Сайт TrueCrypt, вероятно, взломан и предлагает переходить на BitLocker

в 19:45, , рубрики: truecrypt, взлом, информационная безопасность, шифрование, метки: , ,

image
TL;DR: Сайт взломан, ключи скомпрометированы, бинарник может только расшифровывать данные (и, возможно, протроянен).

На странице рассказывается о том, что разработка TrueCrypt была прекращена в мае этого года, после того, как Microsoft прекратила поддержку Windows XP, и что TrueCrypt более небезопасен и может содержать уязвимости.
Далее, на странице содержится подробная инструкция миграции с TrueCrypt на BitLocker.

На сайте есть также ссылки на бинарный файл TrueCrypt, которые ведут в раздел загрузок SourceForge, вместе с цифровой подписью. Этот файл подписан корректным (старым) ключом, а внутри него:
image

22 мая SourceForge сменили алгоритм хеширования паролей и предложили всем их сменить, чтобы использовался новый алгоритм. Возможно, что-то пошло не так.

Предположение №1

Вебсайт взломан, ключи скомпрометированы. Не скачивайте эту версию и не запускайте. И не переходите на BitLocker.
Последняя рабочая версия: 7.1a. Версия 7.2 — подделка.

Почему я так думаю: странное изменение ключей (сначала залили новый, потом удалили и вернули старый), изменение в DNS, и почему битлокер?

Предположение №2

Что-то случилось с разработчиками (угрожают лишить жизни) или с самим TrueCrypt (нашли серьезную уязвимость), что привело к выпуску такой версиии.

Почему я так думаю: все файлы имеют правильную подпись, выпущены все релизы (Windows; Linux x86, x86_64, console versions, Mac OS, sources), бинарники, похоже, скомпилированы на ПК разработчика (пути к pdb, метаданные компилятора совпадают).


Из твиттера Wikileaks:

(1/4) Truecrypt has released an update saying that it is insecure and development has been terminated truecrypt.sf.net
(2/4) the style of the announcement is very odd; however we believe it is likely to be legitimate and not a simple defacement
(3/4) the new executable contains the same message and is cryptographically signed. We believe that there is either a power onflict…
(4/4) in the dev team or psychological issues, coersion of some form, or a hacker with access to site and keys.

Из твиттера Matthew Green (один из аудиторов TrueCrypt):

@SteveBellovin @mattblaze @0xdaeda1a I think this is legit.

TrueCrypt Setup 7.1a.exe:

  • sha1: 7689d038c76bd1df695d295c026961e50e4a62ea
  • md5: 7a23ac83a0856c352025a6f7c9cc1526

TrueCrypt 7.1a Mac OS X.dmg:

  • sha1: 16e6d7675d63fba9bb75a9983397e3fb610459a1
  • md5: 89affdc42966ae5739f673ba5fb4b7c5

truecrypt-7.1a-linux-x86.tar.gz:

  • sha1: 0e77b220dbbc6f14101f3f913966f2c818b0f588
  • md5: 09355fb2e43cf51697a15421816899be

truecrypt-7.1a-linux-x64.tar.gz:

  • sha1: 086cf24fad36c2c99a6ac32774833c74091acc4d
  • md5: bb355096348383987447151eecd6dc0e

Следить в twitter
Пост на reddit
Тред на 4chan
Обсуждение на Hacker News
Новость на Arstechnica

Diff между нормальной версией 7.1a и «текущей» 7.2
diff на github

truecrypt.sourceforge.net/

Автор: ValdikSS

Источник

Поделиться