Самое интересное, что по многочисленным косвенным признакам (отладочная информация в скомпиленных бинарниках, например) этот релиз был сделан той же командой разработчиков, что и обычно.

Всё, что было на офсайте, кроме последней «зашкваренной» версии, удалено. Интересно, есть ли зеркала, которым можно доверять?

https://github.com/DrWhax/truecrypt-archive

На данный момент, совершенно неясно, от кого ждать новостей. Разработчики TrueCrypt - анонимы. Специально, чтобы избежать давления со стороны власть имущих.

Единственное сколь-нибудь авторитетное мнение пока поступило лишь от одного из аудиторов, которые проверяли проект на средства, собранные добровольцами. Его мнение - релиз действительно от той же команды, что разрабатывала TrueCrypt все эти годы.

Представители SourceForge так же подтверждают, что никаких следов взлома нет, никаких жалоб на угон аккаунта нет, аккаунт используется как обычно.

Даже релиз собран под все платформы и подписан. Всё как обычно. За исключением того, что эта «зашкваренная» версия позволяет лишь расшифровывать данные, но не зашифровывать. И почему-то настойчиво рекомендует BitLocker.

На данный момент, совершенно неясно, от кого ждать новостей. Разработчики TrueCrypt - анонимы. Специально, чтобы избежать давления со стороны власть имущих.

Ну вот и как теперь определять (обычному, рядовому человеку), какие сорцы в интернетах «настоящие», а какие уже зафаршмачены вежливыми людьми из NSA или там ещё откуда? Так-то был вопрос только о том, взломан офсайт или нет; если нет, то на нём кошерная версия. А теперь получается, что в сети можно будет найти N версий исходников, и относительно каждой будут сомнения? Особенно, если утекли ключи разработчиков — в качестве «зеркал» могут появиться зафаршмаченные поделки, маскирующиеся под «тот самый чай»?

Настоящие разработчики проекта пока хранят молчание.

Тогда как можно считать, что сайт взломан, если разработчики молчат, а новая версия подписана их цифровой подписью?

Люди не меняются и мошенники не переведутся. Там где весьма вероятен мотив подмены - нужно не расслабляться.

Ну так выходит, что если офсайт не оклемается, то ТруКрипту всё, конец? Если зеркала под подозрением.

Написано, видимо, по мотивам моего поста на хабре, который я уже несколько раз обновил. Что-то мне думается теперь, что это не злоумышленники.

http://habrahabr.ru/post/224491/

Просто в АНБ решили прекратить спонсирование ещё одного своего лжесекьюрного проекта. Так что, хоть 7,2, хоть 7,1 --- разницы нет.

Ты имеешь ввиду, не скомпрометирована ли предыдущая «официальная» версия 7.1а? Теперь это вопрос, да:) Но с другой стороны, а что плохого делает новая 7.2, кроме запугивания и режима риоднли?
Мне лично пока ничё не понятно. Но я таки больше склонен к дефейсу. Исходники были, подготовить нынешнюю версию времени хватало, потом стырили пароли и ключи - и веселятся теперь.

https://gist.github.com/ValdikSS/c13a82ca4a2d8b7e87ff

Просто в АНБ решили прекратить спонсирование ещё одного своего лжесекьюрного проекта. Так что, хоть 7,2, хоть 7,1 --- разницы нет.

один комментарий по делу.

И почему-то настойчиво рекомендует BitLocker.

Вообще-то она рекомендует Bitlocker Windows-юзерам, маководам она советует FileVault (как я понял это встроенный в MacOS механизм шифрования), а для Linux вообще что-нибудь с crypt/encryption в имени пакета. Я так понимаю, они просто предлагали самую простую в миграции альтернативу, не парясь насчет ее безопасности/открытости и прочему.

Ты имеешь ввиду, не скомпрометирована ли предыдущая «официальная» версия 7.1а?

Ну да. А поскольку есть подозрения, что утекли и ключи, теперь проверить зеркало невозможно. Даже если там совпадает подпись, вдруг это пере-подписанная версия с закладками?

Я настолько засекьюреный что у меня апач на 81 порту и версия 1.3.41.
И все пох.

на странице содержаться инструкции по миграции с TrueCrypt на BitLocker

лол.

Да как-раз таки вероятность утечки все меньше и меньше - слишком многое утекло разом:

• акк на sf
• домен truecrypt.org
• ключи для подписи инсталера и файлов на sf
• mail-сервер на truecrypt.org

Кроме того в диффе исходников много валидных правок (даже в коментариях к коду!) и изменен текст лицензии, который упрощает создание форка (если я правильно понял, что кроме запрета на использование имени truecrypt, других ограничений нет).

В общем вариант со взломом маловероятен. Скорее разработчики просто свернули активность и, возможно, оставили cвидетельство канарейки.

Хммм, а какие есть швабодные альтернативы этой программе?

Полно, особенно под Linux.

Паяльник бракованный попался.

Это происки ZOG и Microsoft, не иначе...

Есть такое предположение, что TrueCrypt больше не будет?
Очень жаль...

РЕШЕТО

тоже интересно: http://web.archive.org/web/*/http://truecrypt.org/

ой, ну спалились виндузятники - в первый раз, что ли?

Триумфальное шествие HeartBleed? В какой степени можно сейчас доверять SourceForge?

А кому была нужна это полу-пропитиритарная поделка, если есть LUKS и dm-crypt?

в кэшах поисковиков тоже нету

В какой степени можно сейчас доверять SourceForge?

Никому нельзя доверять. Даже Столлман зондами пользуется.

Чудное время 2013/14 — Bundestrojaner, Snowden, Роскомнадзор, Heatbleed, TrueCrypt и тот же Lennard с его разрушительной деятельностью. Везде Большой Брат. Доверять нельзя никому. Чего собственно, похоже, и добиваются — разрушение всех основ OpenSource, вольнодумия и других коммунистов изнутри, а именно доверия.

Well played, NSA, well played. Embrace, extend, and extinguish.

Жаль, я не зареган нигде, где эта новость обсуждается. Ну хоть здесь мысль вброшу: никого не удивляет, что совсем недавно независимые аудиторы подняли бабла на проверку кода TC на наличие уязвимостей, разработчики TC аудит одобрили (никаких идей с битлокером у них на тот момент и в помине не было), базовая проверка прошла и уязвимостей не выявила, пошел второй раунд сбора денег на следующий аудит, и в этот момент разработчики все бросают и разбегаются? Очевидно же, что это не совпадение. Только вот логики я пока не вижу.

Вообще, единственный внятный вариант, исключающий теории заговоров - это внезапная смерть одного из ключевых разработчиков вкупе с нежеланием остальных продолжать заниматься проектом. Но это все догадки, мы понятия не имеем, сколько там разрабов и кто они. Да и совпадение какое-то странное - смерть во время аудитов...

Учитывая последние тенденции к компрометации отдельных шифров и даже целых пакетов (вспомним openSSL) новость вполне в тренде. Но расстраиваться незачем. Есть dm-crypt/LUKS.

Если паранойя совсем обострилась, и Вы более не верите в возможность надежного хранения информации, то Вам сюда: [паранойя]Уничтожить жесткий диск

systemd то тут причём? Ниасилил написать unit файл, сразу NSA виновато.

Просто не нужно по возможности использовать софт, в коде которого даже сами разработчики разобраться не в силах.

Хоть и не старонник всяких ZOG-заговоров, но в ключе событий последних лет уже ничему не удивлюсь. Как бы дико это не звучало.

Криптософт вообще больная тема. Вспомним прокол RSA/NSA с ихним elliptic curve random number genetator, наезды на OpenBSD с IPsec стеком, deep packet inspection, обязательную для многих ISP, тот же Snowden, OpenSSL, который broken-by-design (c), теперь вот TC... Как-то всё это очень и очень грустно.

Дробление комьюнити своми NIH синдромом и злобный vendor-lock, но это так, лирика.

ничего не мешает провести аудит имеющегося кода
думаю, независимо от исхода, теперь наверняка так и сделают, тут-то и посмотрим

эпичненько!

Вот дерьмо. Надо было просто скачать для хранения все, что было на сайте. Теперь задница. >_<

А есть ли в Linux какое-то свое родное шифрование? Опенсорсное и проверенное, которое во всех дистрах. Нет?

Зачем прекращать, если оно твоё? Гораздо выгоднее продолжать поддерживать на плаву такой дырявый софт.

Никогда раньше не слышал про сабж. КМК это что-то очень виндовозное. И почему это всех так возбуждает?

Никогда раньше не слышал про сабж.

Так толсто, что просто тонко. :)

LUKS

Я просто продолжу использовать LUKS. А вендузятники пусть страдают.

ВендоCrypt

КМК это что-то очень виндовозное.

Это такая кроссплатфоменная тулза для тех у кого нет LUKS :-] Читай: ШINDOШS.

И почему это всех так возбуждает?

Проверена аудиторами. Помимо создания шифрованых файлов и разделов умеет создавать скрытые зашифрованные ОС, да ещё и так что потом невозможно доказать их наличие.

А чтоб без консольки?

По ссылке не ходил.

А пингвиньи проги умеют такое скрытие?

Да и совпадение какое-то странное - смерть во время аудитов...

Все любят велосипеды, сноуборды и т.п. ...

TrueCrypt

А пингвиньи проги умеют такое скрытие?

TrueCrypt умеет :-] Он же в GNU/Linux тоже работает. LUKS не умеет. Насколько я понимаю LUKS всегда пишет свой заголовок в начало файла или раздела. Почему не добавят возможность за-XOR'ить его с хэшем от введённого пароля не знаю. Для злоумышленника такой заголовок будет похож на случайные данные.