TrueCrypt и теория заговора

История с TrueCrypt взбудоражила Интернет и пародила кучу версий и теорий на тему того, что случилось с самим проектом и с его разработчикам и почему они в одночась убили то, что строили 10 лет. Как известно, товарищ Matthew Green утверждает что получил имейл от разработчиков, в котором они раскрыли истинную причину закрытия проекта – усталость.

Эту версию подхватили многие блогеры, коментаторы, аналитики и около IT-шные издания, как ни странно закрыв глаза на целую кучу необъяснимых вещей который произошли с проектом. Так же раздражает тот факт, что разной вшивости журналисты, утверждают вещи, которые они в принципе не могут утверждать, в силу того факта, что у них нет достаточных знаний.

Версии из Интернет склепа

Как я уже сказал, за последние два дня, в интернете появилось много версий на тему того, что произошло с TrueCrypt. Ниже я собрал самые популярные.

Версия “Взлом или злая шутка”

Эта версия выдвигалась с самого начала и была похожа на правду. Столь неадекватное поведение не могло разцениватся иначе, как взлом или шутка. Но ребята из GRC & Steve Gibson быстро отвергли эту версию. По нескольким причинам. Причина первая, это ключи которыми были подписаны бинарники, как утверждают на сайте GRC старая стабильная версия 7.1а и новая “непонятная” версия 7.2 были подписаны оригинальным ключом разработчиков.

Скриншот ключа для 7.1а

tc-7-1a

Скриншот ключа для 7.2

tc-7-2

Так же, где-то в дебрях Реддита проскакивало сообщение о том, что мета данные бинарного файла, говорят о том, что он был собран на компьютере разработчика.

Официальный GPG ключ TrueCrypt
tc_key_screenshot

Версия “Официальная”

Версия “Официальная” гласит, что разработчики и впрямь решили, что продукт над которым они работали 10-ть долгих лет не безопасен, дыряв как решето, содержит кучу багов и опасных уязвимостей и не имеет права на жизнь, так как есть нереальная прога от Microsoft под названием BitLocker которая на столько классная, что TrueCrypt им не конкурент. Сказать честно, большего бреда придумать сложно.

С этой версией так-же не согласны многие пользователи, а журналистов юристов вообще в дрожь кидает, при одной только мысли о программе BitLocker. К слову если вы не поняли о чем я, то поясню, именно представители этих професий наиболее активные пользователи сети Tor и программы TrueCrypt.

Версия “Обиделись и ливнули”

Эта версия вообще не выдерживает никакой критики и не содержит в себе здравого смысла, более того, озвучивали ее в основном люди далекие от понимания того, зачем вообще нужно шифрование и кто им пользуется. Объясню. Версия заключается в том, что в рамках проекта по открытому аудиту кода программы TrueCrypt, пацаны из Open Crypto Audit Project собрали около 70 000 долларов США, в то время как разработчики TrueCrypt никакого профита за свою работу не получали и по утверждению некоторых изданий за все 10 лет работы не собрали столько денег, сколько было собрано на компанию по анализу кода и это задело их самолюбие, духовные скрепы лопнули и пацаны похоронили проект.

Для людей который далеки от темы это может показаться аргументом, для тех кто занимается безопасностью это звучит как самая обычная чушь. Бред сивой кабылы. Мы не знаем точных цифр и размера доната, который удавалось собрать разработичкам TrueCrypt, но будьте уверены, эта не маленькая сумма. Если вы думаете, что им некто не донатил, извините вы дурак. Один только я переводил ими деньги трижды, и каждый раз не меньше 150$ США. Многие компании, юристы, врачи, организации, фонды и даже военные делали им донаты, а для многих людей сумма в 10 000 долларов США это смешные деньги, они столько на обед тратят.

Я к сожалению не могу рассказать всего чего знаю, но будьте спокойны, в Израиле многие государственные службы делали донаты TrueCrypt и суммы там такие, что ваш IndieGoGo со своими 70 000 нервно курит в сторонке.

Версия “Пацанам надоело и они устали”

В этой версии многие с умным видом обращают внимание на тот факт, что разработка программы велась крайне “вяло” последняя стабильная версия вышла в “далеком” 2012 году, а многие связанные с TrueCrypt проекты тоже по-тихоньку зкрывались. Разработчики когда примнимались за работу были юнцами по 20 лет, а сейчас им уже за 30-ть, у них жена, ребенок, лабродор и кредит на квартиру и им некогда заниматся разработкой.

Очевидный бред. Во-первых, разработка такого уровня продукта дело крайне сложноe, кропотливое и требующее большого колличества усилий. Для програм по шифрованию, новые версии каждый день не выходят, а стабильные версии могут существовать и до 4-ех лет.

Люди которые стоят за разработкой TrueCrypt явно не дураки, и уж точно им было не по 20-ть лет когда вышла версия TrueCrypt 1.0, для написания программы такого уровня да еще и для двух разных платформ, а вто время это был Windows и чуть позже Linux требует глубоких познаний в шифровании, алгоритмах, математике, логике и программировании на языках C\C++

И сaмое главное, даже если им надоело. Зачем убивать репозиторий? Зачем удалять все старые версии программы? Зачем удалять сайт из ВебАрхива (а это не так просто, нужен официальный запрос), зачем заниматься вандализмом на собственном сайте, почему просто не вывесить аккуратный и простой баннер, что мол нам надаело, мы больше не хотим этим заниматся.

С утра, сегодняшнего дня, эта версия остается так называемой версией из первых рук, так как товарищи Matthew Green и Steven Barnhart утверждают, что получили ответ на имейл от разработчика по имени “Давид” Вот скриншот цитат из письма.

Screen Shot 2014-05-31 at 12.59.40 AM

Я уже приводил дословный перевод. Вот краткая вытяжка:

Мы усердно работали над проектом больше 10 лет. Ничто не может длиться вечно. Никаких контактов с правительством у нас не было. Мы действительно верим, что BitLocker — это оптимальная альтернатива TrueCrypt. А у нас же просто пропал интерес.

Из этого сообщения можно сделать только один вывод, пацаны устали и у них пропал интерес. Никаких объяснений зачем они убили репозиторий, испоганили новую версию, внесли изменения в лицензию, причем здесь Bitlocker, надругались над сайтом и выпилили свой сайт и веб-архива они не дали, видимо в связи с очень большой усталостью и отсутствием интереса.

Стоит упомянуть, что в достоверности этих сведений можно сильно сомневаться, так как скриншота пиьма никто не опубликовал, на мой запрос в Твиттере ответили весьма мутно, а компании GRC & Steve Gibson вся эта шумиха может быть только на руку. Я никого не обвиняю, но и доказательств аутентичности полученного ими ответа они не предъявили.


Версия “Злые, злые NSA”

Эта версия тоже активно обсуждалась в блогах и на форумах, в свете последних событий и разоблачений глобальной слежки NSА за всем что движется, многим она показалась правдоподобной. На самом деле, после того, что случилось с Lavabit, а так же саботажа в отношении многих криптоалгоритмов и сети Tor, в эту версию проще поверить, чем в любую другую.

В современном мире правительства не стесняются банить социальные сети на уровне доступа целой страны, заносить сайты в черные списки (вспоминаем “Мордор-надзор”), строить “великие Китайские файрволлы”, вводить повсеместно цензуру, закрывать без всякой причины почтовые сервсиы (вспоминаем LavaBit), встраивать бэкдоры (вспоминаем скандал с немецкой полицеей) и многое другой.

Очевидно, что главный враг свободы – государство. Я уверен, что многим очень мешал продукт TrueCrypt, так как с его помощью журналисты (например из The Guardian) могли надежно хранить инсайды, а целые компании надежно защищать свои данные от промышленного шпионажа со стороны конурентов. Примеры можно приводить бесконечно.

Я не сторонник теории заговоров, но эта версия мне кажется наиболее правдоподобной из всех. Однако в ней много не стыковок, совсем не поянто к чему весь этот html-цирк на официальной странице проекта, зачем этот редикерт на SourceForge, что за дурацакая ошибка в дате срока окончания поддержки Windows XP? Когда кто-то из правительства закрывает тот или иной проект, они не парятся, они просто вешают заглушку или принуждают владельцев закрыть сервис без объяснения причин, но и без цирка.

FBI

Что делать

Ответ прост – ничего. В интернете полно зеркал с последними стабильными сборками программы. Так же, уже появился сайт, создатели которого утверждают, что займутся форком проекта. Сам сайт хостится в Швейцарии, а сами разработчики не желают уходь в тень и открыто называют свои имена.

Зеркала:
На сайте GRC – www.grc.com/misc/truecrypt/truecrypt.htm
На сайте TrueCrypt.ch – truecrypt.ch
На сайте LinuxSpace – www.linuxspace.org/archives/5766
truecrypt-archive – github.com/DrWhax/truecrypt-archive

Вы всегда можете сравнить MD5 и SHA5 суммы с разными источниками в Интернете, и в частности с тем, что я приводил в своей прошлой статье.
————————————————————
TrueCrypt Setup 7.1a.exe:
sha1: 7689d038c76bd1df695d295c026961e50e4a62ea
md5: 7a23ac83a0856c352025a6f7c9cc1526
————————————————————
TrueCrypt 7.1a Mac OS X.dmg:
sha1: 16e6d7675d63fba9bb75a9983397e3fb610459a1
md5: 89affdc42966ae5739f673ba5fb4b7c5
————————————————————
truecrypt-7.1a-linux-x86.tar.gz:
sha1: 0e77b220dbbc6f14101f3f913966f2c818b0f588
md5: 09355fb2e43cf51697a15421816899be
————————————————————
truecrypt-7.1a-linux-x64.tar.gz:
sha1: 086cf24fad36c2c99a6ac32774833c74091acc4d
md5: bb355096348383987447151eecd6dc0e
————————————————————

О том как скоро начнется развиваться форк говорить не приходится. Начать разбиратся в чужом коде столь сложного продукта может далеко не каждый. Думаю только на подробное изучения кода для одной платформы понадобится не меньше месяца, для группы скажем из трех человек. Если у них будет хватать опыта и знаний, то возможно в ближайшие пол года мы увидим полноценный форк.

TrueCrypt нельзя заменить

Одной из самых больших проблем, остается тот факт, что TrueCrypt не заменим. Это уникальное в своем роде ПО. С уникальным набором функций, простым и проработаным интерфейсом и откртым кодом. Конечно, в Линукс существет LUKS или иными словами cryptsetup, но для многих пользователей это не выход, во-первых cryptsetup не кросс платформенный, во-вторых он не юзер-френдли, а я вам могу сказать с увернностью, что многие пользователи TrueCrypt никогда даже не слышали о Linux.

Та версия, которой мы пользуемся сейчас – прекрасна. Я уверен что ближайшие 10-ть лет ею можно будет беспрепятственно продолжать пользоваться и не переживать за сохранность своих данных.

Что бы не случилось с разработичками и их проектом, какова бы не была причина его закрытия, хочется сказать им огромное спасибо за безвозмездно проделанный труд. Вы создали то, чем мы пользуемся уже многие годы и чем будем пользоваться еще очень долго…

Screen Shot 2014-05-31 at 2.18.32 AM