Начальный этап аудита прошел успешно – аутентичность бинарников была подтверждена.
Позже (это произошло совсем недавно) первый этап был полностью завершен. Его вердикт – в TrueCrypt нет никаких бэкдоров. Также не было выявлено никаких серьезных проблем, которые могли бы поставить под сомнение безопасность использования TrueCrypt. Были обнаружены лишь незначительные уязвимости
Все это очень порадовало сообщество! Но радость длилась недолго...
"Использовать TrueCrypt небезопасно, проект закрывается!"
Данная новость многих повергла в шок и ступор. Как так? Что случилось? Первые несколько дней с момента закрытия сайта все были в полном неведении. Все произошло так неожиданно, странно и "мутно".
Сначала был закрыт официальный сайт truecrypt.org. При его посещении происходит редирект на страницу http://truecrypt.sourceforge.net/
На этом сайте говорится, что использовать ТруКрипт небезопасно, поддержка прекращается с мая 2014. А создана эта страница только с одной целью – помощь в миграции с TrueCrypt (ВНИМАНИЕ!!) на BitLocker! Собственно на этом сайте и размещена инструкция по переходу на БитЛокер, а также новая "урезанная" версия TrueCrypt 7.2. Данная версия программы позволяет только дешифровывать имеющиеся криптоконтейнеры для последующего переноса данных в незашифрованную область или в другие шифроконтейнеры и диски.
Все ссылки на предыдущие версии TrueCrypt удалены, сайт удален.
Особое масло в огонь подливает еще и то, что архив сайта удален из "кэша интернета":
Этот факт многим не дает покоя, как бы намекая, что без спецслужб здесь не обошлось.
Мне неизвестно, кто имеет право и возможность исключать из веб-архива какие-то сайты. Может быть такую возможность имеет любой, кто подтвердит право на собственность того или иного сайта, а может быть это делается только по специальным решениям (суд, спецслужбы и т.д.). Не знаю. Хотя вот здесь пишется, что собственник сайта вроде как может попросить удалить свой сайт из архива.
Совет переходить на BitLocker как бы тоже намекает:
Немного поясню. БитЛокер – это встроенная в современные версии Windows (выше XP) технология шифрования. Весьма, кстати, удобная, простая в использовании и т.д. Но с одним но – это Microsoft. То есть, ни о каких открытых исходниках не может быть и речи.
Кроме того, в Битлокере имеется возможность восстановления ключей, а значит, это могут сделать и другие (сам MS, например, по запросу органов). Ну, и само собой, можно косвенно полагать, что в Windows и без того имеются различные бэкдоры для того же АНБ и ЦРУ.
В пользу версии о причастности АНБ есть еще один факт. В официальном сообщении о закрытии проекта нашли закодированное послание (да и сам поступок разработчиков очень похож на "свидетельство канарейки"). Дело в том, что в предложении "WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues" первые буквы слов можно трактовать, как "uti nsa im cu si", что в переводе с латыни может означать следующее: "If I wish to use the NSA" ("Если я хочу пользоваться АНБ"). Как вам такое послание, а?
В общем, за эти дни разных версий произошедшей ситуации было много:
Давление правительства и спецслужб, и, как следствие, такая реакция авторов TrueCrypt – некий завуалированный сигнал, знак для всех пользователей (основная версия).Сайт взломан, ключи скомпрометированы и находятся в руках злоумышленников, ПО скомпрометировано.Авторы просто решили "забить" на дальнейшую поддержку и разработку.Корпорация Microsoft предложила разработчикам очень высокоплачиваемую работу, с условием закрыть проект TrueCrypt =) Цель данного поступка – сорвать дальнейший аудит.
Были и многие другие версии. Если интересно, почитайте пост и камменты к нему на Хабре.
Позже история получила логическое продолжение.
Одному из аудиторов TrueCrypt (Steven Barnhart) все-таки удалось связаться с одним из анонимов-разработчиков TC, называющим себя David.
Тот прокомментировал ситуацию примерно так:
