Ostatnio głośno jest o zakończeniu(?) projektu TrueCrypt. Pojawiają się różne teorie, w tym te bardziej spiskowe z NSA w tle. Nie, nie wiem o co chodzi, ale najprostsze wyjaśnienia są czasem najlepsze. Może po prostu ktoś (bo w sumie nie wiadomo do końca kto rozwijał ten projekt) miał dość? Znalazł pracę/dziewczynę i stracił zainteresowanie tym projektem. A może to po prostu się nie opłacało. Tak, ideowcy też za coś żyć muszą.
Jeszcze jedna sprawa, na stronie TrueCrypt znajduje się następujące ostrzeżenie:
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
Zastanawia mnie to, że w pojawiających się komentarzach to słówko "may" kompletnie umyka uwagi. Mało tego, często przyjmuje się za pewnik, że w TrueCrypt jest jakaś przeraźliwa dziura. Znów, wytłumaczenie może być mniej sensacyjne - projekt, który nie jest już rozwijany/utrzymywany może zawierać błędy bezpieczeństwa i nikt ich nie usunie, bo nikt już nad nim nie pracuje.
Przypominam jednocześnie, że wyniki audytu kodu źródłowego były dla TrueCrypt (projekt IsTrueCryptAuditedYet) dość pozytywne. Jednocześnie trzeba pamiętać o zakresie tego audytu, który był dość ograniczony:
iSEC performed a source code assisted security assessment of the TrueCrypt bootloader and Windows kernel driver.
Druga faza, kryptoanaliza, dopiero była planowana.
Inna sprawa to oczywiście, wybaczcie określenie, pojechanie po bandzie. nie da się inaczej nazwać działania autorów/autora, które polega na zamknięciu całej strony, przeniesieniu na SF, zmianie drastycznej grafiki, polecanie bitlockera, wydanie nowej wersji, która jest bezużyteczna.
A co z ludźmi, którzy biorą ryzyko na klatę i chcą sobie zainstalować TC, bo dla nich jest `good enough`?
Jak dla mnie to po prostu olanie zwykłych ludzi, użytkowników, którzy codziennie korzystają z tego oprogramowania. I nie mówię, że mają zapowiadać koniec wsparacia, ale sama strona mogła zostać, albo mogli faktycznie przygotować jakieś stosowne oświadczenie z wyprzedzeniem i przygotować osobno wersję, która tylko rozszyfrowuje dysk. Czerwone komunikaty na stronie pobierania itp.
Niby taka reakcja jest wskazana, pokazuje jak bez miejsca na kompromisy podchodzą do ezpieczeństwa, ale bez przesady, otoczka userfriendly by się przydała, a nie, że cały Internet się zastanawia czy to deface
Tutaj z tym BitLockerem to jest bardzo śmieszna sytuacja i to zalatuje jakimś syfem. Może było jak w przypadku Lavabit. Nie mogli powiedzieć jasno co i jak, to odegrali taką szopkę i stwierdzili, że wiekszość wyczuje, że coś jest nie tak.
Nie wiem, za dużo niewiadomych, ciekawe jak się sytuacja rozwinie.
W komentarzach do innych artykułów spotkałem się z podobnymi sugestiami co Pawła. Jednym z rozważanych powodów był potencjalny zawód deweloperów, że zdołano uzbierać znaczące kwoty na audyt TC, a samych datków wspierających TC mogło być jak na lekarstwo. Zarzut całkowicie błędny moim zdaniem. Każdy z nas, a już z pewnością deweloperzy TC doskonale zdawali sobie sprawę, że w takim wypadku mały apel do społeczności spotkałby się z dużym odzewem.
To nie jest zwykłe zakończenie projektu, to jest wysadzenie w powietrze 10 lat własnej pracy i zaufania, które na niej zbudowano. Racjonalne podmioty nie zdecydowałby się na tak drastyczny krok bez wyraźnego i poważnego powodu.
Dodatkowo - projekt nigdy nie był wzorem doskonałej komunikacji (choć za to dokumentację miał bardzo dobrą).
kryptograficznie, biorąc pod uwagę treść strony przerzucającej użytkowników na płatnego Bitlockera to! przesłanie może byc takie: "Warning! jeśli chcesz korzystać z NSA, sposób masz poniżej, czyli Bitlockera wysyłającego hasła na serwery Micorsoftu/NSA!" Może to chce przekazać twórca