenju ali pa 10:)

Prišlo mi je na misel, zakaj Ubuntu ne integrira neke fajn enkripcije. Ubuntu/Linux koda ima namreč precej piscev in popravljalcev kode...

ulemek ::

1 od n piscev kode je enostavneje biti kot 1 od < 10, ki jo bodo pregledovali in se med drugim še spoznajo na kriptografijo ...

Za Linux in BSD OS imaš na voljo veliko precej zanesljivih rešitev šifriranja. Kako varne pa so, smo spet z eno nogo v temi.

celada ::

poweroff je izjavil:

Strojne rešitve znajo biti problematične. Precej.

V resnici resnih (=zaupanja vrednih / auditanih) alternativ niti ni. eCryptFS je slaba šala, čeprav za specifične namene uporaben. LUKS pa ni bil auditan.

We are screwed. Zadeva pa precej smrdi po NSL.


Eh meni je nekaj takega precej bolj verjetno :http://krebsonsecurity.com/2014/05/true...

#edit fix link

Zgodovina sprememb…

  • spremenil: celada ()

noraguta ::

nevem kaj tolk paranojite. če vas skrbi NSL naredte US free cryptography projekt pa je.
Pust' ot pobyedy k pobyedye vyedyot!

Mesar ::

ne da se jim :))
Your turn to burn!

morbo ::

A mi kdo priporoča kakšno resno (in enako fleksibilno) alternativo TC-ju za Linux?

poweroff ::

Phantomeye je izjavil:

Če rabiš. Sem slučajno downloadal 3 dni nazaj. Očitno imam vedeževalne sposobnosti :D

V undergroundu se govori, da je bila verzija 7.1a morda pred časom spremenjena (kompromitirana). Jaz imam nekje eno verzijo, ki je stara skoraj eno leto.

Lonsarg je izjavil:

Prišlo mi je na misel, zakaj Ubuntu ne integrira neke fajn enkripcije. Ubuntu/Linux koda ima namreč precej piscev in popravljalcev kode...

Saj jo. Imaš Cryptsetup/LUKS (full disk encryption) ter eCraptFS, ki je per-user encryption. S tem, da je e-CryptFS precej problematičen iz stališč avarbosti.

Lonsarg je izjavil:

Prišlo mi je na misel, zakaj Ubuntu ne integrira neke fajn enkripcije. Ubuntu/Linux koda ima namreč precej piscev in popravljalcev kode...

Ubuntu žal za varnost skrbi odločno premalo. Za njih je to skoraj zadnja briga.
sudo poweroff

misek ::

poweroff je izjavil:

V undergroundu se govori, da je bila verzija 7.1a morda pred časom spremenjena (kompromitirana). Jaz imam nekje eno verzijo, ki je stara skoraj eno leto.
Sem preveril mojo Windows verzijo (samo štiri datoteke) staro več kot leto z verzijo, ki sem jo prenesel včeraj - checksum je identičen.

techfreak :) ::

Sicer ne glede na to se sifriranje diskov in zunanjih medijev uporablja (za vecino fizicnih in poslovnih uporabnikov) predvsem za varovanje podatkov v primeru da oprema pride v napacne roke oz. je ukradena in tako ni potrebno skrbeti kdo vse bi lahko dobil dostop do podatkov. Glede NSA in podobnih organizacij vecina niti ne razmislja, ker je precej velika verjetnost da bi na kak drug nacin prisli do podatkov, ce bi ze imeli namen.

Blisk ::

Po moje je predober program, pa so ih skenslali! Ker NSA in razne agencije ne morejo prit do podatkov.

Bellzmet ::

Se pravi se bo dalo tudi čez npr. 5 let z TrueCrypt odklenit datoteke? Bo zadeva delala na novih OS?

Se pravi je kakšen strah, da zadeve zaklenem pa jih ne morem več odklenit?

techfreak :) ::

Dokler uporabljas OS ki je podprt (obstojeci OSi) ni nevarnosti, glede novejsih OSov pa bomo se videli.

Se vedno lahko v prihodnosti na virtualko ali starejsi racunalnik namestis trenutno aktualni OS in odsifriras zadeve.

vostok_1 ::

Tko je. Dokler bodo virtualke boš lahk odkriptiral. Če lahko jz še win 95 laufam pa je 19 let od tega.

Zgodovina sprememb…

  • spremenil: vostok_1 ()

ulemek ::

noraguta je izjavil:

nevem kaj tolk paranojite. če vas skrbi NSL naredte US free cryptography projekt pa je.


Nekaj v tej smeri imamo (1 knjižnico z imenom NaCl ali slat), ki ga sofinancira celo EU. In ga s pridom nucajo Američani (Google v svojem brskalniku).

misek je izjavil:

poweroff je izjavil:

V undergroundu se govori, da je bila verzija 7.1a morda pred časom spremenjena (kompromitirana). Jaz imam nekje eno verzijo, ki je stara skoraj eno leto.
Sem preveril mojo Windows verzijo (samo štiri datoteke) staro več kot leto z verzijo, ki sem jo prenesel včeraj - checksum je identičen.


Podzemlje, sploh pa v globinah medmrežja je v pretiravanju bizarno.

Zgodovina sprememb…

  • spremenilo: ulemek ()

ulemek ::

Kot je že Matthai povedal, za Linux imate Cryptsetup/LUKS, ki ga nekatere distre podpirajo kar iz namestilnika, pri drugih pa je potrebno malce potelovaditi za šifriranje celega diska. Podobno velja za BSD, kjer je na voljo GELI za celoten disk in GBDE ter PEFS (zelo zanimiva in obetajoča reč) za vse ostalo.

poweroff ::

Ko smo že pri tem... security audit PEFS: https://defuse.ca/audits/pefs.htm
sudo poweroff

mat xxl ::

misek je izjavil:

poweroff je izjavil:

V undergroundu se govori, da je bila verzija 7.1a morda pred časom spremenjena (kompromitirana). Jaz imam nekje eno verzijo, ki je stara skoraj eno leto.
Sem preveril mojo Windows verzijo (samo štiri datoteke) staro več kot leto z verzijo, ki sem jo prenesel včeraj - checksum je identičen.


Tudi sam sem preveril z verzijo dnlw avgusta 2012 in je enako. Imam pa še celo verzijo 7.1 brez a ja iz leta 2011.

MrStein ::

poweroff je izjavil:


Lonsarg je izjavil:

Prišlo mi je na misel, zakaj Ubuntu ne integrira neke fajn enkripcije. Ubuntu/Linux koda ima namreč precej piscev in popravljalcev kode...

Ubuntu žal za varnost skrbi odločno premalo. Za njih je to skoraj zadnja briga.

Mimogrede: Kaj jim je sploh prva briga? Biti najbolj popularen?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

V enem intervjuju je Mark povedal, da jim je pomembno, da stvari delajo in da izgledajo dobro.

V bistvu se s tem strinjam. Zadeva mora najprej delat, opravljat osnovno funkcionalnost, potem pa lahko gremo na varnost. Vseeno pa bi se lahko bolj potrudili z integracijo obstoječih varnostnih rešitev.
sudo poweroff

BigWhale ::

poweroff je izjavil:

Lonsarg je izjavil:

Prišlo mi je na misel, zakaj Ubuntu ne integrira neke fajn enkripcije. Ubuntu/Linux koda ima namreč precej piscev in popravljalcev kode...

Ubuntu žal za varnost skrbi odločno premalo. Za njih je to skoraj zadnja briga.


Eh, tole je pa en FUD, no.

Ubuntu drgac podpira enkripcijo home folderja. Te vprasa ob instalaciji za to.

poweroff ::

Z eCryptFS, ja. Ki je problematičen, oziroma ima določene pomanjkljivosti v samem designu.

Jaz ga sicer uporabljam, ampak skupaj z LUKS-om.
sudo poweroff

Samael ::

šernk ::

Če rabi kdo verzijo 7.1a-x64 za linux jo imam na disku od decembra 2013. Starejše sm pa očitno pobrisal.
In general, high velocity doesn't produce harmful injuries.
But what is dangerous is the high acceleration
or deceleration given at a certain time interval.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Samsungovi in Crucialovi SSD-ji ne znajo varno šifrirati

Oddelek: Novice / Varnost
317884 (4640) bbbbbb2015
»

Odkriti kritični ranljivosti v TrueCryptu (strani: 1 2 )

Oddelek: Novice / Varnost
5122764 (18177) MrStein
»

NSA lahko bere večino šifrirnega, ne pa vsega

Oddelek: Novice / NWO
4517168 (12961) deadzone
»

TrueCrypt na precepu (strani: 1 2 )

Oddelek: Novice / Varnost
7128831 (24191) MrStein
»

Izšel TrueCrypt 7.0 (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
11932212 (28712) Jst

Več podobnih tem