Возможно, вас также заинтересует статья "Аналоги и альтернативы TrueCrypt ".
TrueCrypt будет жить благодаря разработчикам, которые сделали ответвление (форк) кода программы для шифрования. «Очищенный код» будет иметь новое имя — CipherShed — и другую лицензию открытого программного обеспечения.
Когда грянул гром посреди ясного неба и разработчики TrueCrypt покинули их популярную открытую программу шифрования, это поставило многие организации в крайне тяжёлое положение. Могут ли они продолжать использовать эту программу или, согласно совету разработчиков, она больше небезопасна и следует переключиться на другой продукт?
На первый взгляд, решение должно быть очень простым, если разработчики чего-либо связанного с безопасностью говорят, что их программа больше не безопасна, то безусловно, было бы опрометчиво не учесть этого предупреждения.
Но с TrueCrypt всё совсем не так просто, как кажется.
Разработчики анонимны, и публичной причиной отказа от TrueCrypt стало нелогичное утверждение, попытка увязать это с прекращением поддержки компанией Microsoft одного из её продуктов — Windows XP. На сайте продукта появилась такая запись: «ВНИМАНИЕ: Использование TrueCrypt не безопасно, он может содержать неустранённые проблемы в безопасности». Но ведь любой продукт может содержать неустранённые проблемы в безопасности.
Эта ситуация сразу породила множество конспирологических теорий, в том числе, что авторы TrueCrypt прекратили разработку под давлением (со стороны государств, например), что им просто надоела эта бесплатная работа, что до кода добралось NSA и т.д.
Аудит TrueCrypt
Для использования в организациях недостаточно того, что код открыт. Необходимо чтобы он не содержал ошибок и злонамеренных закладок. А это может выявить только анализ профессионалов, которые бы стали исследовать код.
На аудит TrueCrypt были собраны добровольные пожертвования пользователей (значительная сумма). Первая часть аудита завершилась в апреле. Если коротко подвести её результаты — ничего интересного не найдено (серьёзных проблем не найдено, то незначительное, на что указали аудиторы, было отвергнуто авторами TrueCrypt).
Следующая часть аудита — криптоанализ кода, продолжается. Его обещали завершить к сентябрю, но на данный момент (25 сентября) никаких результатов нет.
Продолжать использовать TrueCrypt?
Так должны ли организации, которые использовали TrueCrypt, прекратить делать это, по совету авторов?
Марио де Боэр, аналитик по вопросам безопасности Гартнер, считает, что, в конечном счёте, да. «Неподдерживаемое программное обеспечение в конечном счёте будет приводить к проблемам. Тем не менее, я не думаю, что есть причины для спешки. На данный момент нет причин предполагать большую проблему в безопасности. Я также предполагаю, даже если аудит что-то такое и выявит, найдётся кто-то, кто её быстро устранит», говори де Боэр, который ещё не видел результатов криптографического анализа кода.
Очевидно решение для другой группы разработчиков с подходящими опытом в криптографии — форкнуть код TrueCrypt и продолжать поддерживать и развивать его, но против этого варианта оригинальные авторы. Один из авторов сказал по email: «Мне не кажется, что ответвление truecrypt (именно так в оригинале) будет хорошей идеей, полное переписывание кода было было тем, что мы хотели сделать одно время. Я верю, что начинать с каракуль требует намного больше работы, чем действительное изучение и понимание всей текущей базы truecrypt'а. Я не против, если исходный код будет использоваться в качестве справки».
TrueCrypt жив
Несмотря на это, появился новый Швейцарский веб-сайт TrueCrypt, который провозглашён быть «местом, куда собирается вся актуальная информация» по TrueCrypt. Этот сайт является домом новых проектов, которые берут код TrueCrypt и развивает его в новом приложении под названием CipherShed.
Джоы Дёкбридждер (Jos Doekbrijder), инициатор проекта, сказал, что он пробовал заинтересовать первоначальных авторов в присоединение к проекту, но это было безуспешно. Авторы его также просили больше не распространятся о контакте, который он имел с ними.
Но согласно условиям лицензии TrueCrypt, которая было домоделанной лицензией открытого кода, написанной самими авторами в большей степени, чем стандартной лицензией, ответвление (форк) кода разрешён, если ссылки на TrueCrypt будут удалены из кода и полученная в результате программа не будет называться TrueCrypt, сказал Дёкбридждер.
CipherShed будет выпущен под стандартной лицензией открытого ПО, хотя ещё не решено, какая именно это будет лицензия, добавил Дёкбридждер.
Участники проекта прочитали каждую строчку кода TrueCrypt, и Дёкбридждер сказал, что альфа релиз CipherShed — с удалёнными ссылками на TrueCrypt и «немного подчищенным кодом» — скоро будет выпущен.
Но этот альфа релиз предназначен быть только промежуточным выпуском, чтобы «поддержать интерес в людях». Дёкбридждер сказал, «В долгосрочной перспективе мы намереваемся выйти с совершенно новым продуктом. В нашей первой версии CipherShed не будет ничего от оригинального кода оригинальных авторов. В то же самое время, в релизах будет исправлено всё, что не в порядке в оригинальном коде. Так мы будем сохранять продукт живым и строить новый код».
TrueCrypt под любым другим именем
На что будет похож CipherShed 1.0? Добавит он больше функций в существующий продукт? Дёкбридждер сказал, что код будет быстрее и более безопасным, работать с новыми операционными сисстемами, такими как Windows 8, и также иметь обратную совместимость для открытия старых контейнеров TrueCrypt.
«Но мы не думаем о добавлении функциональности», сказал он. «Скорее будет зачистка функциональности — удаление старых крипто модулей, которые не нормальные и так далее. Но когда придут новые крипто алгоритмы, мы интегрируем их в продукт».
Марио де Боэр из Гартнер думает, что подход CipherShed является разумным. «Я приветствую форк и продолжаю поддерживать решения этого открытого продукта — преобразование кода, устранение ошибок, исправление лицензии и поддержку новых платформ для существующих пользователей», сказал он.
Но тот факт, что исходный код продукта будет доступен, совсем не означает хорошую сделку для больших организаций, добавил он.
Про жлобство
Очень хочется надеяться, что инициативу подхватили действительно достойные люди, а не просто другая рука тех плохих людей, кто вынудил создателя(ей) TrueCrypt отказаться от дальнейшего развития продукта. Хочется верить, что мы получим новую реинкарнацию потрясающего крипто продукта, который был и остаётся не по зубам кому бы то ни было, а не какой-нибудь продукт с закладками и логическими «ошибками», сводящими все усилия по использованию программы шифрования на нет. Очень грустно и страшно сознавать, что время и деньги заниматься развитием кода есть именно у плохих людей, которым надо вставить закладки. Т.к. всем другим талантливым программистам нужно работать и зарабатывать свою копейку, у них нет ресурсов, которые можно было бы потратить на бесплатную разработку высококлассного софта.
Из всех известных мне программ, применяемых для шифрования данных, только Dekart Private Disk открыто и во всеуслышание заявляет, что он не имеет никаких закладок, т. к. располагается в стране, законодательство которой не может авторов принудить сделать это. До перехода на TrueCrypt я пользовался Private Disk. Если коротко охарактеризовать эту программу, то это в точности TrueCrypt, только за деньги. Забавно, но разработчиков Private Disk тоже не оставило равнодушным схождение со сцены TrueCrypt, они подсуетились и впервые за много лет обновили свою главную программу (почти все остальные продукты так и остались в своих 2005-2007-х годах).
Есть ли в Private Disk закладки или их там нет — я свечку не держал, поэтому не знаю. Знаю только, что по качеству работы и сохранности данных эта программа (я ей пользовался каждый день на протяжении примерно пяти-семи лет, пока она морально не устарела) ничуть не уступает TrueCrypt. Конечно, сейчас никто не мешает пользоваться TrueCrypt'ом, но в качестве плана Бэ можно держать про запас и Private Disk.
Возвращаясь к чуть ранее высказанной мысли, тяжело себе представить бесплатного разработчика, кто бы делал всё хорошо, бесплатно и бескорыстно. Это как в любой другой профессии — бесплатный журналист, бесплатный блогер, бесплатный врач, бесплатно работающие продавцы и милиционеры — такого не бывает. Или их кто-то спонсирует, или они получают свои деньги за заказной материал, или берут взятки и т. д. Создатели крэков сделали развитие Private Disk и других продуктов неинтересным для компании Dekart. Если вам нужна качественная альтернатива TrueCrypt уже сейчас, то самым проверенным и надёжным решением станет Private Disk. Если программа вам нужна — купите её, ведь в конце-концов, мы сможем оказаться в ситуации, когда нам будут «сувать» под нос целый пучок всяких бесплатных битлокеров, и которыми никому не захочется пользоваться из-за их понятной репутации, а хорошей альтернативы (пусть и платной) у нас не окажется, т. к. авторы бросят заниматься разработкой программ, которые всё равно все используют с крэком.
Кстати, ведь на уже упоминавшийся аудит TrueCrypt (который не дал вообще никаких новых данных — только озадачил работой — естественно, не бескорыстной — неизвестного нам человека) было собрано больше денег, чем на пожертвование авторам TrueCrypt за всё время их качественной и честной работы… Есть предположение (мне оно кажется состоятельным с психологической точки зрения), что авторы TrueCrypt просто обиделись за такое недоверие и, извините меня, жлобство пользователей.
Хотите узнать, как заполучить короткий и красивый адрес электронной почты (e-mail)? или как выбрать качественный хостинг? Всё это и многое другое на сайте codeby.net. Подписывайтесь на нашу e-mail рассылку (внизу страницы) или на ленту новостей и вы узнаете первым о новых статьях! Также вступайте в нашу официальную группу вконтакте — там вам очень рады!
Поделитесь этой статьёй с друзьями, если хотите выхода новых статей: