Truecrypts säkerhet ifrågasätts efter mystiskt meddelande på officiell webbplats

Ja det var det, tack.

Truecrypt är ju Open Source... Borde det inte dyka upp en Fork snart med "gamla" 7.1 eller vad versionen heter?

TC har ju tydligen lite speciella licensvillkor, men om utvecklarna nu är så anonyma och hemliga, och därtill "spårlöst försvunna", så kanske det ändå inte är så riskabelt att medvetet bryta mot licensvillkoren och vidareutveckla koden under annat flagg. Jag menar, hur kan en anonym källa med komprometterade nycklar säkerhetsställa att licensen efterlevs?

Och du vet alltså att (krypto)nyckeln/certifikatet är "komprometterad" och att det inte var skaparen/skaparna själva som gjort detta?

Skilj på spekulation och fakta...gissningar finns det nog av i denna soppan...

http://istruecryptauditedyet.com/ ->
https://twitter.com/search?q=%23IsTrueCryptAuditedYet ->
https://twitter.com/kennwhite/status/471982330782179328 ->
https://twitter.com/OpenCryptoAudit ->
https://twitter.com/OpenCryptoAudit/status/472132381160509440 <- ding ding ding!!

Så nära ett svar på din fråga som jag kan hitta.

-> https://opencryptoaudit.org/ (ifall man vill läsa mer)

Edit: Verkar vara flera som planerar att forka truecrypt, exempelvis: http://truecrypt.ch/

För den som vill ha hash för truecrypt 7.1a och litar på mig:
TrueCrypt Setup 7.1a - nedladdad 2012
MD5: 7A23AC83A0856C352025A6F7C9CC1526
SHA-1: 7689D038C76BD1DF695D295C026961E50E4A62EA

Jag hade personligen försökt få tag på hasharna från andra mer pålitliga källor än en random snubbe på ett forum

Edit2: Är personligen mer intresserade av om OpenCryptoAudit kommer göra sin egen fork. Detta då det verkar vara betydligt mer kända namn bakom dom än de två snubbarna som står bakom den schweiziska sidan.

Detta ser klart lovande ut, skönt.

Nackdelen med OpenCryptoAudit: "We operate as a U.S. non-profit organization, incorporated in the state of North Carolina"

Jag föredrar Schweiz.

Sant, risken att de utsätts för påtryckningar lär vara större om de är baserade i USA.

Förhoppningsvis så kommer de att vara verksamma på ett sådant sätt att det inte spelar någon större roll var de formellt är baserade. Är de tillräckligt stora och integritetswurmande personer som står bakom organisationen så minskar risken att någon, mer eller mindre, hemliga amerikanska myndighet försöker sätta käppar i hjulet.

Ju mer officiell man gör organisationen ju mindre är risken att deras konton skulle frysas av diverse svepskäl men å andra sidan så har jag för mig att man inte får 'exportera' för avancerade krypteringssystem från USA, vilket skulle begränsa hur programmet kan utvecklas...

Om möjligt så hade det optimala varit så många stora, teknikkunniga, integritetsälskande gurus som möjligt i en organisation som är baserad i Schweiz. Som kanske tom får ekonomiskt stöd av the linux foundation, vilket skulle kunna användas till regelbundna audits (kan ju drömma).

aja vi får ser hur det hela utvecklades.

Nej... poängen är, spelar det någon roll? Kan vi någonsin vara "säkra"? Min fråga kvarstår.

Poängen var att ditt uttalande "Jag menar, hur kan en anonym källa med komprometterade nycklar..." kan bara tolkas som att du visste att nycklarna (certet) var röjt...och jag menar (om det nu inte är du som börjat hela denna röra) att du kan inte veta en sådan sak...

(du verkar helt utesluta möjligheten att detta är en kontrollerad nedstängning av skaparen till TC - om något oortodox/kontroversiell i så fall)

Var saklig - skilj på tro, tyckande och fakta...

Nej... ok, låt mig vara tydlig: Nej, jag vet inte om nycklarna är komprometterade. Men, spelar det någon roll? Det finns inget "facit", som anonym källa är det själva nycklarna som ska säkerhetställa äktheten. Men hur vet vi att de inte är komprometterade? Och om vi inte vet så förloras själva poängen med dem.

Och frågan kvarstår: kan licensen för en anonymt publicerad kod vara effektiv? Vem ska se till att den efterlevs? Kan man bli anonymt stämd för licensbrott?

Ifall det redan inte postats, en nyhetslänk angående openssl: http://www.theregister.co.uk/2014/05/29/linux_foundation_core...

Det kan ge lite perspektiv på vem som tar initiativ för att hjälpa till att lösa ett problem som många är beroende av.

Som du skriver, betvivlar att någon som inte använt truecrypt innan kommer ladda ner det just nu.

Är dock nog inte jätteovanligt att användare:
- glömmer att spara installationsapplikationen
- råkar ut för en hårddiskkrash
- installerar om operativsystemet och kommer på att sin backup av truecryptinstallationsapplikationen ligger på en truecrypt-krypterad hårddisk...
med mera.

Så det finns nog rätt många användare som behöver ladda ner programmet igen, därför bra att de kan lita på filen de laddat ner.

https://www.grc.com/misc/truecrypt/truecrypt.htm

Verkar rätt rimligt. Utvecklarna har tröttnat efter 10 år och väljer att lägga ner. De vill inte bara överlämna sitt arbete till någon annan rakt av utan risken för kaos är stor om andra börjar pilla i redan färdig kod. Alla som skrivit mer en tre rader kod vet hur jobbigt det är att sätta sig in i någon annans kod. Verkar vara konstnärlig integritet som ligger bakom och inte en statlig konspiration.