Сайт TrueCrypt подвергся взлому, скомпрометирована цифровая подпись разработчиков

Ты сливаешь по полной, приплёл IT зачем-то...

это ты слил. Про IT(а точнее криптографию) я говорил изначально. Это ты пытаешься всё свести к Ветхому Завету в своей интерпретации.

Если есть злые люди, должен.

вот. Значит доброму человеку нужна криптография. Что-бы защититься от злых, которые стремятся всё подделать и украсть.

Но кто тебе мешает стать лучше и добрее? И всем остальным тоже? Станете - смысл шифрования во многих случаях пропадёт.

от того, что я стану добрее, мир измениться? Ну будет на одного «доброго» больше, толку-то, «злых» всё равно в Over9000 раз больше.

А я только за себя отвечать могу, увы. Других делать добрее живительными пи**ми мне нельзя, я же добрый.

То что происходит сейчас, это слом постулатов.
Есть интересное видео на тему:
http://ftp.osuosl.org/pub/fosdem//2014/Janson/Sunday/NSA_operation_ORCHESTRA_...
Главное запутать, и похоже tc не так плох, как многие думали если ради него можно пойти на такие фокусы. Подрыв доверия.

Читая доводы в пользу канарейки, я обратил внимание, что все обсуждают тему АНБ и американские законы (не принимая во внимание, что они не могут применяться на граждан других стран вне границ США). Поскольку нам уже известно, что «David» является гражданином Чехии, я задумался на тему каким образом АНБ (если это действительно они стоят за закрытием проекта) могли «надавить» на разработчика. На мой взгляд, правильно говорят, что после истории с LavaBit, в АНБ скорее всего учли такое развитие событий и перестраховались, запретив не только выдавать факт взаимодействия со спецслужбами, но и факт общения. Как заметил кто-то «очень похоже, что разработчики „включили дурачка“ и просто закрыли проект», но ни в какой форме не могут сообщить о настоящей причине. Так вот, читая комментарии здесь, на хабре и на опеннете, я решил представить себя разработчиком подобной программы и что могли бы спецслужбы сделать для давления на меня. И вы не поверите, я понял. В контексте РФ: http://www.center-yf.ru/data/ip/Nezakonnaya-predprinimatelskaya-deyatelnost.php Но и в Чехии есть законы о предпринимательстве: http://euro-walker.com/topic/158-sro-v-chehii-ili-firma-v-chehii/

Так вот, что бы надавить на разработчика TrueCrypt, достаточно было предъявить ему обвинение в незаконном предпринимательстве. При этом, с собранных на развитие проекта средств он не заплатил налоги, а это вторая статья. Дальше - больше: шифрование как и в РФ это отдельно лицензируемая тема, а лицензии у него, скорее всего, не было. Разработка велась географически в Чехии, но по фиктивным Американским адресам. В результате США обращается к органам в Чехии, а те, в свою очередь, давят на разработчика. Проект закрывается. Занавес.

Возможно с ним провели беседу и под обещание закрытия проекта ему пообещали условный срок или даже УДО. Повторять путь Ганса (т.е. в тюрьму) David вряд ли хотел. Так что, на мой взгляд, это вполне ложится в теорию о неслучайной внезапной «потере интереса».

Возможно с ним провели беседу и под обещание закрытия проекта ему пообещали условный срок или даже УДО. Повторять путь Ганса (т.е. в тюрьму) David вряд ли хотел. Так что, на мой взгляд, это вполне ложится в теорию о неслучайной внезапной «потере интереса».

Не знаю почему, но россияне в большинстве своем помешаны на ненависти и зависти к американцам и теории заговоров всех против россии и всех против всех.

Нагородить подобный ничем не обоснованный бред — это современный российский стиль.

Больше похоже, что автору надоело и он занялся другими делами.

Не знаю почему, но россияне в большинстве своем помешаны на ненависти и зависти к американцам и теории заговоров всех против россии и всех против всех.

Ну почему же? Если уж на то пошло, то можно взять почти любую страну и там ЭТОГО будет намного больше.

Америка в принципе боится заговоров, причем они ей мерещатся абсолютно везде. Израиль боится заговора со стороны арабских стран. Прибалтика боится заговора со стороны России и возможного захвата своих территорий. Украина тоже видит заговоры, организованные Россией, с приплетением сюда «зелёных человечков». Про Грузию даже не говорю... там до сих пор тему «галстука» без смеха не проходят. Даже анекдот есть про то что «Россия изготовила партию отравленных галстуков для устранения неугодных». В Беларуси так вообще КГБ бдит (в хорошем «советском» смысле - «враг не пройдет»).

Кого ещё будем вспоминать? Англию? Испанию? Да что уж там... Даже в Ватикане заговоры являются обычным явлением.

А что касается зависти, то Вы, голубчик, ошибаетесь, ибо завидовать абсолютно нечему. Везде бардак в той или иной степени.

Но по поводу разработчика, я лишь указал, что если у кого-то было желание «надавить», то метод с НПД вполне реален. Кстати, а где все те, кто занимался разработкой? Почему-то по затишью со стороны «TrueCrypt Developers Team» сложилось впечатление, что David тянул всю разработку единолично. Если так, то версия «просто устал» вполне объяснима, хотя удаление старых версий и другие его действия вызывают вопросы своими противоречиями, о которых уже не раз высказались все участники обсуждения.

Ты, это, сходи к психиатру и поменьше публично высказывайся. Ибо нигде не был, но все знаешь, всем дал оценку, во всем разбираешься, всех презираешь с высоты своего телогреечного величия. Ты типичный ватник. Выглядишь конкретно умственно недоразвитым.

Брысь, недоразвитый!

Ты, это, сходи к психиатру

Извините, извините... не хотел школоту обижать

Кстати, попрошу для просветления масс привести определения для

с высоты своего телогреечного величия

и

типичный ватник

А то

умственно недоразвитым

такие понятия не известны...

Расследование Софтодрома, кто на самом жделе разрабатывает TrueCrypt

Случайно нашел запись 2013 года... http://pastebin.com/7LNQUsrA
Там и вся информация (русский перевод см. на сайте софтодрома) и некоторые данные, которых в обзоре софтодрома нет.

ValdikSS - пожалуйста, для истории добавь в линк на хабре

Не знаю почему, но россияне в большинстве своем помешаны на ненависти и зависти к американцам и теории заговоров всех против россии и всех против всех.

Нагородить подобный ничем не обоснованный бред — это современный российский стиль.

Не хохлосрача ради, но есть что-то такое специфическое в претензиях к 'россиянам', анонимус с Украины, угадал? ;-)

Так это не российский даже вовсе стиль, подобные вопросы в сущности у всех возникает, в том числе и у самих американцев: http://meta.ath0.com/2014/05/30/truecrypt-warrant-canary-confirmed/

Больше похоже, что автору надоело и он занялся другими делами.

Есть некоторые подозрения, что автор TrueCrypt может оказаться как раз украинцем. Если признаешься, что это ты (подтверди, например, напиши в коментах внутри html-кода на truecrypt.org слово anonymous) и скажешь, что действительно у тебя были такие мотивы, то поверю.

А иначе уж позволь считать, что авторы прог, которые надоедают, ведут себя по другому.

задумался на тему каким образом АНБ (если это действительно они стоят за закрытием проекта) могли «надавить» на разработчика

*Каким* именно образом, это не интересно. Намного интереснее, *что* именно мог сделать разработчик.

Разработчик либо берет IEEE-NIST бумажку на XTS и её реализует. Это выясняется при аудите. Либо, не берет и не реализует. Это тоже выясняется при аудите. TC, ваще-то, был, типо, инфраструктурным проектом и модельным лабораторным существом. Его аудит регулярно проводился, даже если при этом (и по итогам) не выпускалось крупных заявлений.

Если мифическим спецслужбам было необходимо получить от разработчиков какие-то сведения о внутренней структуре TC, то опять же, давить было необязательно. Все необходимое можно было бы выяснить 100500 различными способами.

Если мифическим спецслужбам было необходимо удостовериться в возможности проведения определенных классов атак, то опять картина не вырисовывается. Тысячи людей просто по долгу службы читают код и диффы TC: исследователи, разработчики аналогов, эксперты ИБ. Чуть что, и эпических масштабов дерьмо попадет в эпических масштабов вентилятор... И забрызгает всех, особенно после т.н. «случая Сноудена».

Если мифическим спецслужбам потребовалось вставить палки в колеса проекту, то худшего способа выбрать было сложно. Кодобаза подвергнется беспрецедентному аудиту. Огромное количество народу хотя бы познакомится с очень сложной областью шифрования блочных устройств. Ну, и на «свято место» полезет куча проектов.

Хотя — зря. Шифрование блочных устройств есть издевательство над здравым смыслом. Намного перспективнее разрабатывать key-value хранилища с шифрованием, или плагины для файловых систем. Причем, как с методологической, так и с «маректинговой» точек зрения.

Так что, версия «Разочаровались» является наиболее вероятной. Вторая по вероятности версия — «Скупили».

Хочется надеяться, что купили... это хотя бы объяснит почему так активно рекомендуют BitLocker.

Кстати, прелюбопытнейшая презентация о последнем... рекомендую: http://spi.unob.cz/presentations/23-May/07-Rosendorf The BitLocker Schema.pdf

Вот бы такую же но про шифрование на маке найти.

Тысячи людей просто по долгу службы читают код и диффы TC: исследователи, разработчики аналогов, эксперты ИБ. Чуть что, и эпических масштабов дерьмо попадет в эпических масштабов вентилятор...

OpenSSL действительно тысячи людей читали, однако таки случилось. Heartbleed shit happened. Вряд ли бага была умышленной, кроме того, она не затронула собственно стойкость криптографии, но тем не менее...

В Debian был пример эпичного бага с ГСЧ из-за чего ключи были ненадежными.

С RSA был пример умышленного понижения стойкости в реализации.

Код TC не самый легкий для понимания, есть много нюансов взаимодействия с системой. Так что, какую-нибудь трудно уловимую бяку, критично снижающую практическую криптостойкость, при желании наверно можно засунуть. Я сейчас фантазировать буду, но допустим заюзать некоторые WinAPI (большинство юзеров таки под виндой) таким образом, что как побочный эффект пароль где-нибудь в зарослях кэша IE осядет. %-)

Сейчас добавлю.

К слову, я еще и на реддите делал комментарий, и на гисте.

https://gist.github.com/ValdikSS/c13a82ca4a2d8b7e87ff

http://www.reddit.com/r/sysadmin/comments/26pxol/truecrypt_is_dead/chtexzg

что бы надавить на разработчика TrueCrypt, достаточно было
предъявить ему обвинение в незаконном предпринимательстве
... не заплатил налоги

anonymous:

Нагородить подобный ничем не обоснованный бред — это
современный российский стиль

Эк онанизьмуса расколбасило!;)

Значит в точку!

Я просто напомню на чём только Аль-Капоне смогли прихватить - неуплата налогов. А поводу «недавления» пиндосами - напоминаю всем про истории с Бутом и Ярошенко. Последний случай - вообще вопиющий в своём беззаконии и беспределе!

Кароч, поддерживаю Вашу точку зрения.

Намного перспективнее разрабатывать key-value хранилища с
шифрованием, или плагины для файловых систем

пдждите пжлста - я записываю!

последняя, если не ошибаюсь - 7.1а

Да, но суть от этого не сильно меняется. 7.2 не даёт шифровать и предлагает использовать иные программы. Теперь новый «дом» проекта на сайте http://truecrypt.ch - там будут все новости о его дальнейшем развитии.

Ну закрылся проект, вот и отлично.

Баллмер, ты?

а сам проект TrueCrypt я всегда считал мутным и не пользовался, тем более что он явно заточен под винду.

Надо же, сколько лишних слов вместо «я не осилил TrueCrypt for Linux».

А если кроме шуточек - сабж был единственной реально мощной кроссплатформенной программой шифрования. Вплоть до того, что можно было в контейнер писать в одной ОС, а читать в другой.

Новость очень печальная, на самом деле.

сабж был единственной реально мощной кроссплатформенной программой шифрования

у меня GPG отлично шифрует и расшифровывает на всех платформах. Не жалуюсь.

«Последний случай - вообще вопиющий в своём беззаконии и беспределе!»

Беззаконно бороться с преступностью, так и запишем.

В продолжение темы: моя отклоненная новость, первоисточник [1] [2] и картинка по теме.
Плюс ещё один анонимный источник аналогичной информации: http://pastebin.com/9catw4X7 (2014-06-02)

моя отклоненная новость

404

Кстати что мешает спецслужбам распространять заведомо ложную инфу через свидетельство канарейки?

404

пардон, накладочка вышла :(

Недавнее закрытие проекта TrueCrypt вызвало немало жарких споров о причине этого события.

Сторонники «теории заговора» сразу заподозрили причастность американских спецслужб. Явных причин для внезапного закрытия успешного проекта не было. На сайте разработчиков были планы развития проекта, включая поддержку UEFI и полноценную работу в последних версиях Windows. Также проект успешно прошел первую часть аудита, в ходе которой не было выявлено серьезных уязвимостей. Внезапное удаление сайта, подозрительная активность с ключами разработчика и призыв к использованию BitLocker говорили в пользу этой версии.

Их оппоненты соглашались с версией, опубликованной на странице проекта, указывая, что дальнейшее развитие проекта не имеет смысла, в связи с прекращением поддержки Windows XP и наличием встроенных средств шифрования дисков в последних версиях Windows и Mac OS X.

Один из участников Wikimedia Foundation, известный как Badon, опубликовал версию, которая косвенно подтверждает версию причастности АНБ. Так, на странице проекта на SourceForge размещено предупреждение «Using TrueCrypt is not secure as it may contain unfixed security issues». Как отмечает Badon, первые буквы всех слов этого предупреждения содержат фразу на латыни «uti nsa im cu si», что переводится как «Если я хочу использовать АНБ».

Специалисты, проводившие аудит TrueCrypt, рекомендуют воздержаться от использования последней версии программы. После удаления сайта truecrypt.org и всех версий программы со страницы проекта на SourceForge, в сети стали появляться многочисленные источники, предлагающие скачать исходный код. При этом не было явного подтверждения «чистоты» этого кода. Во избежании внедрения закладок, аудиторы опубликовали проверенный исходный код Truecrypt 7.1a.

Кстати, сразу скажу, что Мэтью Грин (один из аудиторов) заверил, что после окончания аудита форк TrueCrypt будет выпущен под свободной лицензией и, скорее всего, под эгидой Linux Foundation, в котором создали группу (в которую входит также и Брюс Шнайр) для перманентного контроля и координации ключевых проектов, использующих шифрование. В числе проектов, кроме SSH, SSL, GnuPG и dm-crypt будет и TrueCrypt.

что мешает спецслужбам распространять заведомо ложную инфу через свидетельство канарейки?

В принципе, закидывать дезу всегда было хорошим приёмом для спецслужб, но в данном случае это маловероятно. Больше похоже на прессинг автора, требуя в ультимативной форме внедрения лазеек или закрытия проекта.

но в данном случае это маловероятно

Это ещё почему?

Больше похоже на прессинг автора, требуя в ультимативной форме внедрения лазеек или закрытия проекта.
Больше похоже

Ну так в этом и суть манипуляций. В таких вещах просчитывают ходы на несколько шагов вперёд.

Почему в росии такая большая часть населения болеет теорией заговоров и панически боится американских спецслужб, которые находятся очень далеко? При этом абсолютно нормально относится к своим спецслужбам, с удовольствием в них стучит, сотрудничает с ровд, пользуется майл.ру? И при этом дико осуждает и истово подозревает неизвестных далеких от росии разработчиков неизвестно в чем? Этот вирус передается через телевизор? Или это передается по наследству?

Почему в росии

далеких от росии

Нет ли здесь русофобии?

Хех, сразу видно что ты не из России.

Так вот, что бы надавить на разработчика TrueCrypt, достаточно было предъявить ему обвинение в незаконном предпринимательстве.

ок. А что такое «предпринимательство»? Открываем толковый словарь и читаем:

инициативная самостоятельная деятельность граж дан и их объединений, направленная на получение прибыли.

ВНЕЗАПНО: программа-то бесплатная! Откуда прибыль?

он не заплатил налоги, а это вторая статья.

заплатил. Сколько в чешских деньгах будет налог от 0(нуля) прибыли? Вот, столько и заплатил. Скажу по секрету, это Чехия должна платить налог разработчику за его программу(т.к. баланс отрицательный).

Дальше - больше: шифрование как и в РФ это отдельно лицензируемая тема, а лицензии у него, скорее всего, не было.

это если разработчик решил продавать своё ПО государственным организациям, или частным для хранения личных данных третьих лиц(и то, если только шифрование — единственная защита ЛД. Если ЛД на флешке, а флешка в сейфе(лицензированном), то всё хорошо. Даже если они в tc контейнере, а не в открытом виде).

В результате США обращается к органам в Чехии, а те, в свою очередь, давят на разработчика.

лучше-бы он был в России.

Больше похоже, что автору надоело и он занялся другими делами.

но тогда на кой ляд убирать рабочие версии, и агитировать за маздайный битлокер?

Ты, это, сходи к психиатру и поменьше публично высказывайся. Ибо нигде не был, но все знаешь, всем дал оценку, во всем разбираешься, всех презираешь с высоты своего телогреечного величия. Ты типичный ватник. Выглядишь конкретно умственно недоразвитым. Брысь, недоразвитый!

недоразвитый это ты. Сейчас не нужно ехать в Америку, что-бы пообщаться с американцами. Даже не нужно знать язык, т.к. там миллионы русско-говорящих. И у всех есть интернет. Только у тебя похоже интернета нет, а есть только первый канал центрального телевидения.

ВНЕЗАНО: интернет это не только порнушка, это ещё и средство живого общения. А вот сексом как раз лучше лично заниматься.

такие понятия не известны...

луркай отсюда: http://lurkmore.to/Ватник

Так что, версия «Разочаровались» является наиболее вероятной. Вторая по вероятности версия — «Скупили».

разочаровались они уже давно. Скупили, очевидно жеж. И на сайте английским по белому написано кто именно.

И на сайте английским по белому написано кто именно.

Ы-ы-ы-ы? А кто?

OpenSSL действительно тысячи людей читали, однако таки случилось. Heartbleed shit happened. Вряд ли бага была умышленной, кроме того, она не затронула собственно стойкость криптографии, но тем не менее...

что «случилось»-то? OpenSSL читают ежедневно тысячи высокооплачиваемых специалистов, с целью доказать, какое это говно. И найдя _любую_ нестыковку в коде сразу мощно вбрасывают на вентилятор, с тем понтом, что «всё что open — то говно!!!111, покупайте мелкософт!». И только дебилы не понимают, что продукция мелкософт «лишена» уязвимостей лишь из-за фигового листка закрытости ПО. Т.е. уязвимостей в мелкософте нет только для хомячков, и то, не для всех, а только для самых тупых, которые не могут нагуглить HOWTO, «как написать вирус для маздая», ну и школьных навыков кодинга на каком-нить VBScript.

Код TC не самый легкий для понимания, есть много нюансов взаимодействия с системой.

проблема в самой архитектуре _системы_, разработанной в 80е, когда про это никто не думал. И если в Linux можно менять всё что угодно, то в маздае — увы. Старый софт не запуститься. Ну вот и хранили совместимость с DOS, но в конце 90х ПО стали писать под Win32, которая совместима с DOS, а в нулевых, под WinXP, которая совместима. Короче, получился один огромный глобальный костыль.

Так что, какую-нибудь трудно уловимую бяку, критично снижающую практическую криптостойкость, при желании наверно можно засунуть. Я сейчас фантазировать буду, но допустим заюзать некоторые WinAPI (большинство юзеров таки под виндой) таким образом, что как побочный эффект пароль где-нибудь в зарослях кэша IE осядет. %-)

в MSDN описан специальный костыль, что-бы этого не было, некая память, которая (если верить мысы) никогда даже не свопится. Но так-ли это на самом деле — никто не знает...

А если кроме шуточек - сабж был единственной реально мощной кроссплатформенной программой шифрования. Вплоть до того, что можно было в контейнер писать в одной ОС, а читать в другой.

идея криптоконтейнера дебильна и уязвима сама по себе. Хотя хомячкам конечно нравится и рубку съесть, и на...

Почему в росии такая большая часть населения болеет теорией заговоров и панически боится американских спецслужб, которые находятся очень далеко? При этом абсолютно нормально относится к своим спецслужбам, с удовольствием в них стучит, сотрудничает с ровд, пользуется майл.ру? И при этом дико осуждает и истово подозревает неизвестных далеких от росии разработчиков неизвестно в чем? Этот вирус передается через телевизор? Или это передается по наследству?

Простите, а вы сами-то откуда? Что за страна такая, «росия»?

Особенно любопытен пассаж про «майлру», оно что, где-то, когда-то, что-то обещало, да? Ну по части анонимности и защищённости? Или это только для «росиян», да? Не знаю как в «росии», но на Руси, мылору клало с прибором на приватность. Изначально.

Что-то в воде.

иди и посмотри: http://truecrypt.sourceforge.net/

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

This page exists only to help migrate existing data encrypted by TrueCrypt.

The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images.

Это последняя система, в которой нет встроенного шифрования

Сейчас не нужно ехать в Америку, что-бы пообщаться с американцами. Даже не нужно знать язык, т.к. там миллионы русско-говорящих.

Мда, феерический, просто эталонный ватник.

ВНЕЗАПНО: программа-то бесплатная! Откуда прибыль?

Сбор средств на развитие проекта. Пожертвования не облагаются налогом, точнее по ним делается налоговый вычет тому кто в декларации указывает «благотворительность/пожертвования», но получивший это пожертвование должен уплатить с него соответствующий налог. Это весьма маленькие но болезненные грабли для стартаперов, поскольку мало кто воспринимает благотоворительные взносы как доход. Зато налоговая не дремлет.

Это последняя система, в которой нет встроенного шифрования

такой наивный хомячок... http://support.microsoft.com/kb/307877

правда там не написано, что это «шифрование» ломается за несколько секунд. Ну это потому что Windows7/8 вышли. Раньше «не ломалось».

Такие дела...

Сейчас не нужно ехать в Америку, что-бы пообщаться с американцами. Даже не нужно знать язык, т.к. там миллионы русско-говорящих.

Мда, феерический, просто эталонный ватник.

это почему? Те американцы, с которыми я лично (по ICQ и проч.) общался, не существуют, да? Это наверное другие какие-то «ватники», которые подделали IP, а сами в подвалах Саратова? Может Америки вообще не существует? Или туда русскоговорящих тупо не пускают?

что «случилось»-то? OpenSSL читают ежедневно тысячи высокооплачиваемых специалистов, с целью доказать, какое это говно. И найдя _любую_ нестыковку в коде сразу мощно вбрасывают на вентилятор, с тем понтом, что «всё что open — то говно!!!111, покупайте мелкософт!». И только дебилы не понимают, что продукция мелкософт «лишена» уязвимостей лишь из-за фигового листка закрытости ПО. Т.е. уязвимостей в мелкософте нет только для хомячков, и то, не для всех, а только для самых тупых, которые не могут нагуглить HOWTO, «как написать вирус для маздая», ну и школьных навыков кодинга на каком-нить VBScript.

Что случилось? А случилась вполне реальная уязвимость в OpenSSL через которую много кого поимели. Эта уязвимость еще и наглядно показала, что в вопросах безопасности нет важного и не важного. Потому что уязвимой оказалась не криптография, а сетевая часть либы.

В то время как одни орут, что «всё что open — то говно!!!111, покупайте мелкософт!». Другие впадают в противоположную крайность и полагают, что open source - это гарантия от уязвимостей.

Сбор средств на развитие проекта.

ну т.е. с чешским налоговиками никак не урегулировать, и не заплатить им процент, да? Если ты не знал, это не такие большие деньги, по сравнению с комиссией платёжных систем, т.ч. разработчик почти ничего не теряет.

А случилась вполне реальная уязвимость в OpenSSL через которую много кого поимели.

ССЗБ.

в вопросах безопасности нет важного и не важного.

а ты — К.О.

Потому что уязвимой оказалась не криптография, а сетевая часть либы.

ну и при чём тут криптография, сабж, АНБ и КГБ? Что ты хочешь этим все доказать-то? А вот мне кажется, что то, чем ты занимаешься, называется — истерия.

Да и вообще, из-за какого-то косяка в реализации какой-то сетевой части, совсем не следует, что нужно переходить с truecrypt'а на bitlocker. Не? Может я что-то упускаю?

Наверное разработчики TrueCrypt про это «не знали». Так же как они «не знали» что в Windows >XP BitLocker есть не во всех редакциях

Кстати, сразу скажу, что Мэтью Грин (один из аудиторов) заверил, что после окончания аудита форк TrueCrypt будет выпущен под свободной лицензией и, скорее всего, под эгидой Linux Foundation, в котором создали группу (в которую входит также и Брюс Шнайр) для перманентного контроля и координации ключевых проектов, использующих шифрование. В числе проектов, кроме SSH, SSL, GnuPG и dm-crypt будет и TrueCrypt.

Таки ведь есть уже форк - tcplay, зачем плодить сущности?

Так там суть в криптоконтейнерах. В XP их не было, а дальше запилили виртуальные диски, которые можно и шифровать, что в общем-то и есть этот криптоконтейнер.