17

To chyba faktycznie koniec Truecrypta jakiego znamy – radźcie sobie sami, mogli powiedzieć jego twórcy

Rozwijany przez 10 lat Truecrypt zakończył swój żywot i nie będzie dalej rozwijany. Jest do dla mnie moment symboliczny – jako jeden z pierwszych tekstów, który wysłałem do Grzegorza przeszło trzy lata temu dotyczył właśnie szyfrowania danych za pomocą tego programu. Ponieważ twórcy aplikacji nie są znani, możemy nigdy nie poznać prawdziwych motywów gwałtownej zmiany, […]

Rozwijany przez 10 lat Truecrypt zakończył swój żywot i nie będzie dalej rozwijany. Jest do dla mnie moment symboliczny – jako jeden z pierwszych tekstów, który wysłałem do Grzegorza przeszło trzy lata temu dotyczył właśnie szyfrowania danych za pomocą tego programu. Ponieważ twórcy aplikacji nie są znani, możemy nigdy nie poznać prawdziwych motywów gwałtownej zmiany, a w każdym razie nigdy nie będziemy do końca pewni. Jak dotąd wszystko wskazuje jednak, że twórcy Truecrypt po prostu zmęczyli się rozwijaniem aplikacji i postanowili porzucić ją z przytupem, mówiąc: radźcie sobie sami z NSA, CIA i FBI.

Na stronie Gibson Research Corporation, oraz na prywatnym blogu Steve’a Gibsona pojawiło się więcej informacji dotyczących Truecrypta. To źródło informacji darzę dużym zaufaniem, ponieważ zajmuje się kwestiami bezpieczeństwa, a treści na stronie śledzę od dłuższego czasu i zawsze były bardzo rzetelnie przygotowane i przedstawione. W jednym wpisie na blogu Steave zaproponował treść listu, który mógłby pochodzić od twórców Truecrypta. Informacje, których później udzielili na Twitterze wydają się potwierdzać jego domysły.

W liście dowiadujemy się, że twórcy aplikacji rozwijali ja przez dziesięć lat. Nie otrzymywali wsparcia w rozwijaniu projektu, za to byli ciągle krytykowani, że aplikacja nie wszędzie działa jak powinna, dodatkowo ich praca była wielokrotnie poddawana pod wątpliwość, sugerując różne powiązania. Zmęczyli się swoją 10 letnią anonimową pracą. Wreszcie zdecydowali, że mają dość i nie tylko kończą jego rozwijanie, ale również chcą wysłać jasny sygnał: radźcie sobie sami. Poza treścią listu, sam pamiętam, że zbierali pieniądze na rozwój aplikacji, o czym informowali podczas instalacji, ale nigdy nie udało im się uzbierać potrzebnej kwoty. Pełna treść listu poniżej:

TrueCrypt is software. Frankly, it’s incredibly great software. It’s large, complex and multi-platform. It has been painstakingly designed and implemented to provide the best security available anywhere. And it does. It is the best and most secure software modern computer science has been able to create. It is a miracle, and a gift, and it has been a labor of love we have toiled away, thanklessly for a decade, to provide to the world… for free.

TrueCrypt is open source. Anyone could verify it, trust it, give back, contribute time, talent or money and help it to flourish. But no one has helped. Most just use it, question it and criticize it, while requiring it to be free, and complaining when it doesn’t work with this or that new system.

After ten years of this mostly thankless and anonymous work, we’re tired. We’ve done our part. We have what we want. And we feel good about what we have created and freely given. Do we use it? Hell yes. As far as we know, TrueCrypt is utterly uncrackable, and plenty of real world experience, and ruthlessly still-protected drives, back up that belief.

But hard drives have finally exceeded the traditional MBR partition table’s 32-bit sector count. 2.2 terabytes is not enough. So the world is moving to the GPT. But we’re not. We’re done. You’re on your own now. No more free lunch.

We’re not bitter. Mostly we’re just tired and done with TrueCrypt. Like we wrote above, as far as we know today, it is a flawless expression of cryptographic software art. And we’re very proud of it. But TrueCrypt, which we love, has been an obligation hanging over our heads for so long that we’ve decided to not only shut it down, but to shoot it in the head. If you believe we’re not shooting blanks you may want to switch to something else. Our point is, now, finally, it’s on you, not us.

Good luck with your NSA, CIA, and FBI.

Matthew Green, który pomógł zapoczątkować audyt kodu Truecrypta, na Twitterze stwierdził, że jest mało prawdopodobne, aby tajemniczy haker zidentyfikował osoby stojące za Truecryptem, ukradł im klucz, którym podpisana jest najnowsza wersja aplikacji i zhakował ich stronę WWW. Nie jest to niemożliwe, ale jednak to nie pierwsza możliwość na jaką by stawiał. Tym bardziej, że jednocześnie autorzy Truecrypta musieliby zostać powstrzymani, żeby nie ostrzec ludzi przed fałszywą wersją za pomocą dowolnego medium.

Tymczasem Linux Foundation poinformował, że audyt Truecrypta 7.1 będzie kontynuowany i końcowy raport powinien pojawić się w ciągu kilku miesięcy. Rozważane są różne scenariusze, w tym wydanie forka na wolnej licencji.

Przechwytywanie

Na koniec David, który przedstawił się jako deweloper Truecrypta, stwierdził w korespondencji, że audyt nie ma nic wspólnego z zakończeniem rozwoju aplikacji. Stwierdził również, że agencje rządowe również nie były zamieszane i nie kontaktowały się z nimi w tej sprawie. Zakończył stwierdzeniem, że Bitlocker jest wystarczająco dobry, a Windows i tak był ich głównym celem, co poniekąd potwierdza hipotezy zaproponowanego listu.

Podsumowując, wygląda na to, że deweloperzy zmęczyli się rozwijaniem aplikacji i zakończyli jej wsparcie z przytupem. Prawdopodobnie nigdy nie poznamy ich motywów, ani nie będziemy pewni, że są prawdziwe. Tymczasem audyt Truecrypta zostanie dokończony, a projekt będzie dalej rozwijany, w tej czy innej formie, ale przez inne osoby, nie powiązane z pierwotnym projektem.

Aktualizacja 30.05.2014 11:20 – zaktualizowałem treść i tytuł wpisu, uwzględniając fakt, że list nie był napisany (nawet hipotetycznie) przez deweloperów Truecrypta, lecz był jedynie wizja autora bloga, jak taki list mógłby wyglądać. Przepraszam za pomyłkę.