Proč skončil TrueCrypt a je fork jménem VeraCrypt bezpečný?

Diskutoval jsem s několika kamarády ohledně bezpečnosti dat a narazilo se na TrueCrypt (dále jen TC) a VeraCrypt (dále jen VC). Asi dva zásadní, když neberu v potaz mraky forků. Který z nich je lepší? To byla otázka, na kterou není jednoznačná odpověď. Pro TC hraje bezpečnostní audit, na druhou stranu projekt skončil za nejasných okolností. U VC je zase výhodou podpora souborů a disků z TC a vyšší počet iterací, což zaručuje lepší ochranu disků/souborů. Bohužel VC nemá bezpečnostní audit, tak jako TC. Nicméně pokud by byla pravda a TC byl děravý, tak je to jedno. Prošel by ale TC skrz audit, kdyby tam byla nějaká velká díra?

TrueCrypt konec, ale proč?

Asi každý zájemce o dobrý program na šifrování postřehl, že jeden z nejleších programů na šifrování složek a disků TrueCrypt skončil a to za velice divných okolností. Dne 28. května 2014 se na stránkách projektu objevila hláška, která upozorňuje na to, že program není bezpečný a doporučují přejít na jiný program. Paradoxně na „bezpečnější a lepší“ nástroj od Microsoftu, na BitLocker. Původně se myslelo, že se jedná o napadení webu, ale nakonec se to nepotvrdilo. Komunita začala šťourat a po shlédnutí kódu jakým je psána stránka, která projekt ukončuje, se začalo spekulovat, zda to nemá být nějaké vodítko. Ona totiž nezmizela jen stránka truecrypt.org, ale i její archívy z různých webů, které poskytují náhled na stránky z minulosti. Všechno z ničeho nic. Bez vysvětlení a informací o bezpečnostní chybě, kterou by měl TC obsahovat, nebo informací proč končí. Ještě větší záhada je, proč se plánovala další aktualizace, která měla podporovat i WIN8. Úmysl a krok z nouze?

Jak to tedy s TrueCryptem bylo?

Oficiálně nikdo neví a jen se spekuluje, ale prosakují i informace, že se jedná o zásah NSA nebo FBI, která měla zatlačit na autory tohoto softwaru, aby byl zakomponován zadní přístup do aplikace. Stát se to mohlo a v takovém případě bych autora(y) pochopil. Jenže za TC mají stát dva bratři z ČR. Zda je to pravda se neví a může to být jen maskování pro věrohodnot celého projektu. Kdyby byla pravda o autorech, tak by tu asi musela zapracovat síla a ukázka moci, protože v ČR by autora jen tak úřední šiml USA nedohnal k tomu, aby tam zadní vrátka implementoval. Zákon porušen nebyl a jestli se nepletu, tak tady takový zákon ani není. Druhá varianta je, že byl opravdu nalezen zásadní bezpečnostní problém. Tím pádem by byl software k ničemu, takže se zastavil vývoj a vydala se poslední verze 7.2, která umožňuje pouze vytažení dat a funkce na šifrování už nemá. Proč by ale ukončení celého projektu bylo tak rychlé a ještě bez informací k problému? Jak to, že by na problém nenarazil audit? To jsou otázky, které stojí za úvahu. Zásada je, a doufám že bude, informovat v případě nějakého problém celou komunitu a popsat co za ukončením stojí. Tady se ale žádné vysvětlení nekoná a věta „WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues“ je docela podivná. Někdo už narazil i na to, jak je celá věta stavěná. viz …Not Secure As… což by mohlo být vodítko, ale tady už pracuje velká představivost. Jak to tedy bylo se možná nikdy nedozvíme, ale audit mluví za vše a až na pár chyb, které nejsou nijak zásadní, se dá TC do verze 7.1a používat.

Opravdu BitLocker?

Stránka na kterou je původní web TC směrován ukazuje opravdu návod na přechod pod tento nástroj, což by bylo úplně postavené na hlavu, když se potvrdilo několik zásadních informací o bezpečnosti tohoto SW. Samotný BitLocker Snowden označil jako nebezpečný a prolezlý backdoory, což potvrdilo článek, ve kterém se mj. psalo, jak na tvůrce tohoto softwaru tlačila FBI pro vytvoření zadního přístupu. Celý článek je k nalezení na stránce Redmondmag. Není žádné tajemství, že bezpečnostní složky USA se snaží dostat kam jen mohou, aby bylo možné bojovat s „terorismem“. Otázka je, zda bude někoho Jirka z Horní Dolní zajímat. Každopádně u velkých firem, kde se střeží výrobní a jiné tajnosti, bych byl opatrný. Velký bratr má oči a uši všude, bohužel. Materiály, které vynesl Snowden, to jen potvrzují.

Co tedy použít? TrueCrypt nebo VeraCrypt?

Obecně lze říct, že použít jde oba. VeraCrypt je kompatibilní s TrueCryptem, takže lze použít i soubory nebo disky, které byly původně pro TC a připojit je pomocí VC. Naopak to bohužel nejde, protože TC je/byl základ pro VC (tzv. fork). Já jsem testoval oba a pro moje potřeby stačí i stařičká verze TC, ale kdyby někdo chtěl, aby UI vypadalo pěkně a využil všechny možnosti těchto programů, tak lze používat VC. U něj byla provedena modifikace ve vzhledu a bylo opraveno a přidáno několik věcí, které vytýkal audit TC. Více najdete na stránce VC Why is this more secure than TrueCrypt? a zde najdete přímo audit TrueCryptu. Jisté rozdíly mezi oběma SW jsou, ale pokud potřebujete zašifrovat obsah flasky, nebo přenosného disku, tak jsou tyto programy naprosto dostačující. Navíc kdyby chtěl někdo „lousknout“ vaše heslo, tak by pravděpodobně neuspěl. V případě použití souborového klíče by mu heslo nestačilo. Jelikož si dle všech indicií ani slavná NSA zatím neporadí se souborovým klíčem (viz níže), tak nemusíte mít strach, že by vám někdo data odcizil.

Abych vysvětlil to s NSA a souborovým klíčem. Jsou případy, kdy se NSA nedostala na data díky tomu, že jim majitelé neřeknou hesla. Majitelé těchto zařízení jsou na základě tohoto vězněni. Už jen to mě utvrzuje v tom, že podobné aktivity (nedobrovolné ukončení, vydírání, vazba, soudy a podobné akce) budou častější s tím, jak se bude víc a víc šifrovat bez možnosti dešifrování ze strany vládních agentur.

Co si myslíte o ukončení TrueCryptu? Bylo to opravdu chybou v systému, nebo to bylo opravdu z donucení? (nespolupráce na zavedení backdooru)

Lubomír Merta

Původem správce sítě a Linux serverů, aktuálně frontend kodér, Android geek a sportovec z gauče.


Vytvořeno