如果使用TrueCrypt加密数据,则需要切换到其他加密软件以保护文件,甚至整个硬盘。
开源和免费提供的TrueCrypt软件在过去十年中很受欢迎,因为它被认为独立于主要供应商。 该软件的创建者尚未公开确认。 据称爱德华·斯诺登(Edward Snowden)使用了TrueCrypt,安全专家布鲁斯·施耐尔(Bruce Schneier)是该软件的另一个著名支持者。 该工具使将闪存驱动器或硬盘驱动器轻松转换为加密卷变得容易,从而保护了存储在其中的所有数据免遭窥探。
这位神秘的创作者周三突然关闭了TrueCrypt,声称使用它不安全。 “警告:使用TrustCrypt是不安全的,因为它可能包含未解决的安全问题,”阅读TrueCrypt的SourceForge页面上的文本。 该消息说:“您应将TrueCrypt加密的所有数据迁移到平台上支持的加密磁盘或虚拟磁盘映像。”
独立安全顾问Graham Cluley写道:“现在是时候开始寻找一种替代方法来加密文件和硬盘驱动器了。”
共识:不是骗局
最初,人们担心某些恶意攻击者破坏了该站点,但是越来越清楚的是,这并不是骗局。 SourceForge网站现在提供TrueCrypt的更新版本(由开发人员进行数字签名,因此这不是黑客),在安装过程中会弹出警报,通知用户他们应该使用BitLocker或其他工具。
约翰·霍普金斯大学(Johns Hopkins University)密码学专业教授马修·格林(Matthew Green)说:“我认为,一个未知的黑客不太可能会识别出TrueCrypt开发人员,偷走他们的签名密钥,并入侵他们的网站。”
接下来做什么
该站点以及该软件上的弹出警报均包含有关将TrueCrypt加密的文件传输到Microsoft的BitLocker服务的说明,该服务内置于Microsoft Vista Ultimate和Enterprise,Windows 7 Ultimate和Enterprise以及Windows 8 Pro和Enterprise中。 TrueCrypt 7.2版允许用户解密文件,但不允许他们创建新的加密卷。
尽管BitLocker是明显的替代方案,但还有其他选择。 Schneier告诉The Register,他将切换回Symantec的PGPDisk对其数据进行加密。 Symantec Drive Encrpytion(单用户许可证$ 110)使用PGP,这是一种众所周知的加密方法。 Windows还有其他免费工具,例如DiskCryptor。 安全专家Grugq去年汇总了TrueCrypt替代品的清单,但仍然有用。
SANS研究所的Johannes Ullrich建议Mac OS X用户坚持使用FileVault 2,它是OS X 10.7(Lion)和更高版本中内置的。 FileVault使用XTS-AES 128位密码,与NSA使用的密码相同。 Ullrich说,Linux用户应该坚持使用内置的Linux Unified Key Setup(LUKS)。 如果使用Ubuntu,则操作系统安装程序可以选择从一开始就打开全盘加密。
但是,用户将需要用于在不同操作系统之间移动的便携式驱动器的其他工具。 乌尔里希在InfoSec Handlers Diary上说:“想到了PGP / GnuPG。”
德国公司Steganos正在向用户免费提供较旧版本的加密工具(版本15是其最新版本,但仅针对版本14),这并不是那么理想。
未知漏洞
考虑到当前正在对该软件进行独立审核并且没有此类报告,TrueCrypt可能具有安全漏洞这一事实令人震惊。 支持者为审计筹集了7万美元,原因是担心国家安全局有能力解码大量加密数据。 考察TrueCrypt引导程序的调查的第一阶段是在上个月发布的。 它“没有发现任何后门或故意缺陷的证据。” 下一阶段将检查该软件使用的加密技术,计划于今年夏天完成。
格林是参与审核的人员之一,他表示,他没有对TrueCrypt开发人员计划的警告。 他在推特上写道:“上次我从Truecrypt听到:'我们期待您的审计第二阶段的结果。非常感谢您再次努力!'” 尽管关闭,审计仍有望继续。
由于该工具太旧了,因此软件的创建者可能决定停止开发。 SourceForge上的消息称,开发“在Microsoft终止对Windows XP的支持后于5/2014结束”。 “ Windows 8/7 / Vista及更高版本提供了对加密磁盘和虚拟磁盘映像的集成支持。” 默认情况下,许多操作系统都内置了加密功能,因此开发人员可能会觉得不再需要该软件。
为了使事情变得更加模糊,似乎在5月19日添加了一张票,用于从安全操作系统Tails(这也是Snowden的另一个最爱)中删除TrueCrypt。 无论如何,Cluley警告说,很明显,目前没有人使用该软件。
“无论是骗局,黑客入侵还是TrueCrypt的真正报废,很明显,在这场灾难之后,没有安全意识的用户会放心使用该软件,” Cluley写道。