Video: 🔒 Шифруем все ценное. Обзор VeraCrypt - программы для шифрования. (September 2024)
Om du använder TrueCrypt för att kryptera dina data måste du byta till en annan krypteringsprogramvara för att skydda dina filer och till och med hela hårddiskar.
Öppen källkod och fritt tillgängligt TrueCrypt-programvara har varit populärt under de senaste tio åren eftersom det uppfattades vara oberoende av stora leverantörer. Skaparna av programvaran har inte identifierats offentligt. Edward Snowden använde påstås TrueCrypt och säkerhetseksperten Bruce Schneier var en annan välkänd anhängare av programvaran. Verktyget gjorde det enkelt att förvandla en flash-enhet eller en hårddisk till en krypterad volym, vilket säkerställer all data lagrad på den från nyfikna ögon.
De mystiska skaparna stängde plötsligt av TrueCrypt på onsdag och hävdade att det var osäkert att använda. "VARNING: Att använda TrustCrypt är inte säkert eftersom det kan innehålla oförändrade säkerhetsproblem, " läs texten på TrueCrypt's SourceForge-sida. "Du bör migrera alla data som är krypterade av TrueCrypt till krypterade skivor eller virtuella diskbilder som stöds på din plattform, " sade meddelandet.
"Det är dags att börja leta efter ett alternativt sätt att kryptera dina filer och hårddisk, " skrev den oberoende säkerhetskonsult Graham Cluley.
Konsensus: Inte en hoax
Till att börja med var det farhågor om att vissa skadliga angripare hade ryckt ut på platsen, men det blir allt tydligare att detta inte är ett hoax. SourceForge-webbplatsen erbjuder nu en uppdaterad version av TrueCrypt (digitalt signerad av utvecklarna så att detta inte är ett hack) som dyker upp en varning under installationsprocessen för att informera användare om att de ska använda BitLocker eller något annat verktyg.
"Jag tror att det är osannolikt att en okänd hackare identifierade TrueCrypt-utvecklarna, stal sin signaturnyckel och hackade deras webbplats, " sa Matthew Green, en professor som specialiserat sig på kryptografi vid Johns Hopkins University.
Vad göra här näst
Webbplatsen, liksom popup-varningen på programvaran, har instruktioner för att överföra TrueCrypt-krypterade filer till Microsofts BitLocker-tjänst, som är inbyggd i Microsoft Vista Ultimate och Enterprise, Windows 7 Ultimate och Enterprise, och Windows 8 Pro och Enterprise. TrueCrypt version 7.2 låter användare dekryptera sina filer men låter dem inte skapa nya krypterade volymer.
Medan BitLocker är det uppenbara alternativet, finns det andra alternativ att titta på. Schneier berättade för The Register att han byter tillbaka till Symantecs PGPDisk för att kryptera hans data. Symantec Drive Encrpytion ($ 110 för en enda användarlicens) använder PGP, som är en välkänd krypteringsmetod. Det finns andra gratisverktyg för Windows, till exempel DiskCryptor. Säkerhetsekspert Grugq satte ihop en lista över TrueCrypt-alternativ förra året, vilket fortfarande är användbart.
SANS-institutets Johannes Ullrich rekommenderade att Mac OS X-användare höll sig till FileVault 2, som är inbyggt i OS X 10.7 (Lion) och senare. FileVault använder XTS-AES 128-bitars chiffer, som är samma som används av NSA. Linux-användare bör hålla sig till den inbyggda Linux Unified Key Setup (LUKS), sa Ullrich. Om du använder Ubuntu har operativsysteminstallatören möjlighet att aktivera fullständig diskkryptering redan från början.
Men användare kommer att behöva ett annat verktyg för bärbara enheter som rör sig mellan olika operativsystem. "PGP / GnuPG kommer till minnet", sa Ullrich i InfoSec Handlers Diary.
Det tyska företaget Steganos erbjuder en äldre version av deras krypteringsverktyg (version 15 är deras senaste, men erbjudandet är för version 14) gratis för användare, vilket egentligen inte är så perfekt.
Okända sårbarheter
Det faktum att TrueCrypt kan ha säkerhetsproblem sårar med tanke på att en oberoende granskning för programvaran för närvarande pågår och att det inte hade funnits några sådana rapporter. Supporters samlade 70 000 dollar för revisionen på grund av oro som National Security Agency har förmågan att avkoda betydande mängder krypterad data. Den första fasen av utredningen som tittade på TrueCrypt bootloader släpptes just förra månaden. Den "hittade inga bevis på bakdörrar eller avsiktliga brister." Nästa fas, som skulle undersöka kryptografin som användes av programvaran, planerades slutföras i sommar.
Green, som var en av de personer som var inblandad i revisionen, sa att han inte hade någon varning om vad TrueCrypt-utvecklarna planerade. "Senast hörde jag från Truecrypt: 'Vi ser fram emot resultaten från fas 2 i din granskning. Att du väldigt mycket för alla dina ansträngningar igen!'" Skrev han på Twitter. Granskningen förväntas fortsätta trots avstängningen.
Det är möjligt att skaparna av programvaran beslutade att stoppa utvecklingen eftersom verktyget är så gammalt. Utvecklingen "avslutades 5/2014 efter att Microsoft avslutade stöd för Windows XP", sade meddelandet på SourceForge. "Windows 8/7 / Vista och senare erbjöd integrerat stöd för krypterade skivor och virtuella diskbilder." Med kryptering inbyggd i många av operativsystemen som standard kan utvecklarna ha känt att programvaran inte längre var nödvändig.
För att göra saker ännu mer skumma verkar det som om en biljett lades till 19 maj för att ta bort TrueCrypt från det säkra operativsystemet Tails (också en annan Snowden-favorit). Hur som helst är det tydligt att ingen bör använda programvaran vid denna tidpunkt, varnade Cluley.
"Oavsett om hoax, hack eller äkta livslängd för TrueCrypt är det tydligt att inga säkerhetsmedvetna användare kommer att känna sig bekväma att lita på programvaran efter detta fel, " skrev Cluley.
