Kdo a proč zabil TrueCrypt?
autor: Michal Rybka , publikováno 6.6.2014
Kdo a proč zabil TrueCrypt?

Ve středu 28. května náhle zmizela doména truecrypt.org a stránka, na kterou jsme byli přesměrováni, značně připomínala nejapný hackerský žert. Spolu s tím se objevila „vylepšená“ verze TrueCryptu 7.2, která má sloužit k tomu, abyste dekódovali zašifrovaná data a přešli na „modernější a bezpečnější“ řešení. S postupem času ale šance, že to byl jenom hack, stále klesá. Tak jak to vlastně s tím TrueCryptem je?


Poslední varianta, kterou považuji za nejpravděpodobnější, je „intervence vyšší moci", tedy nějakého z „třípísmenných amerických úřadů". Jak jsem už říkal, není dosud znám případ, že by se do TrueCryptu někdo prolomil silou, přestože se o to FBI už snažila. Tvůrci TrueCryptu zůstali celou dobu anonymní, jejich snažení ale zastřešuje TrueCrypt Foundation se sídlem v Nevadě, tedy pod jurisdikcí USA. V USA už došlo k nátlaku ze strany federálních úřadů na to, aby úřady pomocí instalace sledovacích zařízení získaly plný přístup k uživatelským datům na zabezpečené emailové službě Lavabit. Zakladatel Lavabitu Ladar Levinson se rozhodl nátlaku nepodlehnout a po prohrané soudní při raději službu zrušil. Jak to vypadalo v praxi, se můžete dočíst v rozsáhlém textu přímo na stránkách Lavabitu.

Kdo a proč zabil TrueCrypt?

Současná situace kolem TrueCryptu, totiž úplné řízené zrušení produktu, jeho krok velmi připomíná. Přestože byli tvůrci anonymní, nadace TrueCrypt Foundation přijímala dary přes platební systém PayPal a byli tedy dohledatelní. Je tedy možné, že i je oslovili hodní pánové z FBI a oznámili jim, že by měli spolupracovat a zajistit, aby se dalo nějak do zabezpečených kontejnerů dostat. A je velmi pravděpodobné, že i v tomto případě tvůrci odmítli a „raději nalehli na svůj meč", než aby zradili myšlenku, se kterou projekt založili. Pokud byl na ně uvalen příkaz mlčenlivosti (gag order) ve formě NSL (National Security Letter), vysvětluje to divné mlčení a nesmyslnou argumentaci na nově vytvořené stránce. Tento příkaz je v USA přes první ústavní dodatek zajišťující svobodu slova uvalen překvapivě často (Wikipedia uvádí „stovky tisíc NSL doplněných o gag order") a přestože bylo toto nařízení napadeno soudně jako neústavní, námitka byla zamítnuta kvůli platnému Patriot Act. To víte, teroristi a tak.

Zajímavé čtení v tomto kontextu představuje diff (soubor indikující změny) mezi verzemi 7.1 a 7.2. Je to už trochu paranoidní spekulace, ale když se na diff podíváte, zjistíte, že ve většině případů jde o změny způsobené mazáním obrovských částí kryptografických a zápisových rutin a jejich nahrazení zobrazením varování, že verze není bezpečná – AbortProcess("INSECURE_APP"). Jde o takové vykastrování kódu o zápisové rutiny.

Mimo to se tam ovšem objevuje na devíti místech zajímavé vymazání poznámky

// English (U.S.) resources

a její přepsání na

// English (United States) resources

Proč? Proč byste ve zdrojáku kódu, který jenom prosekáváte, měnili poznámku, která nemá funkční význam? Prošel jsem ten diff celý, je v něm několik změn poznámek, ale ty se týkají změn funkčnosti anebo jde o změny týkající se čísel verze. Tato konkrétní změna ale nemá žádný význam ani faktický, dokonce nejde ani o změnu obsahovou, je to prostě přepsání jedné formy názvu Spojených Států na jinou formu, čili o krok zjevně zcela zbytečný.

Kdo a proč zabil TrueCrypt?

Nebo není? Představte si, že byste dostali soudní příkaz k mlčení (gag order) a nemohli nijak ostatním sdělit, že za vámi přišli příjemní pánové z FBI, jak se to stalo zakladateli Lavabitu. Máte rádi kryptografii, hádanky, tak jak byste sheldonovsky hravým a věrohodně popiratelným způsobem naznačili ostatním vývojářům, odkud vítr vane? Tohle je už hodně spiklenecká teorie, s tím souhlasím, ale v tom zdrojáku to prostě je a nedává to žádný smysl, snad mimo to, že ten, kdo upravoval zdroják ze 7.1 na 7.2 se prostě nemohl dívat na zkratku „U.S.“ a rozčilovalo ho to natolik, že to musel přepsat.

Změny ve zdrojáku (konkrétně v licenčním souboru TrueCrypt License Version 3.1) rovněž obsahují změny z „doménového jména truecrypt.org“ na „doménové jméno truecrypt", takže ten, kdo build 7.2 připravoval, rozhodně věděl, anebo přímo plánoval rušení domény truecrypt.org. Vzhledem k rozsahu změn to musel vědět dříve, než ke zrušení došlo. Provedení samotné bylo synchronní – ke zrušení domény došlo ve chvíli, když byla verze 7.2 s osekanou funkčností uploadována.



 
Komentáře naleznete na konci poslední kapitoly.
307 čtenářů navrhlo autorovi prémii: 148.7Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.