Kdo a proč zabil TrueCrypt?
autor: Michal Rybka , publikováno 6.6.2014
Kdo a proč zabil TrueCrypt?

Ve středu 28. května náhle zmizela doména truecrypt.org a stránka, na kterou jsme byli přesměrováni, značně připomínala nejapný hackerský žert. Spolu s tím se objevila „vylepšená“ verze TrueCryptu 7.2, která má sloužit k tomu, abyste dekódovali zašifrovaná data a přešli na „modernější a bezpečnější“ řešení. S postupem času ale šance, že to byl jenom hack, stále klesá. Tak jak to vlastně s tím TrueCryptem je?


Další alternativou je idea, že vývoj TrueCryptu byl ukončen vývojáři z nějakého důvodu dobrovolně (už je to nebavilo, odešli do důchodu, umřeli, cokoliv). To zcela neodpovídá stylu ukončení projektu, který není ukončen jenom ve stylu „že to zapálili a odešli", jak se často objevuje na internetu. Ne, celý projekt byl úmyslně zničen, podminován a vyhozen do vzduchu tak, aby z něj nic nezbylo, alespoň tedy v dosahu toho, co s tím udělat mohli. Ukončení projektu se dělá obvykle tak, že ukončení oznámíte, vyvěsíte všechny verze a zdrojáky a také dokumentaci – prostě ho předáte komunitě, aby si s ním dělala, co uznáte za vhodné.

Stal se pravý opak, všechny starší verze zmizely a zůstala jediná, totiž 7.2, která je úmyslně osekaná a napůl nefunkční. Provedení „nového webu“ je extrémně primitivní, což velice významně kontrastuje s kvalitním provedením dokumentace TrueCryptu. Ta je rozsáhlá, podrobná, přesně vysvětluje, co a jak funguje, odkazuje se na normy, cituje zdroje. Kdybych si mohl dovolit rychlý odhad od boku, tak bych řekl, že ji dělali lidé pohybující se v akademickém, anebo korporátním prostředí, kde jsou zvyklí na vysoké standardy.

Další teorie říká, že od počátku šlo o past ze strany tajných služeb, které nabídly nástroj, do kterého lidi nahrávali „to, co bylo opravdu důležité". Odhlédněme od toho, že většina normálních uživatelů na TrueCryptové disky patrně pouze nahrává porno, aby jim na to nepřišla jejich žena a děti, a předpokládejme, že to je opravdu tak a lidé tam nahrávají něco, co by mohlo zajímat vlády a tajné služby. Pak má tato teorie několik problémů.

Kdo a proč zabil TrueCrypt?
"NSOC-2012" by Unknown photographer - National Security Agency. Licensed under Public domain via Wikimedia Commons.

TrueCrypt není zcela OpenSource (má licenci TrueCrypt, ne licenci OpenSource), nicméně jeho zdrojové kódy jsou k dispozici všem trvale už od roku 2004. Kdyby obsahovaly zjevný backdoor, už by se na to přišlo. V současnosti probíhá crowfundovaný Open Crypto Audit Project, který analyzuje zdrojové kódy a hledá chyby. Tento projekt, inspirovaný odhaleními Edwarda Snowdena a podezřením, že pánové z NSA se navrtali do každé významnější americké IT firmy, zatím ve zdrojácích TrueCryptu nenalezl žádný významný problém.

Ne že by tam nebylo nic špatného. Audit ve zprávě z února 2014 konstatoval, že vývojový tým používá zastaralé buildovací nástroje, které se těžko získávají a je riziko, že tyto nástroje samotné budou obsahovat malware. Kvůli jejich používání je také těžké získat reprodukovatelný build. Kód samotný je řídce komentovaný a byl označen jako těžko udržovatelný, což patrně souvisí s délkou vývoje.

První fáze auditu ve vybraných částech kódu nalezla celkem 11 slabin, z nichž žádná není vážná. Audit nenalezl „žádné náznaky backdoorů pro tajný přístup či úmyslně vytvořeného škodlivého kódu, nalezené problémy vypadají spíše jako neúmyslné chyby než jako úmyslně vytvořené slabiny". Tým TrueCryptu kvitoval závěr první fáze auditu pozitivně s tím, že se těší na další pokračování, které proběhne v létě a půjde o formální analýzu implementace kryptografických algoritmů. Z tohoto pozorování bychom klinicky vyvodili, že ještě v únoru tohoto roku náš pacient žádné známky sebevražedného chování nevykazoval. Závěry první fáze auditu si zájemci mohou jako PDF stáhnout odsud (mirror) a sami je prostudovat.

Kdo a proč zabil TrueCrypt?

Také IT média popisovala výsledek auditu poetickým, i když ironickým způsobem „Sloppy, but secure“ (lajdácký, ale bezpečný).



 
Komentáře naleznete na konci poslední kapitoly.
307 čtenářů navrhlo autorovi prémii: 148.7Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.