- PVSM.RU - https://www.pvsm.ru -
TL;DR: Сайт взломан, ключи скомпрометированы, бинарник может только расшифровывать данные (и, возможно, протроянен).
На странице рассказывается о том, что разработка TrueCrypt была прекращена в мае этого года, после того, как Microsoft прекратила поддержку Windows XP, и что TrueCrypt более небезопасен и может содержать уязвимости.
Далее, на странице содержится подробная инструкция миграции с TrueCrypt на BitLocker.
На сайте есть также ссылки на бинарный файл TrueCrypt, которые ведут в раздел загрузок SourceForge, вместе с цифровой подписью. Этот файл подписан корректным (старым) ключом, а внутри него:
22 мая SourceForge сменили алгоритм хеширования паролей и предложили всем их сменить, чтобы использовался новый алгоритм. Возможно, что-то пошло не так.
Вебсайт взломан, ключи скомпрометированы. Не скачивайте эту версию и не запускайте. И не переходите на BitLocker.
Последняя рабочая версия: 7.1a. Версия 7.2 — подделка.
Почему я так думаю: странное изменение ключей (сначала залили новый, потом удалили и вернули старый), изменение в DNS, и почему битлокер?
Что-то случилось с разработчиками (угрожают лишить жизни) или с самим TrueCrypt (нашли серьезную уязвимость), что привело к выпуску такой версиии.
Почему я так думаю: все файлы имеют правильную подпись, выпущены все релизы (Windows; Linux x86, x86_64, console versions, Mac OS, sources), бинарники, похоже, скомпилированы на ПК разработчика (пути к pdb, метаданные компилятора совпадают).
(1/4) Truecrypt has released an update saying that it is insecure and development has been terminated truecrypt.sf.net [2]
(2/4) the style of the announcement is very odd; however we believe it is likely to be legitimate and not a simple defacement
(3/4) the new executable contains the same message and is cryptographically signed. We believe that there is either a power onflict…
(4/4) in the dev team or psychological issues, coersion of some form, or a hacker with access to site and keys.
Из твиттера Matthew Green [3] (один из аудиторов TrueCrypt):
@SteveBellovin @mattblaze @0xdaeda1a I think this is legit.
TrueCrypt Setup 7.1a.exe:
TrueCrypt 7.1a Mac OS X.dmg:
truecrypt-7.1a-linux-x86.tar.gz:
truecrypt-7.1a-linux-x64.tar.gz:
Следить в twitter [4]
Пост на reddit [5]
Тред на 4chan [6]
Обсуждение на Hacker News [7]
Новость на Arstechnica [8]
Diff между нормальной версией 7.1a и «текущей» 7.2 [9]
diff на github [10]
truecrypt.sourceforge.net/ [11]
Автор: ValdikSS
Источник [12]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/vzlom/60930
Ссылки в тексте:
[1] Wikileaks: https://twitter.com/wikileaks/status/471769936038461440
[2] truecrypt.sf.net: http://truecrypt.sf.net
[3] Matthew Green: https://twitter.com/matthew_d_green/status/471752508147519488
[4] Следить в twitter: https://twitter.com/search?q=truecrypt&src=typd
[5] Пост на reddit: http://www.reddit.com/r/crypto/comments/26px1i/truecrypt_shutting_down_development_of_truecrypt/
[6] Тред на 4chan: https://boards.4chan.org/g/thread/42165014
[7] Обсуждение на Hacker News: https://news.ycombinator.com/item?id=7812133
[8] Новость на Arstechnica: http://arstechnica.com/security/2014/05/truecrypt-is-not-secure-official-sourceforge-page-abruptly-warns/
[9] Diff между нормальной версией 7.1a и «текущей» 7.2: https://www.alchemistowl.org/arrigo/truecrypt-7.1a-7.2.diff.gz
[10] diff на github: https://github.com/warewolf/truecrypt/compare/master...7.2
[11] truecrypt.sourceforge.net/: http://truecrypt.sourceforge.net/
[12] Источник: http://habrahabr.ru/post/224491/
Нажмите здесь для печати.