Выбрать главу

Особое масло в огонь подливает еще и то, что архив сайта удален из "кэша интернета":

Этот факт многим не дает покоя, как бы намекая, что без спецслужб здесь не обошлось.

Мне неизвестно, кто имеет право и возможность исключать из веб-архива какие-то сайты. Может быть такую возможность имеет любой, кто подтвердит право на собственность того или иного сайта, а может быть это делается только по специальным решениям (суд, спецслужбы и т.д.). Не знаю. Хотя вот здесь пишется, что собственник сайта вроде как может попросить удалить свой сайт из архива.

Совет переходить на BitLocker как бы тоже намекает: "пользоваться TrueCrypt – это тоже самое, что юзать BitLocker".

Немного поясню. БитЛокер – это встроенная в современные версии Windows (выше XP) технология шифрования. Весьма, кстати, удобная, простая в использовании и т.д. Но с одним но – это Microsoft. То есть, ни о каких открытых исходниках не может быть и речи.

Кроме того, в Битлокере имеется возможность восстановления ключей, а значит, это могут сделать и другие (сам MS, например, по запросу органов). Ну, и само собой, можно косвенно полагать, что в Windows и без того имеются различные бэкдоры для того же АНБ и ЦРУ.

В пользу версии о причастности АНБ есть еще один факт. В официальном сообщении о закрытии проекта нашли закодированное послание (да и сам поступок разработчиков очень похож на "свидетельство канарейки"). Дело в том, что в предложении  "WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues" первые буквы слов можно трактовать, как "uti nsa im cu si", что в переводе с латыни может означать следующее: "If I wish to use the NSA" ("Если я хочу пользоваться АНБ"). Как вам такое послание, а?

В общем, за эти дни разных версий произошедшей ситуации было много:

Давление правительства и спецслужб, и, как следствие, такая реакция авторов TrueCrypt – некий завуалированный сигнал, знак для всех пользователей (основная версия).Сайт взломан, ключи скомпрометированы и находятся в руках злоумышленников, ПО скомпрометировано.Авторы просто решили "забить" на дальнейшую  поддержку и разработку.Корпорация Microsoft предложила разработчикам очень высокоплачиваемую работу, с условием закрыть проект TrueCrypt =) Цель данного поступка – сорвать дальнейший аудит.

Были и  многие другие версии. Если интересно, почитайте пост и камменты к нему на Хабре.

Позже история получила логическое продолжение.

Одному из аудиторов TrueCrypt (Steven Barnhart) все-таки удалось связаться с одним из анонимов-разработчиков TC, называющим себя David.

Тот прокомментировал ситуацию примерно так: мы потеряли интерес к дальнейшей разработке данного ПО. Кроме того, по словам Дэвида, TrueCrypt изначально был ориентирован на Windows, и т.к. прекращена поддержка Windows XP, а в новых версиях есть BitLocker, то и свою миссию они считают выполненной.

Такие вот дела. Кого-то заявление Дэвида успокоило, у кого-то оно вызвало еще большее недоумение и опаски. Но, факт остается фактом - ТруКрипт прекращает свое официальное существование (точнее свое развитие).

Что ж, переходим ко второй части статьи, к вопросу аналогов и их необходимости.

Альтернативы и аналоги TrueCrypt

Для начала давайте определимся, а стоит ли вообще паниковать и искать замену TrueCrypt? Я определенно считаю, что суетиться нет нужды. По крайней мере, до окончания полного аудита и оглашения его результатов.

Да, официальный сайт закрыт, нет возможности официально получить TC. Но! Есть ряд сайтов и репозиториев, где все еще можно скачать любые версии TrueCrypt, от самой первой до последней стабильной (напомню, последняя актуальная версия – это TrueCrypt 7.1a, версию 7.2 мы во внимание не берем).

Но, прежде чем ринуться вбивать в Google "скачать TrueCrypt" или что-то подобное, нужно понимать следующее: в свете последних событий в интернете наверняка появится масса "фэйковых" сборок с троянами, бэкдорами и т.д. Как же быть? А ответ прост. Для этого существуют контрольные суммы (хэш-суммы), которые подтвердят, что скачанный файл – это настоящий TrueCrypt.

Вот хэши для файла TrueCryptSetup 7.1a.exe:

SHA256: e95eca399dfe95500c4de569efc4cc77b75e2b66a864d467df37733ec06a0ff2

SHA1: 7689d038c76bd1df695d295c026961e50e4a62ea

MD5: 7a23ac83a0856c352025a6f7c9cc1526

Полный список контрольных сумм для версии 7.1a (включая сорцы) находится здесь:

Вообще, стоит взять за правило сверять хэши при скачивании любого ПО – это будет гарантировать аутентичность и целостность скачанного файла, т.е. это будет значить, что вы скачали именно тот файл, и во время скачивания он случайно не "испортился".

С хэшами определились. Теперь авторитетные ссылки, где можно скачать "настоящий" TrueCrypt: 

1. Страница на Gibson Research Corporation (https://www.grc.com/misc/truecrypt/truecrypt.htm). Первоисточник информации по случившемуся инциденту, ответ Дэвида и т.д. И, конечно же, ссылки на все сборки и исходники последней актуальной версии TrueCrypt. Также на этой странице есть ссылка (которую я упоминал выше) на хэш-суммы, и др. полезные ссылки.

2. Репозиторий на GitHub (https://github.com/DrWhax/truecrypt-archive) с полным архивом всех версий TrueCrypt, начиная с самой первой (даже когда программа еще называлась Scramdisk).Проект

3. TCnext (http://truecrypt.ch/) планирует продолжить дело TrueCrypt! Сейчас здесь также есть ссылки на скачивание "правильных" файлов, запущен форум, активно ведется твиттер-аккаунт и т.д.

4. Из комментариев к посту на Хабре: http://cyberside.planet.ee/truecrypt/ и http://cyberside.net.ee/truecrypt/. Тут также располагаются все версии TrueCrypt. На момент публикации этих ссылок на Хабре хэши версий 7.1a совпадали с оригиналами.

Думаю этого достаточно. Еще раз напомню, что категорически противопоказано качать ТруКрипт при помощи первых попавшихся ссылок в поисковиках или на торрент-трекерах. А если уж качаете, то обязательно сверяйте контрольные суммы.

И, прежде чем перейти к аналогам, оставлю тут еще несколько ссылок. Так сказать для энциклопедичности:

1. Is TrueCrypt Audited Yet? (http://istruecryptauditedyet.com/) – официальная страница аудита: новости, отчеты и т.д.

2. Неофициальная копия сайта truecrypt.org. (http://andryou.com/truecrypt/) В копию, конечно же, внесены изменения в соответствии с текущими реалиями, но сохранена документация и т.п. Тут же есть и почти полная копия прежнего сайта: http://andryou.com/truecrypt_orig/

3. Страница на ETCWIKI (http://www.etcwiki.org/wiki/What_happened_to_Truecrypt_-_May_2014) - англоязычная статья, аналогичная той, что опубликована на Хабре. Точно не знаю, но вероятно у них один и тот же автор – ValdikSS (http://habrahabr.ru/users/ValdikSS/)

Итак...

Аналоги (правильнее будет сказать альтернативы) TrueCrypt...

Если врожденная или приобретенная паранойя (или религия) не позволяет вам и дальше пользоваться ТруКриптом, то можно присмотреть себе альтернативу. Правда замечу, что абсолютно полноценной замены я лично пока не вижу.

Большинство из описываемых ниже решений я ранее не использовал, о многих из них узнал совсем недавно. Так что полноту сведений не гарантирую => только весьма поверхностный обзор.

BitLocker

Раз уж разработчики TrueCrypt рекомендуют пользователям Windows переходить на БитЛокер, с него и начнем.

Напомню, BitLocker – это встроенная в ОС семейства Windows (начиная с Висты) технология шифрования. Но имеется она не во всех редакциях, а только в "старших":