Truecrypt ikke sikker lengre - anbefaler deg å bytte løsning.

[myhken]

Truecrypt har jo vært et program som har blitt anbefalt her på forumet, og andre steder, i mange år, som en god og gratis løsning for de som ønsker å kryptere filer / harddisker.

 

Løsningen har vært regnet som ganske så sikker, siden programmet er basert på åpen kildekode.

 

Versjon 7.1a ble lansert i 2012 og har vært den nyeste versjonen frem til nå.

 

For noen dager siden endret Truecrypt nettadresse til: http://truecrypt.sourceforge.net/ (fra truecrypt.org) og så ble versjon 7.2 lagt ut.

 

Samtidig dukker denne meldingen opp når du går inn på hjemmesiden dems:

 

 

Prøver du å installere Truecrypt versjon 7.2 (som du finner i en link nederst på siden ) får du ikke kryptert lengre.

Du får opp denne meldingen om du prøver å installere ver 7.2:

 

De sier ikke noe om hvilke sikkerhetshull som er funnet, men det sier jo mye når de anbefaler deg å bytte løsning totalt.

Så man må jo regne med at løsningen ikke er trygg lengre.

 

Det er lite informasjon ute på nett akkurat nå, så det er jo uklart om versjon 7.1a er regnet som utrygg, men ville jo nesten tro det.

 

Så baserer du deg på Truecrypt for å holde data trygg for andre, bør du vurdere sterkt å bytte programvare så raskt som mulig.

 

Siden forumet til Truecrypt også er borte nå, er spørsmålet om er dette reelt, eller er de hacket? Siden det er blitt lagt ut en ny versjon av TC, så virker det jo mer legitimt da. Hva tror du? Og bruker du TC i dag?

[Gjest Slettet-jDflNq]

Garantert et bakhull som måtte legges inn. TrueCrypt var usikkert pga bakhullet som ble lagt til i 7.2 er det de fleste spekulerer i på nå. Noe annet gir rett og slett ikke mening.

[myhken]

Fant dette blogg innlegget fra Twitter kontoen til han som har revidert Truecrypt nå i det siste, og der kommer det vel frem at de som har utviklet Truecrypt trolig har kastet inn håndkleet og TC nå er historie.

[Emancipate]

Ut i fra beskjedene på siden er det ikke funnet sikkerhetshull i TrueCrypt. Imidlertid er TrueCrypt utrygt fordi dersom det skulle oppdages et sikkerhetshull kommer det ikke til å bli fikset.

 

Mao - ingenting har skjedd, og det er bra. Men skulle et sikkerhetshull oppdages kommer ingenting til å skje, og det er ikke bra.

[Twinflower]

what?

 

Dette er trist. Og uforståelig.

 

 

edit: Teorier og omtale fra The Register

http://www.theregister.co.uk/2014/05/28/truecrypt_hack/

Endret 29. mai 2014 av Twinflower

[Gjest Slettet-x7D6du0Hjb]

Ifølge Wikipedia så er det malware i 7.2, og det skal ikke bekreftet at det ble lagt ut en slik versjon ei:

 

End of life announcement

On 28 May 2014, the TrueCrypt official website began redirecting to the SourceForge domain with a HTTP 301 "Moved Permanently" status, displaying a page featuring a warning that the software may contain unfixed security issues, and that development of TrueCrypt was ended "in 5/2014 after Microsoft terminated support of Windows XP". The message noted that more recent versions of Windows have built-in support for disk encryption using Bitlocker, and that Linux and Mac had similar built-in solutions, which the message states renders TrueCrypt unnecessary. The page recommends any data encrypted by TrueCrypt be migrated to other encryption setups and offers instructions on moving to BitLocker. The page also announced a new software version, 7.2, which only allows decryption. As of May 29, 2014, the authenticity of the announcement and new software has not been confirmed,[14][15][16] though preliminary investigations by the Register indicated the possible presence of malware in the most recent version, 7.2.

Er veldig kjipt at fyren gir seg, da jeg selv bruker truecrypt for å kryptere en del. Har brukt et i flere år, så dette er en veldig kjip dag for meg.

Endret 29. mai 2014 av Slettet-x7D6du0Hjb

[Twinflower]

 

Ifølge Wikipedia så er det malware i 7.2, og det skal ikke bekreftet at det ble lagt ut en slik versjon ei:

 

 

Fra TheReg:

 

We ran the executable in a virtual machine so that you don't have to, and on Windows 8.1 it was blocked by the SmartScreen feature, suggesting it may contain malware. Launching it on an older system immediately displayed the "warning" message before installation proceeded, and the dropped executables contained the above quoted text.

 

[Gjest Slettet-x7D6du0Hjb]

 

 

Var den artikelen som ble referert til på Wikipedia.

 

Synes dog dette virker som er rar sak, håper det bare er en tilfeldighet, og at teamet bak Truecrypt ikke faktisk har lagt ned prosjektet.

[myhken]

Har bruker programvaren fra Jetico.com i mange år også, i en kombinasjon med Truecrypt.

Har lisenser på:

BCWipe
BCWipe Total WipeOut
BestCrypt Container Encryption
BestCrypt Volume Encryption

 

Siden Jetico er et selskap fra Finland, har jeg alltid ansett det som tryggere enn selskaper fra USA. For mange år siden brukte jeg jo PGP, men føler liksom at det er større sjanse for en bakdør i PGP enn Jetico programmene. Kan jo selvsagt ta feil.

[myhken]

Litt mer info herfra... men ellers ikke så mye nytt.

 

 

Continuing Effort

Currently it is very unclear what really happened. Was it really just the end of a 10year effort, or was it driven by some government. While a simple defacement is more and more unlikely we still don't know where this is going. However the last 36 hours showed clearly that TrueCrypt is a fragile product and must be based on more solid ground. We start now with offering to download the Truecrypt file as is, and we hope we can organize a solid base for the Future.

 

There are no signs that there is any known security problem within TrueCrypt 7.1a and the audit will go on uninterrupted. Even though the trust into the developer team has diminshed drastically, we believe that there needs to be an Open Source, Cross plattform fulldisk encryption option.

[Stigma]

Dette hørtes veldig merkelig ut... en ting er ihvertfall HELT sikkert - bitlocker er på ingen måte en fullverdig erstatter featuremessig til truecrypt - og om det er noen som har bakdører installert for NSA osv. så kan du ihvertfall være sikker på at Microsoft er den første de presset til gjøre dette.... hvilket selvfølgelig ødelegger halve poenget med kryptering til å begynne med.

 

Det er vanskelig å si hva som har skjedd her, og vi må nok vente på mer info - men for min del så lukter dette mest av press fra en eller annen regjerings/sikkerhetstjeneste og at denne noe obskure meldingen er eneste måte folka bak truecrypt har hatt til å kjempe tilbake indirekte.

 

Jeg ville ihvertfall ikke stolt på denne nye versjonen før vi har mye mer info.

 

Hvis dette betyr døden for truecrypt så vil nok noen andre ta opp jobben med å lage et skikkelig opensource alternativ, men det er jo veldig synd om det betyr at man må begynne fra scratch.

 

Gitt at truecrypt bruker åpen kildekode så må det vel bare være et spørsmål om tid før folk med peil på slike saker gjennomgår programmet og verifiserer om det faktisk er noen sikkerhetsfeil her - eller om det er ugler i mosen med hele nyhetskunngjøringen. Hele nyheten lukter muffins i mine øyne. Det er en veldig merkelig måte å avslutte programmet på, og veldig "anonym" og obskurt.

 

EDIT: Nå skjer det jo visstnok en full revisjon av programmet av en tredjepart over sommeren så der får vi nok vite enda mer på sikt... Jeg tror jeg ville avventet med å gjøre noe som helst dersom du nå benytter truecrypt. Om det faktisk eksisterer noen sikkerhetshull (noe nyhetesmeldingen ikke en gang sier direkte) så er det ihvertfall enda ukjennt. Sitt og vent tror jeg er best - intill vi vet mer. No way at å bytte til bitlocker er noe mer sikkert ihvertfall...

 

-Stigma

Endret 30. mai 2014 av Stigma

[myhken]

 

Jeg ville ihvertfall ikke stolt på denne nye versjonen før vi har mye mer info.

 

Er jo ikke noe problem, siden versjon 7.2 mangler krypteringsfunksjonen. Kun mulig å åpne (dekryptere) allerede krypterte TC filer / partisjoner.

 

Mer og mer tyder på at det er teamet bak Truecrypt som har gitt seg. De har jo ikke gjort noe nytt siden v 7.1a kom ut i 2012, og nå etter revideringen som er gjort av denne fyren...(ble samlet inn ca $80.000 så han kunne gjøre jobben) ble det jo avdekket at kildekoden til TC var nokså uryddig.

 

Nå skriver de på Twitter kontoen at de likevel har planer om å revidere TC v 7.1a ferdig, det som gjenstår er kryptodelen av programmet.

 

 

OpenCryptoAudit @OpenCryptoAudit · 22h

We are continuing forward with formal cryptanalysis of TrueCrypt 7.1 as committed, and hope to deliver a final audit report in a few months.

 

Så om den revideringen også ikke avdekker noen feil, tyder alt på at Truecrypt v 7.1a er helt sikker. Bakdelen er jo selvsagt at om noen superhacker skulle finne noe hull/svakhet i TC i fremtiden så blir ingen ting gjort for å fikse det.

 

Så på sikt bør nok folk bytte løsning. Og ja, Bitlocker er vel ikke det jeg ville byttet til.

 

Tror jeg velger å bruke BC programmene fra Jetico, men det finnes sikkert andre gode løsninger der ute som kanskje ikke koster så mye.

[sedsberg]

Når noen fraråder folk å bruke Truecrypt og heller bruke bitlocker så virker det på meg som om de har fått NSA på nakken. Med hagle e.l.

 

Truecrypt er kjent for å være like sikkert som Bitlockler er "kjent" for å være vid åpent.

[myhken]

Virker likevel litt rart at de da gidder å lage en versjon 7.2 som kun lar deg dekryptere samt at den gir deg advarsel om at TC ikke er sikker lengre.

 

Nå har jo utviklerne av TC vært anonyme i mange år, så NSA burde jo ha noe vanskeligheter med å true ukjente folk.

 

Kanskje bare nok et bevis på at det faktisk koster tid og penger å utvikle gode programmer, og at det er vanskelig å utvikle noe såpass sært uten å få en krone i betaling.

De sier at det "kun" har vært 30 millioner nedlastninger av TC, så det er jo langt fra så utbredt som f.eks Linux distroer osv, som har et mye større apparat rundt seg.

[Stigma]

At de bare ikke gidder/kan utvikle lengre er på ingen måte en uventet melding å få - det er bare måten de har valgt å komme med nyheten som lukter råtten fisk.

 

Som du sier så virker det mest logisk å sitte på 7.1 nå, avvente at revisjonen er ferdig og se hva de har å si - og så på lengre sikt se etter alternativer litt avhengig av hva revisjonen kommer frem med av konklusjon. Om de ikker finner feil eller store mangler så ser jeg egentlig ingen skrikende behov etter å erstatte 7.1 i første omgang.

 

Jeg håper at det kommer frem noen mulighet for at andre kan videredrive koden dog... jeg kan ikke mye om lovdetaljer rundt slikt, men man skulle jo ihvertfall tro at ved et slikt anonymt opensource prosjekt så ville forfatterene tillate at andre frivillige tok over arbeidet for videre utvikling når de kastet in håndkledet (for det finnes det helt sikkert folk som er villige til å gjøre). Hvis de aktivt blokkerer det så er det igjen en slik ting som får meg veldig til å lure på hva motivasjonen bak er...

 

Merkelig med 7.2 med kun decrypt ja. Må vel annta (så lenge man ikke spekulerer i om det er malware eller andre skumle hennsikter) at det bare er 7.1 i så fall med features disablet - men da kunne man jo bare brukt 7.1. Det virker jo som om de prøver å drepe sitt eget prosjekt - jeg forstår bare ikke motivasjonen gitt at vi ikke spekulerer i at de er blitt presset til det.

 

-Stigma

Endret 30. mai 2014 av Stigma

[Bytex]

Men hvorfor anses det som SIKRERE fordi det har åpen kildekode? Det betyr jo at hvem som helst bare kan endre koden til det de vil, rekompilere og sende ut til folk med bakdører og det som verre er?

[myhken]

Men hvorfor anses det som SIKRERE fordi det har åpen kildekode? Det betyr jo at hvem som helst bare kan endre koden til det de vil, rekompilere og sende ut til folk med bakdører og det som verre er?

 

Ikke så lenge du lastet ned versjonen fra Truecrypt sine sider, den versjonen var signert digitalt slik at du kunne sjekke at du lastet ned den offisielle versjonen.

Samtidig har ikke kildekoden vært så åpen at alle og en hver bare har kunne laget sine egne versjoner. Så vidt jeg vet har det ikke vært noen uoffisielle versjoner ute på nett av Truecrypt.

 

Fordelen med åpen kildekode, er jo at alle som gidder kan sette seg inn i koden for å se om det faktisk finnes en bakdør eller andre svakheter.

Likevel er dette en så stor jobb at det faktisk måtte ca $80.000 til for at jobben skulle gjøres skikkelig, så det sier vel seg selv at det tar litt tid å gå gjennom koden.

 

Nå har f.eks en ny side http://truecrypt.ch/ dukket opp, og de gir deg ver 7.1a til nedlasting. Men skulle det dukke opp nye versjoner her, ville jeg jo blitt litt betenkt. Per nå, ligger den offisielle v 7.1a filen der, med riktig signatur.

Endret 30. mai 2014 av myhken

[Stigma]

Men hvorfor anses det som SIKRERE fordi det har åpen kildekode? Det betyr jo at hvem som helst bare kan endre koden til det de vil, rekompilere og sende ut til folk med bakdører og det som verre er?

 

Er det ikke åpenbart? fordi om man endrer koden med skumle hennsikter så er det åpent for alle å se (vel, alle med den påkrevde tekniske innsikten vel og merke). Det garanterer i praksis at man blir tatt på fersken om man prøver å gjøre det.

 

programmermed åpen kildekode kan man kompilere selv om man vil være helt sikker på at det er koden du ser som faktisk ligger i programmet - og dersom man endret dette og prøvde seg på en spansk en så ville dette også være enkelt å oppdage pga. det ferdig kompilerte programmet ikke ville matchet det programmet man fikk når man kompilerte koden som programmet hevdet å basere seg på. Igjen så garanterer åpen kildekode for at slike snikmetoder blir oppdaget relativt fort.

 

Lukkede programmer som bitlocker derimot er det ingen kontroll på. Der må man helt og holdent stole på utgiveren og tro og håpe at de har rent mel i posen. Jeg er ingen konspirasjonteoretiker generellt sett, men i disse dager må man vel være på grensen til kriminellt naiv for å tro at ikke software giganter som Microsoft samarbeider (eller er tvunget til å samarbeide) med diverse sikkerhetsorganisasjoner og deres partnere. Det betyr ikke at ikke løsninger som bitlocker ikke er sikkert gor generellt bruk - men når det finnes bakdører så vil de alltid kunne lekke, og for min del strider det fundamentalt mot hennsikten til kryptering til å begynne med, så det blir et uaktuellt alternativ for min del.

 

Åpen kildekode som er åpent for å undersøke både for sikkerhetsfeil og skumle hennsikter er egentlig eneste måten du kan lage noe slikt.

 

-Stigma

Endret 30. mai 2014 av Stigma

[Gjest Slettet-x7D6du0Hjb]

Som Steve Gibson sa:

 

For reasons that remain a titillating source of hypothesis, intrigue and paranoia, TrueCrypt's developers chose not to graciously turn their beloved creation over to a wider Internet development community, but rather, as has always been their right granted by TrueCrypt's longstanding license, to attempt to kill it off by creating a dramatically neutered 7.2 version that can only be used to view, but no longer to create new, TrueCrypt volumes.

Then, leveraging the perverse and wrongheaded belief that software whose support was just cancelled renders it immediately untrustworthy, they attempted to foreclose on TrueCrypt's current and continued use by warning the industry that future problems would remain unrepaired. This being said of the latest 7.1a version of the code that has been used by millions, without change, since its release in February of 2012, more than 27 months before. Suddenly, for no disclosed reason, we should no longer trust it?

 

 

https://www.grc.com/misc/truecrypt/truecrypt.htm

 

Har egentlig ikke mistet tilliten til Truecrypt, da det ikke er bevist at det er svakheter som ennå kan utnyttes. Og det faktum at den siste versjonen av Truecrypt, 7.1a, ble utgitt i 2012, altså for to år siden. Det er ingen tvil om at koden fremdeles er trygg å bruke.

Endret 3. juni 2014 av Slettet-x7D6du0Hjb

[myhken]

Nå har det i alle fall gått såpass lang tid at vi kan utelukke at sidene ble hacket.

Så da er det utviklerne som har valgt å avslutte prosjektet av grunner vi kanskje aldri får vite.

 

Har brukt Bestcrypt nå siden dette kom ut, men må si at Truecrypt er enklere og raskere i bruk enn BC.