※ [本文轉錄自 Gossiping 看板 #1JXrGqi7 ]
作者: snaketsai (林納斯依絲顧德) 看板: Gossiping
標題: [問卦] 有沒有TrueCrypt被搞掉的八卦?
時間: Thu May 29 23:37:21 2014
= = = = = = = = = = =
2014/05/31 Updated:
看到一串很耐人尋味的retweet - -
https://twitter.com/stevebarnhart/status/472193800874758144
大意是:
某人寄了信給TrueCrypt開發者,
回信一如官方SF上面所言:這當初是為Win XP而生,所已就隨Win XP而死。
後面鄉民請他把信件截圖post出來,但是那人說他已經fw給Ars Technica,
如果他們願意公開,那就會看到。
後面有人追問有沒有回信的PGP key,或者DKIM。
他只回復gmail認證DKIM是有過認證的、沒帶PGP。
坦白說覺得很怪異啊......這樣遮遮掩掩真的很莫名
然後現在各種source code mirror、fork都出籠了;
有一個 truecrypt.ch 的網站已經在瑞士開張。
嘛,這就是Open Source的好處。
雖然他現階段受到重創,但至少還有機會復活。
= = = = = = = = = = =
剛剛在Phoronix上面看到這則新聞,
嚇到泡麵都快灑出來:
http://goo.gl/wB5F3a
大致上是:
TrueCrypt的網站上放出最新的7.2版時,
突然說自己是不安全的軟體。
請大家改去使用Microsoft開發Bitlocker、
或者Mac OS提供的FileVault 2。
而且TrueCrypt的討論論壇目前已經進不進去。
有人分析7.2版跟7.1版的Code不同處,
發現:
(1)加密功能被移除,僅剩下解密功能。
(2)軟體中充斥著〝Using TrueCrypt is not secure.〞的警告。
(3)過往原本的授權聲明中,對美國的稱呼都是用簡稱〝U.S.〞
這次卻變成: United States這樣的全稱。
(REF:http://goo.gl/9ShCSa、詳細解說文:http://goo.gl/TRJdRJ)
這件事情現在在各大資訊人圈子內爆炸中,
StackExchange: http://goo.gl/nHhjL5
Reddit: http://goo.gl/vod0Rm
Slashdot: http://goo.gl/GSuG9y
密碼學中的超弩級大砲,Bruce Schneier 也發難了:
《TrueCrypt WTF》( http://goo.gl/AtvhCf )
大家可能沒感覺,所以先來簡介一下:
TrueCrypt是一個可已對磁碟完整加密的程式,
他可以使用包含AES、Seperent、Twofish (後面兩個是AES的候選人),
或者是混合以上多種加密法來加密。
就密碼學理論上,它可說是牢不可破的存在。
雖然之前煙硝雲上說它被FBI塞了後門,
但後來在集結各路英豪作Code Audit後,認為是沒問題的。
目前大家的推測是:
他被〝The you know who〞搞了,因為之前某個情報員脫口說:
他用Lavabit(一個提供完全加密服務的電子郵件商)、
以及TrueCrypt。
前者日前突然中止營運,現在,TrueCrypt也下台一鞠躬了......
= = = = = = = = = = =
這不是第一次發生這種事情,PGP的發明人- -
Philip R. Zimmermann曾經被以「輸出軍火」的理由法辦。
因為當時美國認定:密碼強度超過一定的加密方式,
可被視作是一種軍火。
後來在FSF、EFF各方營救下,才讓他免於牢獄之災。
TrueCrypt作者可能有鑑於此,從一開始就跟BitCoin一樣,
是匿名發布Code的,沒人知道他是誰、或者是不是一個人。