Premium

Získejte všechny články
jen za 89 Kč/měsíc

Záhada: Naše šifra není bezpečná, utečte! varuje teď oblíbený TrueCrypt

  8:36aktualizováno  14:02
Na oficiální stránce programu TrueCrypt se objevilo varování o tom, že aplikace není bezpečná. "Měli byste si ji stáhnout jen za účelem přechodu na BitLocker," vyzývá graficky neupravený web. Přestože varování vypadá podezřele a nekonzistentně s dlouhým vývojem programu, někteří odborníci si myslí, že je reálné.
Varování na stránkách programu TrueCrypt vzbuzuje pochybnosti

Varování na stránkách programu TrueCrypt vzbuzuje pochybnosti | foto: montáž Technet.cz

TrueCrypt

Bezplatný opensource program pro šifrování dat. Má pověst nezávislosti a vysoké bezpečnosti.

Mezi hlavní funkce patří silné šifrování celých diskových jednotek a oddílů, vytváření souborů s virtuálním zašifrovaným diskem nebo vytvoření neviditelného úkrytu.

První verze programu vyšla v roce 2004 a vycházela z předchozího opensourcového projektu E4M. Poslední významný update aplikace proběhl v roce 2010 (verze 7.0).

Ochrannou známku TrueCrypt má od roku 2007 registrovanou David Tesařík, který ji poté převedl na TrueCrypt Developers Association se sídlem v americké Nevadě. Tuto, stejně jako TrueCrypt Foundation, vede podle oficiálních záznamů Ondřej Tesařík.

Projekt TrueCrypt patří k nejznámnějším a nejoblíbenějším programům pro osobní šifrování dat. Dosud není známo, že by byl v uplynulých deseti letech projekt úspěšně napaden. Nenadálé oznámení "konce projektu" je proto přinejmenším podezřelé a řada odborníků se na něj dívá skepticky.

"Varování: používání TrueCryptu není bezpečné, neboť může obsahovat neopravené bezpečnostní chyby.Tato stránka existuje pouze aby vám pomohla migrovat existující data zašifrovaná programem TrueCrypt," píše se na stránce truecrypt.sourceforge.net, na kterou přesměrovává oficiální TrueCrypt.org (záloha nové stránky s varování zde). Verze, která je nyní ke stažení, neumí vytvářet nové zašifrované jednotky, pouze pracuje s těmi vytvořenými v minulých verzích programu TrueCrypt.

28. května večer se objevila nová verze TrueCrypt (7.2), starší verze zmizely. Zároveň byly všechny stránky smazány a zůstalo jen graficky neupravené varování - "Používání TrueCrypt není bezpečné".

Stránka ukončení vývoje zdůvodňuje tím, že od května 2014 končí podpora Windows XP. "Pozdější systémy už podporují zašifrované disky, stejně jako další platformy," naznačuje stránka, proč došlo k ukončení právě teď. "Měli byste z TrueCryptu migrovat na zašifrované disky nebo virtuální obrazy disku podporované na vaší platformě."

Nová verze TrueCrypt 7.2 neumí šifrovat, jen dešifrovat

Varování: Používání TrueCryptu není bezpečné, jelikož program může obsahovat neopravené chyby. Použijte jej pouze na dešifrování dat dříve zašifrovaných TrueCryptem. K zašifrování používejte BitLocker.

Varování se zobrazí při instalaci i při pokusu o zašifrování dat. Nová verze umí pracovat pouze s již zašifrovanými daty.

Platforma TrueCrypt je hojně doporučována bezpečnostními experty, mimo jiné i proto, že jde o open-source projekt a každý tak může prověřit, čím se zabývá. Tento program údajně (spolu s dalšími aplikacemi) používá i Edward Snowden a doporučil jej i ostatním.

Pochybné oznámení, ale podpisy zřejmě souhlasí

Toto nenadálé oznámení je podezřelé hned z několika důvodů:

  • Zdůvodnění kulhá - jediný náznak zdůvodnění spočívá v tom, že "Microsoft ukončil podporu Windows XP". To je ale jen jedna z mnoha platforem, pro kterou TrueCrypt existoval, podporoval i OS X, Linux a další. Navíc zavedené opensourcové projekty nemají ve zvyku vyklízet pole jen proto, že existuje proprietální konkurence. Naopak, cílem je nabídnout k těmto (často zpoplatněným nebo neprůhledným) programům bezplatnou a otevřenou alternativu.
  • Právě probíhá bezpečnostní audit TrueCryptu - načasování je nanejvýš podivné i proto, že od listopadu 2013 probíhá profesionální bezpečnostní audit zdrojových kódů TrueCrypt ve spolupráci s univerzitami a bezpečnostními experty. Komunita na audit vybrala kolem milionu Kč a první fáze auditu (PDF, březen 2014) dopadla úspěšně. Byly objeveny některé chyby, ovšem žádné natolik významné, aby opravňovaly k okamžité dezerci projektu.
  • Plánovaná budoucnost - Ještě před týdnem stránka věnovaná budoucnosti projektu (nyní nedostupná) vyjmenovávala řadu plánů, mimo jiné i plnou podporu pro Windows 8. Je tedy nepravděpodobné, že by tým z ničeho nic obrátil a projekt opustil.

Protože od začátku byli vývojáři většinou nejmenovaní, skrytí pod kolektivním pseudonymem TrueCrypt Foundation, je nyní nanejvýš obtížné zjistit, o co v tomto případě jde. Podpis, kterým je nová verze programu podepsaná, údajně souhlasí (pozn.red. - nepodařilo se nám zatím získat definitivní potvrzení). Jeden z lidí, kteří se podíleli na auditu, Matthew Green, profesor kryptografie na americké Univerzitě Johna Hopkinse, se snaží získat potvrzení od "svého kontaktu v TrueCrypt", se kterým spolupracoval na auditu, ale moc šancí tomu nedává.

28.května 2014 v 20:15, příspěvek archivován: 29.května 2014 v 09:20

I sent an email to our contact at Truecrypt. I'm not holding my breath though.

Krátce na to tweetnul, že se obává, že jde o skutečný konec projektu.

28.května 2014 v 20:38, příspěvek archivován: 29.května 2014 v 09:18

@SteveBellovin @mattblaze @0xdaeda1a I think this is legit.

Jedním z výkladů tedy zůstává, že program skutečně dobrovolně skončil. Jde ovšem o velmi podivný konec. Další spekulace hovoří o tom, že TrueCrypt byl napaden hackerem, který jej měl za úkol znemožnit a znedůvěryhodnit. Jiná mluví o možnosti, že TrueCrypt byl nějakým tajným legálním procesem dotlačen k tomu, aby do příští verze dal "zadní vrátka", a autoři se tomu mohli vzepřít jedině tak, že svůj projekt sami znedůvěryhodní. Podobný proces proběhl u služby Lavabit (kterou Snowden rovněž používal), její autor se v srpnu 2013 rozhodl službu raději zavřít, než aby musel spolupracovat s americkou vládou.

Čtyři hypotézy: Útok, zánik, legalita nebo past

Na základě ohlasů odborníků i diskutujících jsme sestavili přehled tří nejčastěji se opakujících teorií, které se snaží nečekaný krok vysvětlit.

1. Hackerský útok nebo snaha o diskreditaci

Tato možnost předpokládá, že se poslední události dějí bez vědomí či svolení autorů TrueCryptu. Může jít buď o skupinu hackerů nebo o tajnou službu, které je silné šifrování dostupné pro masy trnem v oku.

Proč ano: Šlo by o účinnou diskreditaci, ze které by se TrueCrypt těžko vzpamatoval.

Proč ne: Provedení takového útoku by bylo značně náročné. Pokud by měl někdo přístup ke kódu a ke klíčům, mohl by místo toho do všech verzí (nebo jen do binárních aplikací) vložit zadní vrátka. SourceForge potvrdil, že nedošlo k výjimečné aktivitě, a ani klíče se nezměnily.

2. Dobrovolný konec kvůli nemoci, strachu, chybám nebo dalším projektům

Neznáme autory projektu, ale dá se předpokládat, že jde o schopné programátory a kryptografy. Je možné, že se dostali do středu zájmů (začali pracovat v organizaci, která jim nedovolovala pracovat na projektu). Případně mohlo dojít k tragické události (nemoci, úmrtí apod.), která nedovolovala v projektu pokračovat. Je také možné, že autory znepokojil podrobný a profesionální audit, který - ač nenašel chyby - označil kód za "nedostatečně kvalitní a nepřehledný pro dlouhodobý vývoj".

Proč ano: Vzhledem k anonymitě autorů něco takového nelze snadno potvrdit ani vyvrátit. Pokud si autoři hlídali svou anonymitu dosud, teď to budou dělat o to spíše.

Proč ne: Konec opensourcového projektu obvykle vypadá jinak. Buď odumře, nebo jej převezme někdo jiný. Ani jednomu ale nedali autoři v tomto případě šanci, což je přinejmenším zvláštní.

3. Jediný možný odpor proti právnímu nátlaku

Pokud se autoři dostali do kontaktu s například americkou tajnou službou (např. NSA, CIA nebo FBI), mohla po nich tato organizace chtít takovou úpravu, která by software učinila nebezpečným. Je dále možné - a zde jde o čistou spekulaci - že autoři nemohli o takové změně dát vědět oficiální cestou. Jediné, co mohli udělat, je dát do vlastního software upozornění, že je zcela nedůvěryhodný, aby tak zamezili jeho zneužití.

Proč ano: Tato taktika je známá, psal o ní např. Cory Doctrow a přistoupil k ní i provozovatel Lavabit. Vysvětlovalo by to, proč jsou smazány staré verze (ani za ně by programátoři nemohli ručit).

Proč ne: Bylo by zvláštní, kdyby o tomto někdo neměl informaci (leak) od samotných autorů, kteří by jistě dokázali informaci vypustit, aniž by k nim šla vysledovat.

4. TrueCrypt byla od začátku past na ty, kteří chtějí něco skrývat

Poslední teorie - tak trochu na hraně teorie konspirační, nicméně už delší dobu oblíbená - se zabývá možností, že celý projekt je už od roku 2004 pastí na ty, kteří něco chtějí šifrovat (této taktice se říká "honeypot", neboli hrnec s medm). Ve skutečnosti by šlo o program obsahující (v otevřeném kódu dovedně skrytá) zadní vrátka. A protože právě probíhá audit, může se provozovatel (opět např. tajné služby) bát, že by se na vrátka přišlo a tak raději zavírá krám.

Proč ano: O autorech téměř nic nevíme, i "zdroje blízké věci" s nimi komunikovaly přes anonymní spojení. Nechala by americká vláda vyvíjet americkou firmu šifrování, které ani tajné služby neprolomí?

Proč ne: Napodobit běh opensource by bylo obtížné, stejně jako by bylo obtížné udržovat jej "cinknutý" po celou dobu.

Odborníci: Je to divný konec, který komunitu poškodí

Uznávaný specialista na počítačovou bezpečnost, Brian Krebs, souhlasí s Greenem: "Stránka nevykazuje žádné znaky hackerského útoku, ani na záznamech Whois, ani DNS. Také digitální podpis nové aplikace je totožný s podpisem z ledna tohoto roku. Tato dvě fakty, dohromady, značí, že oznámení je opravdové a TrueCrypt skutečně končí."

"Myslím, že to udělal tým TrueCrypt. Rozhodli se skončit a toto je jejich typický způsob, jak to udělat," řekl Krebsovi Green v krátkém telefonickém rozhovoru. Vývojáři TrueCryptu si vřdy dávali záležet na utajení svých identit, což Green dlouhodobě považoval za problematické.

Audit programu, na kterém se Green podílel, nenašel žádné výrazné nedostatky, ovšem uvedl, že program je "vytvářen pomocí zastaralých nástrojů" a "kvůli nedůsledné kvalitě bude v budoucnu těžké tento program udržovat".

Green přesto doufá, že se programu nějaká komunita chopí. Budoucím dobrovolníkům to ale současný tým příliš neusnadnil. Mimo jiné smazal depozitáře předchozích verzí včetně zdrojových kódů. "Je hodně věcí, které mohli udělat lépe, aby umožnili někomu ve vývoji pokračovat," říká Green. "A možná to tím, co udělali dnes, úplně znemožnili. Celý ten projekt podpálili, a teď už jim možná nikdo nebude věřit, protože tu bude podezření, že je v kódu nějaká strašlivá zranitelnost."

Green, který program dlouhodobě kritizoval, přiznává, že při práci na bezpečnostním auditu programu začal více důvěřovat. "Měl jsem dojem, že jsou to hodní kluci, kteří na sebe prostě nechtěli upozorňovat," říká Green. "Ale tímhle rozhodnutím jsou pro mne zase o trochu méně důvěryhodní. Taky se trochu bojím, že je možná vyděsil fakt, že jsme auditovali jejich kód, a to je přimělo skončit."

Audit ale Green rozhodně dokončí, prý už jenom proto, že za něj dostal dopředu zaplaceno třicet tisíc dolarů. "Proces auditování šifrování je naplánován na létu. Doufám, že TrueCrypt to celé přežije."

Aktualizace 9:30 - doplnili jsme důvody o pochybnostech i některé spekulace.

Aktualizace 11:00 - doplinili jsme názory odborníků Briana Krebse a Matthew Greena.

Aktualizace 11:15 - doplinili jsme screenshot a informace o nemožnosti šifrovat v nové verzi TrueCrypt 7.2.

Aktualizace 13:00 - drobná doplnění a rámeček se souhrnem teorií.

Aktualizace 13:54 - drobná doplnění o ochranné známce.

Aktualizace 14:02 - drobná doplnění a opravy.

Autor:

Povodně

Od čtvrtka do neděle platí výstraha na extrémní srážky. Na většině území ČR platí také povodňová pohotovost či povodňové ohrožení

  • Nejčtenější

Jaderný zločin v roce 1954. Jak Sověti nacvičovali třetí světovou válku

Východní mocnost vedená Kremlem nechtěla zůstat v ničem pozadu. Proto i ty strašné věci dokázala hnát do hrozivých rozměrů. Jako jaderné cvičení s reálnou explozí, kam nahnala 45 tisíc vojáků. Vedle...

14. září 2024

První výstup soukromníků do volného vesmíru proběhl tak, jak měl

Účastníci letu Polaris Dawn ve čtvrtek provedli historicky první soukromý výstup do vesmíru s využitím nových skafandrů společnosti SpaceX a přepracované kosmické lodi Crew Dragon. Na začátku výstupu...

12. září 2024  12:13,  aktualizováno  13:21

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Konec učení jazyků se blíží. Vyzkoušeli jsme nová sluchátka s překladačem

Premium

Berlín (od zpravodaje Technet.iDNES.cz) Jako ve Star Treku by si mohli připadat uživatelé sluchátek Timekettle W4 PRO, které měly na veletrhu IFA 2024 světovou premiéru. Mají zvládnout překládat 40 jazyků a 93 akcentů. Firma slibuje až...

7. září 2024

FOTODUEL: Neuvěřitelné klávesnice. Která se vám líbí nejvíce?

Krásné, vtipné, trhlé, nápadité, praktické, nepraktické, kýčovité, nevkusné ... na veletrhu IFA 2024 jsme potkali obrovské množství klávesnic, které mezi návštěvníky poutaly nečekanou pozornost a...

10. září 2024

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Dostali „antinobelovku“ za objev, že savci mohou dýchat konečníkem

Prokázaná schopnost savců dýchat konečníkem, rakety naváděné s pomocí poštovních holubů či plavecké schopnosti mrtvých pstruhů. To jsou některé z nejnovějších přínosů na poli nevážné vědy, které si...

13. září 2024  20:38

Vodíkové balony nad Evropou opět bojují o Pohár Gordona Bennetta

Zatímco Česko hledí v těchto dnech k nebi s obavami z dalšího deště, na obloze západní Evropy odstartoval 67. ročník nejstaršího leteckého závodu světa – Pohár Gordona Bennetta. Původní start v pátek...

14. září 2024  19:40,  aktualizováno  15.9

Velká sláva na Seči. Před 100 lety začala stavba Masarykovy údolní přehrady

Před sto lety, 15. září 1924, začala stavba známé přehrady Seč na řece Chrudimce v Železných horách. Dodnes jde o ráj rybářů a rekreantů.

15. září 2024

To monstrum znal jen ze hry. Nyní tank s největším kanonem v historii ožil

Původní myšlenka vznikla při hraní populární videohry World of Tanks, kde patří mezi nejvražednější volby. Stíhač tanků FV4005 byl prototyp s největším kanonem, jakým kdy byl tank osazen. Hovořili...

15. září 2024

V nadživotní velikosti. Havlíčkův pomník stojí v Brodě už 100 let

Německý Brod, dnes Havlíčkův Brod, před sto lety slavnostně odhalil pomník Karla Havlíčka Borovského.

14. září 2024

Líbí se mu moje pipinka. Je pořád nadržený, stěžovala si vyměněná manželka

V novém díle Výměny manželek se pohodlná Lucie snažila přizpůsobit domácnosti, kde se stále něco děje. Ilona jako by...

Schwarzenegger se v Praze proháněl na kole. Vyfotil se také s „Klukem s kamením“

Legendární herec a bývalý guvernér Kalifornie Arnold Schwarzenegger (77) je v Praze. O víkendu si užíval kávu na...

Plivnout při orálním sexu na penis. Obscénnost jižanské slečně změnila život

To, co v anketě vypustila do světa, byla obscénnost. Nic elegantního. Naopak, největší sprosťárna. Jenže ji do kamery...

Půllitr už mnohde není standard. Hospodští kouzlí s mírami a štvou hosty

Pivní kultura je v Česku zakořeněná po staletí a její součástí je odjakživa čepování do půllitru nebo třetinky. V...

Zatnu zuby a nevěra není. V tolyamorii žije v Česku stále více párů

Podvádíš mě, spíš s jinými a já to vím. Doma děláme, že se to neděje, a i když mi to vlastně vadí, rozhodně o tom...