Video: True Crypt - How to Encrypt Your Files Linus Tech Tips (Oktober 2024)
Hvis du bruger TrueCrypt til at kryptere dine data, skal du skifte til en anden krypteringssoftware for at beskytte dine filer og endda hele harddiske.
Open source og frit tilgængeligt TrueCrypt-software har været populært i de sidste ti år, fordi det blev opfattet som uafhængigt af større leverandører. Oprettelsen af softwaren er ikke blevet identificeret offentligt. Edward Snowden angiveligt brugte TrueCrypt, og sikkerhedsekspert Bruce Schneier var en anden velkendt tilhænger af softwaren. Værktøjet gjorde det nemt at omdanne et flashdrev eller en harddisk til en krypteret lydstyrke og sikrede alle de data, der er gemt på det, fra nysgerrige øjne.
De mystiske skabere lukkede pludselig TrueCrypt onsdag og hævdede, at det var utrygt at bruge. "ADVARSEL: Brug af TrustCrypt er ikke sikkert, da det kan indeholde usikre problemer, " læser teksten på TrueCrypt's SourceForge-side. "Du skal migrere alle data, der er krypteret af TrueCrypt, til krypterede diske eller virtuelle diskbilleder, der understøttes på din platform, " siger meddelelsen.
"Det er tid til at begynde at lede efter en alternativ måde at kryptere dine filer og harddisk på, " skrev den uafhængige sikkerhedskonsulent Graham Cluley.
Konsensus: Ikke en Hoax
Først var der bekymring for, at nogle ondsindede angribere havde brugt stedet, men det bliver stadig mere tydeligt, at dette ikke er en hoax. SourceForge-webstedet tilbyder nu en opdateret version af TrueCrypt (digitalt underskrevet af udviklerne, så dette ikke er et hack), der dukker op en advarsel under installationsprocessen for at informere brugerne om, at de skal bruge BitLocker eller et andet værktøj.
"Jeg tror, det er usandsynligt, at en ukendt hacker identificerede TrueCrypt-udviklere, stjal deres signaturnøgle og hacket deres websted, " sagde Matthew Green, en professor, der har specialiseret sig i kryptografi ved Johns Hopkins University.
Hvad skal jeg gøre næste
Webstedet såvel som popup-advarslen på softwaren har instruktioner om overførsel af TrueCrypt-krypterede filer til Microsofts BitLocker-tjeneste, der er indbygget i Microsoft Vista Ultimate og Enterprise, Windows 7 Ultimate og Enterprise, og Windows 8 Pro og Enterprise. TrueCrypt version 7.2 lader brugere dekryptere deres filer, men lader dem ikke oprette nye krypterede mængder.
Mens BitLocker er det indlysende alternativ, er der andre muligheder at se på. Schneier fortalte The Register, at han skifter tilbage til Symantecs PGPDisk for at kryptere hans data. Symantec Drive Encrpytion ($ 110 for en enkelt brugerlicens) bruger PGP, som er en velkendt krypteringsmetode. Der er andre gratis værktøjer til Windows, såsom DiskCryptor. Sikkerhedsekspert Grugq sammensatte en liste over TrueCrypt-alternativer sidste år, hvilket stadig er nyttigt.
SANS Instituts Johannes Ullrich anbefalede, at Mac OS X-brugere holder sig med FileVault 2, som er indbygget i OS X 10.7 (Lion) og senere. FileVault bruger XTS-AES 128-bit-chiffer, som er den samme, som NSA bruger. Linux-brugere skal holde sig til den indbyggede Linux Unified Key Setup (LUKS), sagde Ullrich. Hvis du bruger Ubuntu, har operativsysteminstallatøren mulighed for at tænde for fuld diskkryptering lige fra starten.
Brugere har dog brug for et andet værktøj til bærbare drev, der bevæger sig mellem forskellige operativsystemer. "PGP / GnuPG kommer til at tænke på, " sagde Ullrich i InfoSec Handlers Diary.
Det tyske firma Steganos tilbyder en ældre version af deres krypteringsværktøj (version 15 er deres seneste, men tilbuddet er til version 14) gratis til brugere, hvilket ikke rigtig er det ideelle.
Ukendte sårbarheder
Det faktum, at TrueCrypt kan have sikkerhedssårbarheder, skurrer i betragtning af, at der i øjeblikket er en uafhængig revision af softwaren, og at der ikke har været nogen sådanne rapporter. Tilhængere rejste $ 70.000 til revisionen på grund af bekymringer, som National Security Agency har kapacitet til at afkode betydelige mængder af krypterede data. Den første fase af undersøgelsen, der så på TrueCrypt bootloader blev frigivet lige i sidste måned. Det "fandt ingen bevis for bagdøre eller forsætlige mangler." Den næste fase, der skulle undersøge kryptografien, der blev brugt af softwaren, var planlagt til at blive afsluttet i sommer.
Green, som var en af de mennesker, der var involveret i revisionen, sagde, at han ikke havde advarsel om, hvad TrueCrypt-udviklerne planlagde. "Sidste jeg hørte fra Truecrypt: 'Vi ser frem til resultaterne af fase 2 i din revision. At du meget for al din indsats igen!'" Udgav han på Twitter. Tilsynet forventes at fortsætte på trods af lukningen.
Det er muligt, at skaberne af softwaren besluttede at stoppe udviklingen, fordi værktøjet er så gammelt. Udvikling "sluttede i 5/2014, efter at Microsoft afsluttede understøttelse af Windows XP, " sagde meddelelsen på SourceForge. "Windows 8/7 / Vista og senere tilbød integreret support til krypterede diske og virtuelle diskbilleder." Med kryptering indbygget i mange af operativsystemerne som standard kan udviklerne måske have følt, at softwaren ikke længere var nødvendig.
For at gøre tingene endnu mørkere ser det ud til, at der blev tilføjet en billet 19. maj for at fjerne TrueCrypt fra det sikre operativsystem Tails (også en anden Snowden-favorit). Uanset hvad der er tilfældet, er det klart, at ingen burde bruge softwaren på dette tidspunkt, advarede Cluley.
"Uanset om du hoax, hacker eller ægte levetid for TrueCrypt, er det tydeligt, at ingen sikkerhedsbevidste brugere vil føle sig godt til at stole på softwaren efter denne debacle, " skrev Cluley.
