Open source je populární již 10 let díky své nezávislosti na hlavních dodavatelích. Tvůrci programu jsou veřejně neznámí. Mezi nejznámější uživatele programu patří Edward Snowden a bezpečnostní expert Bruce Schneier. Utilita umožňuje proměnit flash disk nebo pevný disk na bezpečné šifrované úložiště, ve kterém jsou důvěrné informace skryty před zvědavýma očima.
Záhadní vývojáři nástroje oznámili uzavření projektu ve středu 28. května s vysvětlením, že používání TrueCrypt je nejisté. „VAROVÁNÍ: Není bezpečné používat TrueCrypt, protože je program může obsahovat neopravené zranitelnosti“ – takovou zprávu lze vidět na stránce produktu na portálu SourceForge. Následuje další výzva: „Všechna data zašifrovaná v TrueCrypt musíte přenést na šifrované disky nebo obrazy virtuálních disků podporované vaší platformou.“
Nezávislý bezpečnostní expert Graham Cluley se k současné situaci celkem logicky vyjádřil: "Nastal čas najít alternativní řešení pro šifrování souborů a pevných disků."
Nedělám si legraci!
Zpočátku se objevovaly návrhy, že web programu byl hacknut kyberzločinci, nyní se ale ukazuje, že nejde o podvrh. Stránka SourceForge nyní nabízí aktualizovanou verzi TrueCrypt (která je digitálně podepsána vývojáři), při jejíž instalaci je doporučeno přejít na BitLocker nebo jiný alternativní nástroj.
Profesor kryptografie z Johns Hopkins University Matthew Green řekl: "Je vysoce nepravděpodobné, že by neznámý hacker identifikoval vývojáře TrueCrypt, ukradl jejich digitální podpis a naboural se na jejich stránky."
Co použít nyní?
Webové stránky a vyskakovací oznámení v samotném programu obsahují pokyny pro přenos souborů zašifrovaných TrueCrypt do služby BitLocker společnosti Microsoft, která je součástí systému Microsoft Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise a Windows 8 Pro/Enterprise. TrueCrypt 7.2 umožňuje dešifrovat soubory, ale neumožňuje vytvářet nové šifrované oddíly.
Nejviditelnější alternativou k programu je BitLocker, ale existují i jiné možnosti. Schneier sdělil, že se vrací k používání PGPDisk společnosti Symantec. (110 USD za uživatelskou licenci) používá známou a osvědčenou metodu šifrování PGP.
Existují další bezplatné alternativy pro Windows, jako je DiskCryptor. Výzkumník počítačové bezpečnosti známý jako The Grugq sestavil celý loňský rok, který je dodnes aktuální.
Johannes Ulrich, člen SANS Institute of Technology, doporučuje uživatelům Mac OS X podívat se na FileVault 2, který je zabudován do OS X 10.7 (Lion) a novějších. FileVault používá 128bitové šifrování XTS-AES, které používá americká Národní bezpečnostní agentura (NSA). Podle Ulricha by se uživatelé Linuxu měli držet v systému vestavěného nástroje Linux Unified Key Setup (LUKS). Pokud používáte Ubuntu, pak instalátor tohoto OS již umožňuje povolit úplné šifrování disku od samého začátku.
Uživatelé však budou potřebovat další aplikace pro šifrování přenosných médií, které se používají na počítačích s různými operačními systémy. Ulrich řekl, že v tomto případě přichází na mysl.
Německá společnost Steganos nabízí k použití starou verzi své šifrovací utility Steganos Safe (aktuální verze je aktuálně 15 a navrhuje se používat verzi 14), která je distribuována zdarma.
Neznámé zranitelnosti
Skutečnost, že TrueCrypt může mít slabá místa v zabezpečení, vzbuzuje vážné obavy, zvláště uvážíme-li, že audit programu takové problémy neodhalil. Uživatelé programu ušetřili 70 000 dolarů na provedení auditu poté, co se objevily fámy, že americká Národní bezpečnostní agentura dokáže dekódovat značné množství zašifrovaných dat. První fáze studie, která analyzovala zavaděč TrueCrypt, byla provedena minulý měsíc. Audit neodhalil žádná zadní vrátka ani záměrná zranitelnost. Další fáze studie, která měla otestovat používané kryptografické metody, byla naplánována na letošní léto.
Green byl jedním z expertů zapojených do auditu. Řekl, že neměl žádné předchozí informace o tom, že by vývojáři plánovali projekt uzavřít. Green řekl: „Poslední věc, kterou jsem od vývojářů TrueCrypt slyšel, bylo: „Těšíme se na výsledky 2. fáze zkušebního provozu. Děkujeme za vaše úsilí! Nutno podotknout, že audit bude pokračovat podle plánu i přes ukončení projektu TrueCrypt.
Možná se tvůrci programu rozhodli pozastavit vývoj, protože nástroj je zastaralý. Vývoj se zastavil 5. května 2014, tj. po oficiálním ukončení podpory Windows XP. SoundForge uvádí: "Windows 8/7/Vista a novější mají vestavěné šifrování pro disky a obrazy virtuálních disků." Šifrování dat je tedy zabudováno do mnoha operačních systémů a vývojáři by mohli považovat program za nepotřebný.
Abychom přilili olej do ohně, podotýkáme, že 19. května byl TrueCrypt odstraněn ze zabezpečeného systému Tails (Snowdenův oblíbený systém). Důvod není zcela jasný, ale program by se jednoznačně neměl používat, poznamenal Cluley.
Cluley také napsal: „Ať už se jedná o podvod, hack nebo logický konec životního cyklu TrueCryptu, je jasné, že svědomití uživatelé nebudou po debaklu cítit pohodlně svěřit svá data programu.“
Našli jste překlep? Stiskněte Ctrl+Enter