Mystik: Er Truecrypt-kryptering blevet usikker?

Truecrypt-software til kryptering af harddiske bliver nu fra en officiel Truecrypt-webside udråbt som usikker at bruge. Men udmeldingen vækker undren og er ikke blevet bekræftet.

Har du krypteret dine data med Truecrypt, skal du skynde dig at finde en anden løsning. Du kan nemlig ikke længere stole på, at Truecrypt kan beskytte dataene forsvarligt.

Sådan lyder den klare besked på Truecrypts officielle Sourceforge-side, sammen med en vejledning i hvordan man i stedet kan bruge de indbyggede krypteringsværktøjer i Windows. Det skriver Ars Technica.

Ifølge beskeden, som også hjemmesiden truecrypt.org linker til, stoppede udviklingen af Truecrypt i maj måned, efter Microsoft stoppede supporten for Windows XP i april, og nu er der altså konstateret et hul i krypteringen, der gør den usikker.

Men meldingen vækker undren, fordi den kommer så pludseligt, og den er ikke efterfølgende fulgt op af flere forklaringer.

Seneste version af Truecrypt-softwaren, version 7.2, er ifølge en analyse af koden ændret i overensstemmelse med den mystiske melding, nemlig med en advarsel om den manglende sikkerhed ved produktet. Desuden kan man ikke længere bruge softwaren til nye krypteringer, kun til at dekryptere data. Truecrypt 7.2 er signeret med Truecrypts private nøgle, hvilket kun burde kunne ske med hjælp fra de hemmelighedsfulde udviklere bag krypteringen. Har hackere fået adgang til den private nøgle, ville en falsk besked om dårlig sikkerhed være en usædvanlig måde at bruge denne potentielt værdifulde adgang, spekulerer Ars Technica.

Truecrypt har i lyset af NSA-afsløringerne det seneste år fået ekstra opmærksomhed, efter mistanke om at NSA måske havde fået sneget bagdøre ind i krypteringen. Der er derfor blevet samlet ind til et uafhængigt kode-review, og det har i første omgang ikke afsløret noget problematisk.

En af de drivende kræfter bag dette initiativ, kryptologiprofessor Matthew Green, blev også overrasket over meldingen om ikke at bruge Truecrypt, men vurderer, at beskeden er ægte nok og kommer fra Truecrypt-gruppen.

Sikkerhedsguru Bruce Schneier skriver i et blogindlæg, at han ingen anelse har om, hvad der foregår, men opsummerer spekulationerne til tre muligheder: En intern magtkamp blandt Truecrypt-udviklerne, et alvorligt hackerangreb mod disse udviklere eller en indgriben fra myndighederne, hvor udviklerne så hellere vil lukke ned for Truecrypt end at installere bagdøre, ganske som da e-mail-tjenesten Lavabit valgte at lukke.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anders Egeskov

Var der ikke noget med, at 'Anonymous' havde samlet en større mænge følsomme informationer i en TrueCrypt container (som blev distribueret rundt i verden gennem BitTorrent), og truede med at offentliggøre koden til at dekryptere containeren med? Hvis jeg husker rigtigt og denne nyhed sand, så hører vi nok snart om dette.

  • 0
  • 0
#3 Nicolai Hansen

Jo, jeg tror også han tænker på WikiLeaks' "insurance"-fil, men den er krypteret med OpenSSL.

Hvad angår "simpel" file container kryptering, så er både implementeringen og de krypteringsalgoritmer man kan vælge imellem i TrueCrypt, blevet tjekket igennem så mange gange at det er noget af det bedste vi har (ergo skulle der være en alvorlig fejl i dette, så kan vi ikke vide os mere sikker ved at vælge et andet stykke software).

Jeg tror man skal passe på med at gætte. TrueCrypt har altid været omsvøbt med mystik, og gårsdagens melding er underlig på mange forskellige måder. Forhåbentligt vil tiden vise hvad denne melding i virkeligheden betyder, men jeg ville ikke være for hurtig til at skifte til BitLocker eller FileVault.

  • 0
  • 0
Log ind eller Opret konto for at kommentere