IT 安全界普遍恐慌。 5 月 28 日,用于加密全部或部分存储介质的开源软件 TrueCrypt 的开发人员在一条相当简洁的消息中表示,这种相当流行的工具的安全性不再得到保证。“警告:TrueCrypt 使用不安全,因为它可能包含未解决的安全问题”,我们可以在上面用红色读吗项目 Sourceforge 页面。
开发者还明确表示他们已经停止了 TrueCrypt 的开发“现在微软已经停止了对Windows XP的支持”。本文后面的教程可帮助 Windows 用户将加密数据迁移到 BitLocker(Microsoft 开发的加密技术)。对于 Mac 和 Linux 平台,他们建议使用系统内置的工具。
TrueCrypt 最近接受了审核
这种唐突的表述方式让大多数安全专家哑口无言。开发商是否会像 Lavabit 那样受到美国政府机构的压力? NSA 是否在代码中插入了后门?还是开发商干脆放弃了,认为该项目已经寿终正寝?事实上,没有人知道,因为开发商是匿名的,他们也没有透露更多信息。
不过,也没什么可说的,屋子里确实存在着危险。去年二月,独立专家以“开放加密审计项目发布了 TrueCrypt 审计报告的第一版。结论:审计人员未发现“非常严重的问题”, 是“没有后门或故意缺陷的证据”。当然“发现了几个常见的与内核相关的弱点和漏洞......但它们似乎都没有提供直接的利用向量”。
国家安全和信息系统局 (ANSSI) 也得出了大致相同的结论。去年十月,它给了该软件一个一级安全证书,特别证明了密码算法和随机生成器的稳健性。所以没什么好担心的。甚至连“保护记者委员会”说它。“记者可以继续使用 TrueCrypt,至少目前是这样”,估计这个捍卫新闻自由的独立组织。考虑到间谍活动可能在某些国家造成的严重后果,这一观点肯定不是轻易提出的。
眼前有几个“叉子”
尽管如此,ANSSI 建议迁移到其他解决方案“在预防原则下”。在这方面,该机构引用了 Cryhod、Zed!、ZoneCentral、Security Box 和 Stormshield 等软件。产品开发人员肯定会摩拳擦掌,因为确实需要加密,哪怕只是因为 BitLocker 仅在 Windows 7 的企业版和旗舰版以及 Windows 8 的专业版和企业版上可用。对安全敏感的个人倾向于TrueCrypt。
一些开发者认为开源加密软件是必要的。这就是为什么两个开源项目已经出现,目的是开发 TrueCrypt 的替代方案:密码棚等truecrypt.ch。
TrueCrypt 可能已经消亡,但它的代码将以另一种形式继续存在。
另请阅读:
保护您的机密文件免受好奇者的侵害,2013 年 5 月 17 日
![SteelSeries Apex [RAW] 对比 Logitech MX 键](https://webbedxp.com/tech/misha/app/uploads/2016/07/steelseries-apex-raw-1.jpg)
