Kdo a proč zabil TrueCrypt?
i Zdroj: PCTuning.cz
Software Článek Kdo a proč zabil TrueCrypt?

Kdo a proč zabil TrueCrypt? | Kapitola 4

Michal Rybka

Michal Rybka

6. 6. 2014 07:00 49

Seznam kapitol

1. Děkujeme, odcházíme 2. Vaporizace v praxi 3. Byl by to prapodivný hack 4. Audit procházel, tak to balíme
5. Když se i superpočítači zavaří švábi 6. I TrueCrypt prolomíte, stačí jen... 7. CIA, FBI, NSA, MIB, nebo kdo? 8. Když terorista ztratí flešku

Ve středu 28. května náhle zmizela doména truecrypt.org a stránka, na kterou jsme byli přesměrováni, značně připomínala nejapný hackerský žert. Spolu s tím se objevila „vylepšená“ verze TrueCryptu 7.2, která má sloužit k tomu, abyste dekódovali zašifrovaná data a přešli na „modernější a bezpečnější“ řešení. S postupem času ale šance, že to byl jenom hack, stále klesá. Tak jak to vlastně s tím TrueCryptem je?

Reklama

Další alternativou je idea, že vývoj TrueCryptu byl ukončen vývojáři z nějakého důvodu dobrovolně (už je to nebavilo, odešli do důchodu, umřeli, cokoliv). To zcela neodpovídá stylu ukončení projektu, který není ukončen jenom ve stylu „že to zapálili a odešli", jak se často objevuje na internetu. Ne, celý projekt byl úmyslně zničen, podminován a vyhozen do vzduchu tak, aby z něj nic nezbylo, alespoň tedy v dosahu toho, co s tím udělat mohli. Ukončení projektu se dělá obvykle tak, že ukončení oznámíte, vyvěsíte všechny verze a zdrojáky a také dokumentaci – prostě ho předáte komunitě, aby si s ním dělala, co uznáte za vhodné.

Stal se pravý opak, všechny starší verze zmizely a zůstala jediná, totiž 7.2, která je úmyslně osekaná a napůl nefunkční. Provedení „nového webu“ je extrémně primitivní, což velice významně kontrastuje s kvalitním provedením dokumentace TrueCryptu. Ta je rozsáhlá, podrobná, přesně vysvětluje, co a jak funguje, odkazuje se na normy, cituje zdroje. Kdybych si mohl dovolit rychlý odhad od boku, tak bych řekl, že ji dělali lidé pohybující se v akademickém, anebo korporátním prostředí, kde jsou zvyklí na vysoké standardy.

Další teorie říká, že od počátku šlo o past ze strany tajných služeb, které nabídly nástroj, do kterého lidi nahrávali „to, co bylo opravdu důležité". Odhlédněme od toho, že většina normálních uživatelů na TrueCryptové disky patrně pouze nahrává porno, aby jim na to nepřišla jejich žena a děti, a předpokládejme, že to je opravdu tak a lidé tam nahrávají něco, co by mohlo zajímat vlády a tajné služby. Pak má tato teorie několik problémů.

Kdo a proč zabil TrueCrypt?
i Zdroj: PCTuning.cz


"" by Unknown photographer - . Licensed under Public domain via Wikimedia Commons.

TrueCrypt není zcela OpenSource (má licenci TrueCrypt, ne licenci OpenSource), nicméně jeho zdrojové kódy jsou k dispozici všem trvale už od roku 2004. Kdyby obsahovaly zjevný backdoor, už by se na to přišlo. V současnosti probíhá crowfundovaný Open Crypto Audit Project, který analyzuje zdrojové kódy a hledá chyby. Tento projekt, inspirovaný odhaleními Edwarda Snowdena a podezřením, že pánové z NSA se navrtali do každé významnější americké IT firmy, zatím ve zdrojácích TrueCryptu nenalezl žádný významný problém.

Ne že by tam nebylo nic špatného. Audit ve zprávě z února 2014 konstatoval, že vývojový tým používá zastaralé buildovací nástroje, které se těžko získávají a je riziko, že tyto nástroje samotné budou obsahovat malware. Kvůli jejich používání je také těžké získat reprodukovatelný build. Kód samotný je řídce komentovaný a byl označen jako těžko udržovatelný, což patrně souvisí s délkou vývoje.

První fáze auditu ve vybraných částech kódu nalezla celkem 11 slabin, z nichž žádná není vážná. Audit nenalezl „žádné náznaky backdoorů pro tajný přístup či úmyslně vytvořeného škodlivého kódu, nalezené problémy vypadají spíše jako neúmyslné chyby než jako úmyslně vytvořené slabiny". Tým TrueCryptu kvitoval závěr první fáze auditu pozitivně s tím, že se těší na další pokračování, které proběhne v létě a půjde o formální analýzu implementace kryptografických algoritmů. Z tohoto pozorování bychom klinicky vyvodili, že ještě v únoru tohoto roku náš pacient žádné známky sebevražedného chování nevykazoval. Závěry první fáze auditu si zájemci mohou jako PDF stáhnout odsud (mirror) a sami je prostudovat.

Také IT média popisovala výsledek auditu poetickým, i když ironickým způsobem „Sloppy, but secure“ (lajdácký, ale bezpečný).

Předchozí
Další
Reklama
Reklama

Komentáře naleznete na konci poslední kapitoly.

Reklama
Reklama