Το Truecrypt εγκαταλείφθηκε – σταματήστε να το χρησιμοποιείτε

σημείωση: Το άρθρο αυτό έρχεται μερικούς μήνες μετά γεγονότα που περιγράφει. Αν και τα παρακάτω απέκτησαν δημοσιότητα στο διαδίκτυο, αρκετοί χρήστες του Truecrypt στην Ελλάδα δε τα γνωρίζουν και συνεχίζουν να το χρησιμοποιούν.

Το Truecrypt ήταν ένα δημοφιλές λογισμικό για κρυπτογράφηση αρχείων και δίσκων. Στα τέλη του Μάη 2014, η επίσημη σελίδα του λογισμικού truecrypt.org ανακατευθύνει στη σελίδα truecrypt.sourceforge.net. Στη σελίδα αυτή αναφέρεται ότι το Truecrypt δεν πρέπει να χρησιμοποιείται πλέον καθώς μπορεί να πάσχει από άλυτα ζητήματα ασφαλείας. Επίσης ανακοινώνεται η διακοπή της ανάπτυξης του λογισμικού Truecrypt και οι χρήστες προτρέπονται να χρησιμοποιήσουν το κλειστό (proprietary) λογισμικό κρυπτογράφησης Bitlocker το οποίο περιλαμβάνεται σε εκδόσεις των Windows.

Οι άνθρωποι που ανέπτυσσαν το Truecrypt δεν έγιναν ποτέ γνωστοί, και ο τρόπος με τον οποίο ανακοίνωσαν την διακοπή της ανάπτυξής του, πυροδότησε νέες συζητήσεις για την ταυτότητα ή/και την αξιοπιστία τους.
Κάποιοι ισχυρίστηκαν ότι οι άνθρωποι που ανέπτυσσαν το Truecrypt δέχτηκαν πιέσεις από υπηρεσίες ασφαλείας για την εισαγωγή backdoor στο λογισμικό τους και αντί να συνεργαστούν προτίμησαν να ανακοινώσουν την διακοπή του λογισμικού με αυτό τον κάπως άγαρμπο τρόπο.rust_lock_2

Εξάλλου ήταν νωπή ακόμα η ιστορία με την υπηρεσία email Lavabit όπου οι αρχές ζήτησαν από τον ιδιοκτήτη της υπηρεσίας να παραδώσει τα κλειδιά κρυπτογράφησης και του απαγόρευσαν να μιλήσει σε οποινδήποτε για το αίτημα αυτό (στις ΗΠΑ υπάρχει νομικό εργαλείο που επιτρέπει στις αρχές να διεξάγουν έρευνα και ταυτόχρονα να απογορεύσουν στο υποκείμενο της έρευνας να μιλήσει για αυτό, ακόμα και σε δικηγόρο).

Αν και ο πηγαίος κώδικας του Truecrypt ήταν εξαρχής δημόσια διαθέσιμος, η συγγραφή του κώδικα γινόταν με κλειστό τρόπο. Ακόμα η άδεια με την οποία διανεμόταν, είχε καταστήσει αδύνατη την ενσωμάτωσή του σε Linux διανομές. Αυτοί και κάποιοι πιο τεχνικοί παράγονες είχαν ως αποτέλεσμα το Truecrypt να μην ελκύσει ανθρώπους να διαβάσουν και να συνεισφέρουν στον κώδικά του όπως συνηθίζεται στο χώρο του ανοιχτού λογισμικού.

Τον Οκτώβρη του 2013, και καθώς τα έγγραφα που διέρρευσε ο Edward Snowden καθιστούσαν σαφές ότι η NSA μεταξύ άλλων υπονόμευε την ασφάλεια προτύπων, πρωτοκόλλων, και λογισμικών ασφαλείας, ο Mathew Green καθηγητής και ερευνητής κρυπτογραφίας στο πανεπιστήμιο John Hopkins, ξεκίνησε μια πρωτουβουλία για να αξιολογηθεί και να εξεταστεί ο κώδικας του Truecrypt από ομάδα ανεξάρτητων επιστημόνων.

Πράγματι το Φλεβάρη του 2014 δημοσιεύτηκε το πρώτο μέρος της έκθεσης και παρόλο που επεσήμανε διάφορα μικρο-προβλήματα που αναμενόμενα βρίσκονται σε λογισμικά, ανέφερε ρητά ότι δεν ανακάλυψαν κάποιο backdoor ή ιδιαίτερα κρίσιμη ευπάθεια στο λογισμικό.

Μια από τις υποθέσεις που έγιναν όταν ανακοινώθηκε η διακοπή της ανάπτυξης του Truecrypt ήταν ότι οι άνθρωποι που το ανέπτυσσαν φοβήθηκαν τα αποτελεέσματα του δεύτερου μέρους της έκθεσης. Από την άλλη οι κρυπτογράφοι ερευνητές, μετά την ανακοίνωση του Truecrypt δήλωσαν δημόσια ότι σκοπεύουν να ολοκληρώσουν την ερευνά τους.

Παρόλο που το Truecrypt ήταν πολύ δημοφιλές, ο ίδιος ο τρόπος με τον οποίο σταμάτησε η ανάπτυξή του, ουσιαστικά επιβεβαιώνει όσους είχαν από πριν αμφιβολίες για αυτό.

Το βέβαιο είναι ότι όσες και όσοι χρησιμοποιούσαν Truecrypt για να κρυπτογραφούν τα αρχεία και τους δίσκους τους, πρέπει να σταματήσουν να το χρησιμοποιούν. Όσο κι αν έχουμε βολευτεί ή συνηθίσει ένα λογισμικό, είναι εσφαλμένη πρακτική να το χρησιμοποιούμε όταν δεν αναπτύσσεται και δεν έχει ενημερώσεις ασφαλείας. Αυτό είναι ακόμα πιο επιτακτικό όταν μιλάμε για λογισμικό το οποίο προστατεύει το απόρρητο των δεδομένων μας, όπως τα λογισμικά κρυπτογράφησης.

Το Truecrypt δεν υπάρχει πια και ίσως αυτό, σε συνδυασμό με όσα μάθαμε από τα απόρρητα έγγραφα της NSA, μας δίνουν μια καλή αφορμή να επανεξετάσουμε τα εργαλεία που χρησιμοποιούμε.

Αν χρησιμοποιούσατε το Truecrypt για την πλήρη κρυπτογράφηση του συστήματος Windows και του δίσκου σας, είναι μια καλή ευκαιρία να δοκιμάσετε μια Linux διανομή με πλήρη κρυπτογράφηση δίσκου. Δοκιμάστε για παράδειγμα το xubuntu.

Αν χρησιμοποιούσατε το Truecrypt για κρυπτογράφηση μεμονωμένων αρχείων και φακέλων, στη λειτουργία του container, είναι γεγονός πως αυτή τη στιγμή δεν υπάρχει κάποιο φιλικό προς τον χρήστη και αξιόπιστο εργαλείο. Η λειτουργία των κρυπτογραφημένων container, υποστηρίζεται για παράδειγμα από το cryptsetup σε Linux αλλά δυστυχώς απαιτεί χρήση γραμμής εντολών, πράγμα το οποίο ξενίζει πολλές και πολλούς από εμάς.

Αν και έχουν ξεκινήσει κάποιες προσπάθειες συνέχισης του truecrypt με άλλο όνομα καλό θα είναι να μην εμπιστευτεί κανείς κάποια από αυτές μέχρι να περάσουν από τον έλεγχο ερευνητών.

Θα πρέπει να είναι πλέον αυτονόητο ότι τα εργαλεία που χρησιμοποιούμε πρέπει να είναι ελεύθερο λογισμικό (όχι Bitlocker για κρυπτογράφηση!). Tα εργαλεία αυτά να χρησιμοποιούν ανοιχτά πρότυπα και ανοιχτά πρωτόκολλα (όχι Skype για επικοινωνία!) Τα εργαλεία αυτά να τα χρησιμοποιούμε σε ένα ανοιχτό ελεύθερο λειτουργικό σύστημα (όχι Windows!). Ιδανικά, θέλουμε όλα τα παραπάνω να υπόκεινται σε διαρκή και δημόσιο έλεγχο της ποιότητάς τους από κοινότητα προγραμματιστών και επιστημόνων.

Tagged with: ,
Posted in Άρθρα