Video: True Crypt - How to Encrypt Your Files Linus Tech Tips (Oktober 2024)
Hvis du bruker TrueCrypt for å kryptere dataene dine, må du bytte til en annen krypteringsprogramvare for å beskytte filene dine, og til og med hele harddisker.
Åpen kildekode og fritt tilgjengelig TrueCrypt-programvare har vært populær de siste ti årene fordi den ble oppfattet som uavhengig av større leverandører. Skaperne av programvaren er ikke blitt identifisert offentlig. Edward Snowden angivelig brukte TrueCrypt, og sikkerhetsekspert Bruce Schneier var en annen kjent tilhenger av programvaren. Verktøyet gjorde det enkelt å gjøre en flash-enhet eller en harddisk om til et kryptert volum, og sikret alle dataene som er lagret på den fra nysgjerrige øyne.
De mystiske skaperne stengte brått TrueCrypt onsdag, og hevdet det var utrygt å bruke. "ADVARSEL: Å bruke TrustCrypt er ikke sikkert, da det kan inneholde uforandrede sikkerhetsproblemer, " les teksten på TrueCrypt's SourceForge-side. "Du bør migrere alle data som er kryptert av TrueCrypt til krypterte disker eller virtuelle diskbilder som støttes på plattformen din, " heter det i meldingen.
"Det er på tide å begynne å lete etter en alternativ måte å kryptere filene og harddisken på, " skrev den uavhengige sikkerhetskonsulenten Graham Cluley.
Konsensus: Not a Hoax
Til å begynne med var det bekymring for at noen ondsinnede angripere hadde hjemsøkt nettstedet, men det blir stadig tydeligere at dette ikke er et skvett. SourceForge-nettstedet tilbyr nå en oppdatert versjon av TrueCrypt (digitalt signert av utviklerne, så dette ikke er et hack) som dukker opp et varsel under installasjonsprosessen for å informere brukere om at de skal bruke BitLocker eller et annet verktøy.
"Jeg tror det er lite sannsynlig at en ukjent hacker identifiserte TrueCrypt-utviklerne, stjal signeringsnøkkelen deres og hacket nettstedet deres, " sa Matthew Green, en professor som spesialiserer seg på kryptografi ved Johns Hopkins University.
Hva du skal gjøre videre
Nettstedet, så vel som popup-varselet på programvaren, har instruksjoner om overføring av TrueCrypt-krypterte filer til Microsofts BitLocker-tjeneste, som er innebygd i Microsoft Vista Ultimate og Enterprise, Windows 7 Ultimate og Enterprise, og Windows 8 Pro og Enterprise. TrueCrypt versjon 7.2 lar brukere dekryptere filene sine, men vil ikke la dem lage nye krypterte volumer.
Mens BitLocker er det åpenbare alternativet, er det andre alternativer å se på. Schneier fortalte The Register at han bytter tilbake til Symantecs PGPDisk for å kryptere dataene hans. Symantec Drive Encrpytion ($ 110 for en enkelt brukerlisens) bruker PGP, som er en kjent krypteringsmetode. Det er andre gratis verktøy for Windows, for eksempel DiskCryptor. Sikkerhetsekspert Grugq satte sammen en liste over TrueCrypt-alternativer i fjor, som fortsatt er nyttig.
SANS Institutt Johannes Ullrich anbefalte at brukere av Mac OS X holder seg til FileVault 2, som er innebygd i OS X 10.7 (Lion) og senere. FileVault bruker XTS-AES 128-bit chiffer, som er den samme som brukes av NSA. Linux-brukere bør holde seg til den innebygde Linux Unified Key Setup (LUKS), sa Ullrich. Hvis du bruker Ubuntu, har installasjonsprogrammet for operativsystemet muligheten til å slå på full diskkryptering helt fra starten.
Imidlertid vil brukere trenge et annet verktøy for bærbare stasjoner som beveger seg mellom forskjellige operativsystemer. "PGP / GnuPG kommer til hjernen, " sa Ullrich i InfoSec Handlers Diary.
Det tyske selskapet Steganos tilbyr en eldre versjon av krypteringsverktøyet deres (versjon 15 er deres siste, men tilbudet er for versjon 14) gratis for brukere, noe som egentlig ikke er så ideelt.
Ukjente sårbarheter
At TrueCrypt kan ha sikkerhetsproblemer, skurrer med tanke på at en uavhengig revisjon for programvaren for tiden er i gang, og at det ikke hadde vært noen slike rapporter. Støttespillere samlet inn $ 70 000 for tilsynet på grunn av bekymringer som National Security Agency har muligheten til å avkode betydelige mengder kryptert data. Den første fasen av etterforskningen som så på TrueCrypt bootloader ble utgitt bare forrige måned. Den "fant ingen bevis for bakdører eller forsettlige feil." Neste fase, som skulle undersøke kryptografien som ble brukt av programvaren, skulle etter planen være ferdig i sommer.
Green, som var en av personene som var involvert i tilsynet, sa at han ikke hadde forhåndsvarsel om hva TrueCrypt-utviklerne planla. "Sist jeg hørte fra Truecrypt: 'Vi ser frem til resultatene fra fase 2 av tilsynet ditt. At du veldig mye for all din innsats igjen!'" La han ut på Twitter. Tilsynet forventes å fortsette til tross for nedleggelsen.
Det er mulig at skaperne av programvaren bestemte seg for å stoppe utviklingen fordi verktøyet er så gammelt. Utvikling "ble avsluttet i 5/2014 etter at Microsoft avsluttet støtte for Windows XP, " heter det i meldingen på SourceForge. "Windows 8/7 / Vista og senere tilbød integrert støtte for krypterte disker og bilder av virtuell disk." Med kryptering innebygd i mange av operativsystemene som standard, kan utviklerne ha følt programvaren ikke lenger var nødvendig.
For å gjøre ting enda skumlere, ser det ut til at en billett ble lagt til 19. mai for å fjerne TrueCrypt fra det sikre operativsystemet Tails (også en annen Snowden-favoritt). Uansett hva som er tilfelle, er det tydelig at ingen burde bruke programvaren på dette tidspunktet, advarte Cluley.
"Enten hoax, hack eller ekte levetid for TrueCrypt, det er tydelig at ingen sikkerhetsbevisste brukere kommer til å føle seg komfortable med å stole på programvaren etter denne debakten, " skrev Cluley.
