I co z tym TrueCrypt?
Ostatnio głośno jest o zakończeniu(?) projektu TrueCrypt. Pojawiają się różne teorie, w tym te bardziej spiskowe z NSA w tle. Nie, nie wiem o co chodzi, ale najprostsze wyjaśnienia są czasem najlepsze. Może po prostu ktoś (bo w sumie nie wiadomo do końca kto rozwijał ten projekt) miał dość? Znalazł pracę/dziewczynę i stracił zainteresowanie tym projektem. A może to po prostu się nie opłacało. Tak, ideowcy też za coś żyć muszą.
Jeszcze jedna sprawa, na stronie TrueCrypt znajduje się następujące ostrzeżenie:
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
Zastanawia mnie to, że w pojawiających się komentarzach to słówko “may” kompletnie umyka uwagi. Mało tego, często przyjmuje się za pewnik, że w TrueCrypt jest jakaś przeraźliwa dziura. Znów, wytłumaczenie może być mniej sensacyjne – projekt, który nie jest już rozwijany/utrzymywany może zawierać błędy bezpieczeństwa i nikt ich nie usunie, bo nikt już nad nim nie pracuje.
Przypominam jednocześnie, że wyniki audytu kodu źródłowego były dla TrueCrypt (projekt IsTrueCryptAuditedYet) dość pozytywne. Jednocześnie trzeba pamiętać o zakresie tego audytu, który był dość ograniczony:
iSEC performed a source code assisted security assessment of the TrueCrypt bootloader and Windows kernel driver.
Druga faza, kryptoanaliza, dopiero była planowana.
Oryginał tego wpisu dostępny jest pod adresem I co z tym TrueCrypt?
Autor: Paweł Goleń