Heca z TrueCrypt

Do szyfrowania wrażliwych danych na dysku nie trzeba nikogo przekonywać. Co więcej, doczekaliśmy czasów, kiedy bez szyfrowania ani rusz, co dobitnie uzmysłowiła nam panika po wykryciu dziury w protokole SSL. Kto jeszcze nie szyfruje – będzie szyfrował. Rozwiązań do ochrony naszych plików na dysku (lub w chmurze) jest sporo, niemniej największym powodzeniem cieszy się otwarty TrueCrypt. A przynajmniej cieszył się do momentu ostatnich sensacyjnych rozstrzygnięć.

Po aferze z Heartbleed świat zadał sobie pytanie – ‘na ile to co szyfrujemy jest zaszyfrowane’. Rozwiązania najbardziej popularne znalazły się pod bacznym okiem testerów, kryptologów i wszelkiej maści fachowców. Nic zatem dziwnego, że pojawiła się koncepcja i konieczność poddania szczegółowemu audytowi samego TrueCrypta, na który to audyt społeczność sumiennie zbierała odpowiednią kwotę. Audyt wykrył kilka pomniejszych nieścisłości w kodzie TrueCrypt, ale nic poważniejszego nie znaleziono. Przyszłość zapowiadała się zbyt obiecująco.

Dosłownie parę godzin temu na stronie grupy gromadzącej fundusze na audyt pojawiła się informacja o ‘epokowym’ obwieszczeniu nt. TrueCrypta, jakie ma się ukazać niebawem. To zbiegło się w czasie z ukazaniem się sensacji na stronie projektu, wieszczących jego zakończenie oraz sugestią o nieużywaniu tego niepewnego i być może dziurawego oprogramowania. Co więcej, wytłumaczeniem zakończenia prac nad TrueCrypt jest… Koniec wsparcia dla Windowsa XP. Windows 7/8 posiadają własnościowe rozwiązanie w postaci BitLockera i to ma stanowić o bezsensowności dalszego rozwoju TrueCrypt – pomimo faktu, że korzystają z niego również użytkownicy Linuksa i OS X.

Cała sprawa wygląda podejrzanie i jak żart sklecony naprędce po przejęciu strony projektu. Niemniej, pożegnalna wersja TrueCrypt 2.0 7.2 jest podpisana prawidłowym kluczem, co jest o tyle dziwne, że aktualizacji dawno nikt na tej stronie nie widział (ostatnia wiarygodna wersja to 7.1a z 2012 roku).

Całość może stanowić ponury wkład script kiddies w podważanie wiarygodność popularnego projektu, będącego przecież poważnym powiernikiem naszych danych. Niewykluczone są również działania konkurencji, bo komu jest potrzebny projekt opensource, który psuje rynek rozwiązaniom komercyjnym.

W związku z powyższym zaleca się daleko posuniętą ostrożność i niewykonywanie gwałtownych ruchów – a już na pewno nie pobieranie i instalowanie TrueCrypt 2.0.