故事发现

在办公电脑上装上Truecrypt,访问官网才发现早已物是人非。
http://truecrypt.sourceforge.net/
官网用醒目的红字警告说:TrueCrypt 已经不安全,TC 项目已经停止开发。并建议 Windows 用户迁移到微软的 BitLocker。还贴心地给出了图文并茂的教程,教你如何一步步迁移到 BitLocker 上。
官网给出的理由是:Windows 从 Vista 开始,已经集成了磁盘加密(也就是 BitLocker),而 Windows XP 已经在今年3月份停止支持。所以 TC 团队就不再维护这款产品了。
在变脸的同时,官网上发布了最新的 TC 版本(v7.2)。该版本是被阉割过的,只能用来【打开】加密卷,不能用来【创建】加密卷。官网声明该 版本仅用来给大家进行数据迁移。

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues. This page exists only to help migrate existing data encrypted by TrueCrypt. The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms (click here for more information). You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.

TrueCrypt简单介绍

TrueCrypt 是什么?

TC 是目前影响力最大的(没有之一)的磁盘加密工具,同时支持 Windows、Linux 和 Mac OS X 三大操作系统。
TC 是开源软件。但是跟其它开源软件的不同之处在于:它没有采用那些常见的 License(比如 GPL、BSD、MPL 之类)。它用的是 TC 开发团队自己定的 TrueCrypt License。
这款软件诞生于2004年,距今已10年有余。

TrueCrypt 的开发者是谁?

从 TC 诞生至今,外界一直不晓得它的开发团队是哪些人,甚至连开发团队有几人,都不晓得。
不过像 TC 这种类型的开源项目,团队保持匿名是很正常的。说个小故事:
当年的 PGP 之父(Phil Zimmermann)因为发明了 PGP 这款文件/邮件加密工具,差点被美国政府抓去坐牢。当时(上世纪90年代初)的美国法律规定,“高强度加密技术”属于军用技术,不允许出口到海外。据说 Phil Zimmermann 后来想了个妙计——通过 MIT 出版社出了一本书,把 PGP 的全部源代码放到书中,然后援引“美国宪法第一修正案”(出版物受“言论自由”的保护),才推翻了对他的指控。

TrueCrypt 的可靠性如何?

由于开发团队的神秘性,N年前就有人怀疑,TC 是 NSA(美国国安局)或者 CIA(美国中情局)制作的,并且预留了后门。但是这种说法仅仅是猜测,没有人给出证据来证明“TC 有后门”;同样也没有人给出证据来证明“TC 没有后门”。
去年斯诺登引爆了 NSA 的棱镜门丑闻。斯诺登曝光的 NSA 绝密材料中没有提及 TC 存在后门。
而且,斯诺登本人就是用 TC 来进行磁盘加密。他还曾经在一次“加密派对”(Crypto Party)上作了 TC 的主题演讲(参见《连线》杂志的这篇报道)。
棱镜门丑闻曝光之后,某些安全社区的大牛开始担心 TC 的可靠性。于是在去年, Kenneth White 和 Matthew Green 发起了一个项目——专门针对 TC 的代码审计(所谓的“代码审计”就是找来一批资深的开发人员,仔细审查 TC 的全部源代码)。该项目的官网在“这里”。2014-04-14,该项目完成了第一阶段的审计,没有发现明显的后门,只发现了几个小的瑕疵——比如密码迭代的轮数不是足够大(但也不是太小)。根据最终的完整的审计结果,TrueCrypt是一款相对而言精心设计的加密软件,没有发现故意植入后门的证据,也没有发现导致软件出现漏洞的严重设计缺陷。

关于TrueCrypt的讨论

TrueCrypt的突然关闭引发了业界猜测,不少人认为,TrueCrypt的背后匿名开发者已经引发了美国政府的关注,因而这些开发者们决定拱手认输(事实上,斯诺登的加密电子邮件服务也遭遇了类似的命运)。

关于其突然死掉,网上意见也是众说纷纭

The website of popular drive-encryption software TrueCrypt has been ripped up and replaced with a stark warning to not use the crypto-tool. It’s also distributing a new version of the software, 7.2, which appears to have been compromised.
流行的驱动器级加密软件 TrueCrypt 已经破产,并被替换为一个严重的警告,要求用户不要再使用 TrueCrypt 加密数据。同时开发人员也提供了 7.2 版(只能做解密操作),这似乎意味着该软件已被沦陷。

It’s feared the project, run by a highly secretive team of anonymous developers, has been hijacked by unknown parties. The easy-to-use data-protecting utility is favored by NSA whistleblower Edward Snowden and his journo pals, as well as plenty of privacy-conscious people.
看起来,这些高度隐秘的开发人员,已经被某个组织劫持。TrueCrypt 曾被 爱德华斯诺登 和他的朋友,以及热衷于保障隐私的用户所亲睐。

We ran the executable in a virtual machine so that you don’t have to, and on Windows 8.1 it was blocked by the SmartScreen feature, suggesting it may contain malware. Launching it on an older system immediately displayed the “warning” message before installation proceeded, and the dropped executables contained the above quoted text.
Windows 8.1 的安全筛选器阻止了用户下载新版 TrueCrypt。在旧系统上运行安装程序也将在安装前显示警告信息。


知乎上也有人脑冻大开:

官网上的文字:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues.

这句话有极大的可能藏有深意。
取每个单词的首字母,得到:

Using TrueCrypt is not secure as it may contain unfixed security issues
uti nsa im cu si
uti nsa im ću si

这是一句拉丁文,或者一句塞尔维亚文。
谷歌翻译拉丁文——英文,得到:
unless I want to use the NSA

谷歌翻译塞尔维亚语——英文,得到:
I hear they’re nsa

将文字附加到官网整句话后方,可以得到:
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues, unless I want to use the NSA
或:
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues, I hear they’re nsa

不管是哪句,英文意译都大致可得:
WARNING: Don’t use TrueCrypt,because it is under the control of the NSA

到底怎么回事,留给你们判断吧。
不是撒手不干这么简单。
出事了,出大事了。


总之都是直接指向了NSA,再关心一下关于斯诺登的小事:

斯诺登当年用的两个工具:磁盘加密用的是 TrueCrypt,电子邮件用的是 Lavabit。
Lavabit 是专门针对安全性要求较高的网民,所有往来的电子邮件内容都经过加密。斯诺登逃亡之后,美国联邦特工找到 Lavabit 的创始人 Ladar Levison,要求他交出 SSL 私钥。Ladar Levison 提起法律诉讼,被驳回。诉讼被驳回之后,他如果再不交出密钥,会被逮捕。
于是他先用最小号的字体,把密钥打印在小纸条上,交给联邦特工(这么干是为了拖延时间);然后他把整个网站关闭(同时也断了自己的财路)。据传闻:他还把服务器的硬盘进行了物理粉碎,以防止联邦特工利用密钥解密用户的邮件内容。

但是TC仍然是我认为世界一流的顶级加密软件,软件开发者为安全做出了很多共享,这是我正在使用的最优秀的顶级加密软件!

————————————————
版权声明:本文为CSDN博主「felcon」的原创文章,遵循CC 4.0 BY-SA版权协议。
原文链接:https://blog.csdn.net/felcon/article/details/46049047

最后修改:2022 年 08 月 06 日
本文作者:
文章标题:怪谈TrueCrypt之死
本文地址:https://blog.rzly.net/104.html
版权说明:若无注明,本文皆绿野博客原创,转载请保留文章出处。
如果觉得我的文章对你有用,请随意赞赏