truecrypt的網站更新了不祥的警告,詳情不詳
TrueCrypt是我們最喜歡的檔案加密工具之一,它突然將其主頁更改為警告該工具可能不安全,以及如何將加密資料遷移到BitLocker的詳細指南。
更新出現在今天早些時候,雖然我們還不能確認它的真實性,但它已經在安全界掀起了風暴,在駭客新聞,併在Ars技術。儘管加密工具在過去的幾年裡還沒有得到很大的提升,但TrueCrypt最近剛剛順利透過了全面安全審計的第一階段。這一突然的警告讓人大吃一驚,網路上的許多評論者都認為這一定是一個洩露的SourceForge帳戶或一個流氓網站管理員所為。如果警告是合法的,則可能是將加密檔案遷移到其他服務或工具的時候了。
不管怎樣,現在都不要下載網站上列出的TrueCrypt版本。據安全研究員RunaSadvik說,它是昨天編譯的,使用的是一個有問題的DSA金鑰。它可能與TrueCrypt Sourceforge頁面一起被破壞。
更新:參與TrueCrypt審計的安全研究人員之一Matthew Green指出,雖然他事先不知道這一突然變化,但他認為這一宣佈是合法的。
類似地,釋出的TrueCrypt版本似乎被大量修改,關鍵功能被刪除,大量的“不安全的應用程式”散佈在程式碼中。即便如此,它還是透過了官方的TrueCrypt簽名金鑰的認證,這讓我們相信這可能是真的。Ars技術說明:
SourceForge頁面提供給試圖檢視truecrypt.org頁面的使用者,其中包含一個新版本的程式,根據這個“diff”分析,它似乎包含警告程式使用不安全的更改。值得註意的是,TrueCrypt 7.2版透過了官方TrueCrypt私有簽名金鑰的認證,這表明警告TrueCrypt不安全的頁面並不是駭客釋出的騙局,他們試圖獲得未經授權的訪問。畢竟,有能力簽署新的TrueCrypt發行版的人可能不會用惡作劇來浪費這種駭客行為。或者,這篇帖子暗示,證明應用真實性的加密金鑰已經被洩露,不再由官方的TrueCrypt開發者獨家控制。
更新:安全專家Brian Krebs在他的部落格上對這一情況做了一個很好的綜述,他指出,儘管專案SourceForge網站上的警告所用的語氣和語言充其量只是好奇,但專案的託管、域註冊和WHOIS資訊最近並沒有改變,這對於一個簡單的網站駭客來說並不罕見。
現在看來,這些變化更像是TrueCrypt團隊的故意行為(一種焦土般的結束專案的方法,要麼是因為審計帶來的壓力,要麼是因為一些外部影響,或者內部衝突),或者TrueCrypt團隊中的某個人決定翻開隱喻表,因為所有的開發人員都是匿名的,所以無法確定。
更新:安全專家史蒂夫·吉布森昨天晚些時候在他的部落格上總結了當前的情況,並提供了一些新的資訊。首先,TrueCrypt的安全審計可能會繼續,使用7.1a版本,可以安全下載,他在自己的網站上有安全版本的下載連結。執行審計的小組計劃在幾個月內繼續進行,並可能在夏季結束前釋出最後報告。到那時,我們就知道是不是有什麼東西導致了這一切。
其次,他們網站上的突然變化和警告並沒有消失,所以可以公平地假設這不是一個流氓駭客,而是代表至少幾個匿名的TrueCrypt開發團隊的蓄意行為。Steve註意到據報道Steven Barnhart使用一個他過去使用過的電子郵件地址與其中一個開發人員取得了聯絡,並得到了一個名為“David”的開發人員的回覆,根據他與Matthew Green在Twitter上的對話,他解釋了為什麼他們以這種方式關閉專案:
- TrueCrypt Developer “David”: “We were happy with the audit, it didn’t spark anything. We worked hard on this for 10 years, nothing lasts forever.”
- Steven Barnhart: (Paraphrasing) Developer “personally” feels that fork is harmful: “The source is still available as a reference though.”
- Steven Barnhart: “I asked and it was clear from the reply that “he” believes forking’s harmful because only they are really familiar w/code.”
- Steven Barnhart: “Also said no government contact except one time inquiring about a ‘support contract.’ “
- TrueCrypt Developer “David”: Said “Bitlocker is ‘good enough’ and Windows was original ‘goal of the project.’ “
- Quoting TrueCrypt Developer David: “There is no longer interest.”
你可以在這裡閱讀史蒂夫·吉布森的最新文章。
更新:TrueCrypt的安全審計終於完成了,沒有發現任何驚天動地的事情。我們發現了一些在非常特定的情況和攻擊場景中可以利用的問題,但是沒有任何問題可以解釋為什麼TrueCrypt開發團隊會突然放棄這個專案。你可以在這裡讀更多,看到整個報告。
- 發表於 2021-05-21 07:06
- 閱讀 ( 29 )
- 分類:網際網路
你可能感興趣的文章
7家很酷的網上舊貨店可以幫你省一筆錢
...省一塊錢總是有很大的幫助。幸運的是,現在不僅有很好的網上購物交易,還有網上舊貨商店。 ...
迪士尼+流媒體服務將於2019年推出
... 迪士尼+仍在進行中。不過,它有自己的網站,感興趣的人可以透過電子郵件註冊接收流媒體服務的更新。如果你是迪斯尼、星球大戰、皮克斯、驚奇漫畫和/或國家地理雜誌的粉絲,這可能是值得做的。 ...
每日新聞綜述:假冒的三星更新應用有1000萬次安裝
...新韌體更新。實際上,它將使用者重定向到一個充滿廣告的網站,並誘騙他們購買昂貴的訂閱。 安卓系統的更新可能會一團糟,這主要是**商的錯。如果你想保證及時更新,你最好買一部畫素**。不幸的是,一些壞演員利用了更...
為什麼有些網站會彈出有關cookies的警告?
如果你花任何時間在網上,你可能會遇到一個相當正常的網站,似乎奇怪地關注餅乾教育。你會看到一個彈出視窗警告你,是的,這個網站使用cookies…就像網路上幾乎所有其他頁面一樣。如果這個警告顯得多餘和無效,你不是...
如何在firefox中清除瀏覽歷史記錄
和其他瀏覽器一樣,Firefox收集了你的網際網路冒險的詳細歷史。如果你想覆蓋你的軌跡,或者根本不想讓Firefox收集任何資料,你可以做出改變,以確保更私密的瀏覽體驗。 您可以從OSX上的“歷史”選單訪問Firefox的歷史,或者...
什麼是tpm?為什麼windows需要tpm進行磁碟加密?
...隱藏了這個選項,以強調TPM對安全性的重要性。 為什麼truecrypt迴避tpms 相關:為滿足您的加密需求,有3種TrueCrypt替代方案 當然,TPM並不是唯一可行的磁碟加密選項。TrueCrypt的常見問題-現在被刪除-用來強調為什麼TrueCrypt沒有使...
為滿足您的加密需求,有3種truecrypt替代方案
TrueCrypt在2014年5月戲劇性的關閉讓所有人震驚。TrueCrypt是全磁碟加密軟體的熱門推薦,開發人員突然表示程式碼“不安全”,並停止了開發。 我們仍然不知道TrueCrypt被關閉的確切原因——也許開發商受到了**的壓力,或者他們只...
如果升級到Windows8的專業版,您將獲得7項功能
...體驅動器或建立加密的容器檔案,則需要Windows專業版。 TrueCrypt曾經是BitLocker的一個很好的替代品,適用於使用任何版本Windows的使用者。TrueCrypt專案現在正式關閉,他們的網站建議您使用BitLocker,所以這是懸而未決的。使用TrueCr...
如何在windows、linux和mac os x上輕鬆加密檔案
...使用BitLocker,所以在Windows上需要第三方加密解決方案。TrueCrypt以前是幾乎所有人都推薦的加密解決方案。它提供了多種加密方法,因此您可以加密整個系統驅動器、加密可移動驅動器,或者只建立一個加密容器來加密某些特定...
使用truecrypt保護雲中的資料
...你再小心也不為過。本指南將告訴您需要做些什麼,以便TrueCrypt能夠保護您的同步檔案免受窺探。 什麼時候你的資料不是你的資料? 當您的檔案只儲存在您的計算機上,或您自己的拇指驅動器或行動式硬碟驅動器上時,您可以...
