Die TrueCrypt-Website gibt den Abschluss des Projekts bekannt und bietet den Wechsel zu BitLocker an

    imageTrueCrypt-Entwickler antworteten: site | Twitter
    TrueCrypt-Entwickler „David“: „Wir waren froh, dass das Audit nichts ergeben hat. "Wir haben 10 Jahre lang hart an dem Projekt gearbeitet, aber nichts hält für immer."
    Steven Barnhart: (umformuliert) Der Entwickler glaubt, dass die Gabel noch mehr Schaden anrichten wird: „Der Quellcode ist noch verfügbar, Sie können einen Blick darauf werfen“ (Die Quelle ist jedoch weiterhin als Referenz verfügbar). „Ich habe gefragt, und in der letzten Antwort war klar, dass die Entwickler die Gabel als schädlich betrachten, weil nur sie selbst verstehen den Code. " "Er sagte auch, dass er keinen Kontakt zur Regierung habe, außer als ihm ein" Unterstützungsvertrag "angeboten wurde."
    TrueCrypt-Entwickler „David“: „Bitlocker ist gut genug und Windows war das Hauptentwicklungsziel.“
    Zitat des Entwicklers: „Es gibt kein Interesse mehr.“

    TL; DR: Die "neue" Version kann nur Daten entschlüsseln und enthält möglicherweise einen Trojaner (obwohl ich ihn nicht gefunden habe, aber Sie nehmen mein Wort nicht dafür). Die Binärdatei ist mit dem richtigen Entwicklerschlüssel signiert. Alle alten Versionen werden gelöscht, das Repository wird ebenfalls bereinigt.

    Auf dieser Seite erfahren Sie, dass die TrueCrypt-Entwicklung im Mai dieses Jahres eingestellt wurde, nachdem Microsoft die Unterstützung von Windows XP eingestellt hat, und dass TrueCrypt unsicherer ist und möglicherweise Schwachstellen enthält.
    Darüber hinaus enthält die Seite detaillierte Anweisungen zur Migration von TrueCrypt zu BitLocker.

    Die Site enthält auch Links zur TrueCrypt-Binärdatei, die zum SourceForge-Downloadbereich führen, sowie eine digitale Signatur. Diese Datei ist mit dem richtigen (alten) Schlüssel signiert und enthält:

    image

    Am 22. Mai änderte SourceForge den Passwort-Hashing-Algorithmus und schlug vor, dass jeder sie ändern sollte, um den neuen Algorithmus zu verwenden. Vielleicht ist etwas schief gelaufen.

    SourceForge sagt, dass nichts passiert ist:

    Bereitstellung einiger Details von SourceForge:
    1. Wir hatten keinen Kontakt zum TrueCrypt-Projektteam (und daher keine Beschwerden).
    2. Wir sehen keinen Indikator für einen Kontokompromiss. Die aktuelle Nutzung stimmt mit der früheren Nutzung überein.
    3. Unsere kürzlich erzwungene erzwungene Kennwortänderung durch SourceForge wurde durch Infrastrukturverbesserungen ausgelöst, die keinen Kompromiss darstellen. FMI siehe sourceforge.net/blog/forced-password-change
    Vielen Dank,
    The SourceForge Team communityteam@sourceforge.net


    Annahme Nr. 1


    Website gehackt, Schlüssel kompromittiert. Laden Sie diese Version nicht herunter und führen Sie sie nicht aus. Und wechseln Sie nicht zu BitLocker.
    Neueste Arbeitsversion: 7.1a. Version 7.2 - Fälschung.

    Warum denke ich so: eine seltsame Änderung der Schlüssel (zuerst haben sie einen neuen hochgeladen, dann den alten gelöscht und zurückgegeben) und warum ein Bitlocker?

    Annahme Nr. 2


    Den Entwicklern (die mit dem Töten drohen) oder TrueCrypt selbst (es wurde eine schwerwiegende Sicherheitslücke festgestellt) ist etwas passiert, was zur Veröffentlichung einer solchen Version führte.

    Warum denke ich so: Alle Dateien haben die richtige Signatur, alle Releases werden veröffentlicht (Windows; Linux x86, x86_64, Konsolenversionen, Mac OS, Quellen), Binärdateien scheinen auf dem PC des Entwicklers kompiliert zu sein (Pfade zu pdb, Übereinstimmung der Compiler-Metadaten). Der Text der Lizenz wurde ebenfalls geändert (siehe Diff unten).
    Warum ist der Rat, BitLocker zu verwenden, empörend? TrueCrypt war schon immer vehement gegen die TPM- Unterstützung und wird in BitLocker häufig verwendet. Warum nicht andere Open-Source-Alternativen empfehlen? Es scheint, dass der Entwickler einfach nichts in direkten Worten sagen kann. Es ist sehr ähnlich zuBeweis des Kanarienvogels .

    Leider sieht diese Annahme bisher realistischer aus als die erste. Traurig aber wahr.

    Annahme Nr. 3


    Version 7.1a enthält einen Trojaner und der Entwickler möchte alle Benutzer davor schützen, ihn zu verwenden.

    Warum ich so denke: Es gibt einen solchen Blog truecryptcheck.wordpress.com mit Hash-Beträgen für alle Versionen von Version 7.1a. Es gibt nur einen Eintrag am 15. August 2013. Es ist etwas seltsam, eine Site zu erstellen, auf der es nur einen Hash von nur einem Programm und nur eine Version davon gibt.

    Annahmen von einer Seite auf etcwiki :

    Annahme Nr. 4


    Die Spendenaktion für das TrueCrypt-Audit erzielte 62.000 US-Dollar, um herauszufinden, ob der Code Lücken aufweist, durch die die Daten entschlüsselt werden können. Gleichzeitig erhielt die TrueCrypt Foundation fast keine Spenden und die Entwickler waren enttäuscht, dass alle gegen sie waren.

    Warum ich so denke: TrueCrypt-Entwickler haben fast keine Spenden erhalten. Natürlich kenne ich die spezifischen Zahlen nicht, aber wahrscheinlich hat das Audit während seiner Existenz mehr als TrueCrypt erzielt. Da die Entwickler anonym sind, erhalten sie keine Dankesworte. All dies ist verdächtig, wurde aber wahrscheinlich entweder von den Entwicklern selbst oder von der TrueCrypt Foundation durchgeführt.

    Annahme Nr. 5


    Die Entwickler haben es satt, das Projekt zu entwickeln, oder sie haben Schwierigkeiten im wirklichen Leben.

    Warum denke ich so: Es passiert jedem. Eine Aussage, dass TrueCrypt nicht mehr sicher ist, erscheint angemessen, da keine Updates mehr durchgeführt werden. Es scheint, dass alle Änderungen von den Entwicklern vorgenommen wurden.

    Annahme Nr. 6


    Die Regierung versucht, Entwickler zu finden ("rauchen"). Jemand hat Zugriff auf die Anmeldungen und Schlüssel der TrueCrypt-Entwickler erhalten, konnte die Entwickler jedoch nicht selbst finden.

    Warum ich so denke: Die Regierung verfügt möglicherweise über genügend Ressourcen, um die Schlüssel des Entwicklers zu knacken und auf die Website zu gelangen. Eine absurde Anweisung, zu BitLocker zu wechseln, kann einen echten Entwickler dazu zwingen, eine Erklärung abzugeben oder auf andere Weise zu antworten.

    Wie postdig festgestellt :
    truecrypt.org.ua/news :
    Am 12. April 2014 wurde die Site in den schreibgeschützten Modus versetzt. Benutzerkonten gelöscht.
    Vielen Dank an alle, die an der Entwicklung des Projekts teilgenommen haben!

    Als ob dies darauf hindeutet, dass der Prozess niemals plötzlich abläuft.



    Von Twitter Wikileaks :
    (1/4) Truecrypt hat ein Update veröffentlicht, das besagt, dass es unsicher ist und die Entwicklung beendet wurde. Truecrypt.sf.net
    (2/4) Der Stil der Ankündigung ist sehr seltsam. Wir glauben jedoch, dass es wahrscheinlich legitim ist und keine einfache Verunstaltung
    (3/4). Die neue ausführbare Datei enthält dieselbe Nachricht und ist kryptografisch signiert. Wir glauben, dass es entweder einen Machtkonflikt gibt ...
    (4/4) im Entwicklerteam oder psychologische Probleme, irgendeine Form von Zwang oder einen Hacker mit Zugriff auf Site und Schlüssel.

    Von Twitter Matthew Green (einer der Prüfer von TrueCrypt):
    @SteveBellovin @mattblaze @ 0xdaeda1a Ich denke, das ist echt.

    TrueCrypt Setup 7.1a.exe:
    • sha1: 7689d038c76bd1df695d295c026961e50e4a62ea
    • md5: 7a23ac83a0856c352025a6f7c9cc1526


    TrueCrypt 7.1a Mac OS X.dmg:
    • sha1: 16e6d7675d63fba9bb75a9983397e3fb610459a1
    • md5: 89affdc42966ae5739f673ba5fb4b7c5


    truecrypt-7.1a-linux-x86.tar.gz:
    • sha1: 0e77b220dbbc6f14101f3f913966f2c818b0f588
    • md5: 09355fb2e43cf51697a15421816899be


    truecrypt-7.1a-linux-x64.tar.gz:
    • sha1: 086cf24fad36c2c99a6ac32774833c74091acc4d
    • md5: bb355096348383987447151eecd6dc0e


    Weitere Gedanken und interessante Informationen:
    www.reddit.com/r/crypto/comments/26px1i/truecrypt_shutting_down_development_of_truecrypt/chu5bhr
    krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/comment-page-1 / # comment-255908
    bradkovach.com/2014/05/the-death-of-truecrypt-a-symptom-of-a-greater-problem boingboing.net/2014/05/29/mysterious-announcement-from-t
    . html
    steve.grc.com/2014/05/29/an-imagined-letter-from-the-truecrypt-developers

    Links zu Nachrichten und Blogeinträgen:
    news.ycombinator.com/item?id=7812133
    www.reddit.com / r / netsec / comment / 26pz9b / truecrypt_development_has_ended_052814
    www.reddit.com/r/sysadmin/comments/26pxol/truecrypt_is_dead
    www.reddit.com/r/crypto/comments/26px1i/truecrypt_shutting_down_development_of_truecrypt
    arstechnica.com/security/2014/05/truecrypt-is-not-secure-official-sourceforge-page-abruptly-warns
    krebsonsecurity.com/2014/05/ true-goodbye-using-truecrypt-is-not-Secure
    www.pcworld.com/article/2241300/truecrypt-now-encouraging-users-to-use-microsofts-bitlocker.html#tk.twt_pcworld
    www.coindesk.com/ Das beliebte Verschlüsselungstool TrueCrypt-Mystery- Shutt
    Business.kaspersky.com/truecrypt-unexplained-disappearance
    www.forbes.com/sites/jameslyne/2014/05/29/open-source-crypto-truecrypt-disappears-with- verdächtige Wolke des Geheimnisses - diese ist ziemlich gut geschrieben von
    news.softodrom.ru/ap/b19702.shtml — очень хорошая статья (написана, кстати, 15.05.2014)
    pastebin.com/7LNQUsrA — еще немного информации о разработчиках

    Twitter stream: twitter.com/search?q=truecrypt&src=typd

    Diff между нормальной версией 7.1a и «текущей» 7.2
    diff на github

    Link for your English-speaking friends

    truecrypt.sourceforge.net

    Jetzt auch beliebt: