:

Szerző: Gálffy Csaba

2014. május 30. 13:45

Hirtelen megszakadt a TrueCrypt fejlesztése

Meglepő hirtelenséggel szűnt meg a TrueCrypt titkosítási megoldás fejlesztése. A készítők váratlan bejelentése szerint a szoftver nem biztonságos, ezért mindenkinek azt javasolják, hogy használatát szüntesse be, és térjen át platformspecifikus lemeztitkosításra.

"VIGYÁZAT: A TrueCrypt használata nem biztonságos, mivel javítatlan biztonsági hibákat tartalmazhat" - indít a TrueCrypt új, látványosan puritán weboldala. A népszerű és széles körben használt lemeztitkosítási szoftver fejlesztése az oldal szerint 2014 májusában leállt, helyette a névtelen készítők az operációs rendszerek beépített lemeztitkosítási megoldását ajánlják. A bejelentés abszolút váratlan volt, a TrueCrypt ugyanis épp felfelé ívelő pályán mozgott, független biztonsági auditja jelenleg is zajlott.

Az oldal azzal indokolja az egy évtizede fejlesztett TrueCrypt megszűnését, hogy a Windows XP támogatása lejárt, az újabb platformokon pedig már van natív lemeztitkosítás, mind Windows, mind OS X, mind Linux alapokon, a jövőben ezek használatát ajánlja. Az oldal szerint a szoftverben ráadásul súlyos biztonsági hiba van, ezért a használat azonnali beszüntetését és az alternatív megoldásokra való átállást javasolja. A TrueCrypt bejelentéssel egyidőben kiadott végső változata, a 7.2-es verzió ezt a migrációt támogatja, új titkosított lemez már nem hozható létre vele, a meglévők titkosítása azonban feloldható, így a lemez más megoldással újra lezárható, ehhez az oldal rövid leírást is ad.

Feltűnőbben nem is lehetne leállni

A hirtelen bejelentést a szakma és a sajtó is megdöbbenéssel fogadta, a névtelen, ismeretlen fejlesztők korábban semmilyen jelét nem adták annak, hogy a szoftver valahogyan a Windows XP életciklusához kötődne vagy a fejlesztést bármilyen más okból nem tudják folytatni. A Snowden-féle szivárogtatások és egyéb tényezők miatt a TrueCrypt iránt még nőtt is az igény, például ezért is finanszírozta a közösség a megoldás független auditját, amellyel a TrueCrypt a "felnőtt", komoly biztonsági szoftverek közé nyert volna felvételt.

Első körben ezért mindenki arra gyanakodott, hogy az oldalt támadók törték fel és a fejlesztők tudta nélkül helyezték ott el a leállásra vonatkozó üzenetet. Ennek azonban ellentmond, hogy a kitett végső verzió digitális aláírásához a korábban is használt privát kulcsot használták, vagyis annak készítője megegyezik a korábbi kiadások készítőjével. A projektet hosztoló SourceForge szerint a TrueCrypt fiókját nem törték fel - legalábbis erre utaló jelek nincsenek, a felhasználói mintázat megegyezik a korábbiakkal.

A közösségi indításra és finanszírozással beindult független audit találhatott valamilyen súlyos biztonsági problémát - lehetne a másik magyarázat. A két neves kriptográfus professzor által végzett módszeres felmérés azonban egyelőre semmit nem talált, az audit első köre, a bootloader komponens elemzése sikeresen lezárult, néhány apróbb hibát talált a szoftverben, de semmi súlyos nem bukkant elő. A második kör, a formális kriptanalízis jelenleg is folyik, Matthew Green, az egyik auditor szerint ebben sem találtak egyelőre semmilyen hibát.

A bejelentés okához valószínűleg azok az az elmélet járhat a legközelebb, amely szerint a szoftver készítőit titkos (és titoktartást követelő) bírósági határozattal kötelezhette együttműködésre valamilyen hatósági szerv. Ebben az esetben a készítők azt sem fedhetik fel, hogy kényszer alatt cselekednek, így az egyetlen kiskapu a buta ürüggyel végrehajtott leállás - a működés folytatását ugyanis nem követelheti a bíróság. Jelenleg ez a forgatókönyv tűnik legvalószínűbbnek, a buta ürügy (XP támogatásának megszűnése), a látványosan egyszerű weboldal és a kommunikáció stílusa is arra utalhat, hogy a készítők szándékosan figyelmet akartak kelteni. A bejelentéssel kapcsolatos elméleteket és azok pro/kontra érveit az Ars Technica összeszedte itt.

Mi is a TrueCrypt?

A TrueCrypt egy olyan lemeztitkosítást dolgozott ki, amellyel a számítógépen tárolt adatok teljes biztonságba helyezhetőek. A megoldás különlegessége, hogy a titkosított adatok jelenléte nem feltűnő, így egy felületes ellenőrzés során a titkosítás rejtve marad. Ez nem elhanyagolható szempont, ha a felhasználó fizikai fenyegetés alatt van és kikényszeríthető tőle a feloldókulcs, akkor a titkos adatok elrejtése fontos képesség. A TrueCrypt működése az operációs rendszer számára teljesen transzparens, a szoftver bootloaderként a rendszer előtt töltődik be.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

A modern operációs rendszerekben léteznek már beépített lemeztitkosítási megoldások, mind a Windows (Bitlocker), mind az OS X (FileVault), mind a Linux alatt. Ezek azonban egyrészt nem mindenki számára elérhetőek, a Bitlocker például a Windows otthoni kiadásának nem része, másrészt platformspecifikusak, vagyis operációs rendszerhez kötődnek.

A TrueCrypt jövője jelenleg erősen bizonytalan, a szoftver ugyanis nem az általánosan elfogadott szabad szoftveres licenceket használja, az Open Source Initiative állásfoglalása szerint pedig nem is minősül szabad szoftvernek. Emiatt egyelőre bizonytalan, hogy az amúgy nyílt forráskódú szoftver szabadon forkolható-e, a fejlesztést egy új csapat továbbviheti-e a jövőben.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról