TrueCrypt是我们最喜欢的文件加密工具之一，它突然将其主页更改为警告该工具可能不安全，以及如何将加密数据迁移到BitLocker的详细指南。

更新出现在今天早些时候，虽然我们还不能确认它的真实性，但它已经在安全界掀起了风暴，在黑客新闻，并在Ars技术。尽管加密工具在过去的几年里还没有得到很大的提升，但TrueCrypt最近刚刚顺利通过了全面安全审计的第一阶段。这一突然的警告让人大吃一惊，网络上的许多评论者都认为这一定是一个泄露的SourceForge帐户或一个流氓网站管理员所为。如果警告是合法的，则可能是将加密文件迁移到其他服务或工具的时候了。

不管怎样，现在都不要下载网站上列出的TrueCrypt版本。据安全研究员RunaSadvik说，它是昨天编译的，使用的是一个有问题的DSA密钥。它可能与TrueCrypt Sourceforge页面一起被破坏。

更新：参与TrueCrypt审计的安全研究人员之一Matthew Green指出，虽然他事先不知道这一突然变化，但他认为这一宣布是合法的。

类似地，发布的TrueCrypt版本似乎被大量修改，关键功能被删除，大量的“不安全的应用程序”散布在代码中。即便如此，它还是通过了官方的TrueCrypt签名密钥的认证，这让我们相信这可能是真的。Ars技术说明：

SourceForge页面提供给试图查看truecrypt.org页面的用户，其中包含一个新版本的程序，根据这个“diff”分析，它似乎包含警告程序使用不安全的更改。值得注意的是，TrueCrypt 7.2版通过了官方TrueCrypt私有签名密钥的认证，这表明警告TrueCrypt不安全的页面并不是黑客发布的骗局，他们试图获得未经授权的访问。毕竟，有能力签署新的TrueCrypt发行版的人可能不会用恶作剧来浪费这种黑客行为。或者，这篇帖子暗示，证明应用真实性的加密密钥已经被泄露，不再由官方的TrueCrypt开发者独家控制。

更新：安全专家Brian Krebs在他的博客上对这一情况做了一个很好的综述，他指出，尽管项目SourceForge网站上的警告所用的语气和语言充其量只是好奇，但项目的托管、域注册和WHOIS信息最近并没有改变，这对于一个简单的网站黑客来说并不罕见。

现在看来，这些变化更像是TrueCrypt团队的故意行为（一种焦土般的结束项目的方法，要么是因为审计带来的压力，要么是因为一些外部影响，或者内部冲突），或者TrueCrypt团队中的某个人决定翻开隐喻表，因为所有的开发人员都是匿名的，所以无法确定。

更新：安全专家史蒂夫·吉布森昨天晚些时候在他的博客上总结了当前的情况，并提供了一些新的信息。首先，TrueCrypt的安全审计可能会继续，使用7.1a版本，可以安全下载，他在自己的网站上有安全版本的下载链接。执行审计的小组计划在几个月内继续进行，并可能在夏季结束前发布最后报告。到那时，我们就知道是不是有什么东西导致了这一切。

其次，他们网站上的突然变化和警告并没有消失，所以可以公平地假设这不是一个流氓黑客，而是代表至少几个匿名的TrueCrypt开发团队的蓄意行为。Steve注意到据报道Steven Barnhart使用一个他过去使用过的电子邮件地址与其中一个开发人员取得了联系，并得到了一个名为“David”的开发人员的回复，根据他与Matthew Green在Twitter上的对话，他解释了为什么他们以这种方式关闭项目：

• TrueCrypt Developer “David”: “We were happy with the audit, it didn’t spark anything. We worked hard on this for 10 years, nothing lasts forever.”
• Steven Barnhart: (Paraphrasing) Developer “personally” feels that fork is harmful: “The source is still available as a reference though.”
• Steven Barnhart: “I asked and it was clear from the reply that “he” believes forking’s harmful because only they are really familiar w/code.”
• Steven Barnhart: “Also said no government contact except one time inquiring about a ‘support contract.’ “
• TrueCrypt Developer “David”: Said “Bitlocker is ‘good enough’ and Windows was original ‘goal of the project.’ “
• Quoting TrueCrypt Developer David: “There is no longer interest.”

你可以在这里阅读史蒂夫·吉布森的最新文章。

更新：TrueCrypt的安全审计终于完成了，没有发现任何惊天动地的事情。我们发现了一些在非常特定的情况和攻击场景中可以利用的问题，但是没有任何问题可以解释为什么TrueCrypt开发团队会突然放弃这个项目。你可以在这里读更多，看到整个报告。