Είναι το πρόγραμμα κρυπτογράφησης Truecrypt άλλη μία παγίδα της CIA?



Η σουίτα Truecrypt αποτελεί μία απο τις πιο ισχυρές αυτή την στιγμή εφαρμογές κρυπτογράφησης δίσκων και δεδομένων διαθέσιμη στο Διαδίκτυο και μάλιστα ΔΩΡΕΑΝ. Η εφαρμογή Truecrypt έχει καταξιωθεί στους ειδικούς ασφάλειας και προστασίας δεδομένων ως η πλέον ισχυρή σουίτα κρυπτογράφησης που ουσιαστικά παραμένει μέχρι και σήμερα αδύνατο να σπάσει. Δεν είναι λίγοι όμως αυτοί που θεωρούν οτι η εν λόγω εφαρμογή είναι άλλη μια «παγίδα» των αμερικανικών μυστικών υπηρεσιών (CIA/NSA).

Σύμφωνα λοιπόν με αναφορές σε ιστοσελίδες του εξωτερικού από ειδικούς στην ασφάλεια και ιδιωτικότητα των δεδομένων υπάρχουν ορισμένα γεγονότα που αποδεικνύουν ότι η εφαρμογή Truecrypt κάθε άλλο παρά «αθώα» είναι. Σύμφωνα με τους «συνωμοσιολόγους» λοιπόν τα δεδομένα που είναι γνωστά μέχρι στιγμής για την εφαρμογή και επιβεβαιώνουν τις ανησυχίες τους είναι τα παρακάτω:

(1) Το domain της ιστοσελίδας της εφαρμογής ήταν κατοχυρωμένο σε λανθασμένη διεύθυνση. Το διακριτικό όνομα τομέα (domain name) «truecrypt.org» αρχικά είχε αρχικά κατοχυρωθεί με ψευδή στοιχεία δηλώνοντας μάλιστα και ψεύτικη διεύθυνση («Σταθμός Navas, Ανταρκτική»). Στη συνέχεια μεταφέρθηκε στον πάροχο διαχείρισης domain names Network Solutions , ενεργοποιώντας την ειδική ρύθμιση απόκρυψης των στοιχείων του ιδιοκτήτη του domain-name.

(2) Η ταυτότητα των προγραμματιστών του Truecrypt παραμένει άγνωστη
Οι προγραμματιστές του Truecrypt χρησιμοποιούσαν αρχικά τα ψευδώνυμα «ennead» και «syncon», αλλά το 2010 αντικατέστησαν όλες τις αναφορές στην ιστοσελίδα τους με το γενικόλογο «Ίδρυμα Truecrypt – Truecrypt foundation». Το εμπορικό σήμα Truecrypt καταχωρήθηκε στην Τσεχική Δημοκρατία στο όνομα «David Tesařík».

Κανείς δεν γνωρίζει τίποτα για τους προγραμματιστές, ενώ ουδέποτε έχουν εκθέσει δεδομένα που θα οδηγούσαν στον προσδιορισμό της ταυτότητάς τους. Ο καθένας θα επιθυμούσε να είναι γνωστός ή να δεχτεί συγχαρητήρια αν είχε συνεισφέρει στην ανάπτυξη μιας τόσο διαδεδομένης εφαρμογής όπως το Truecrypt. Προφανώς οι προγραμματιστές του δεν ενδιαφέρονται ούτε νοιάζονται για τη δόξα ή τιμή και ότι αυτό συνεπάγεται.

(3) Οι προγραμματιστές του Truecrypt εργάζονται δωρεάν
Eταιρείες αντίστοιχων ανταγωνιστικών προιόντων ολοκληρωτικής κρυπτογράφησης δίσκων όπως οι WinMagic, DriveCrypt (Securstar) και PGP Corporation (εφαρμογές κλειστού κώδικα) διαθέτουν ομάδες προγραμματιστών λογισμικού πλήρους απασχόλησης που εργάζονται στα προϊόντα τους. Όπως ο καθένας από τους προγραμματιστές λογισμικού κρυπτογράφησης θα έλεγε, το να αναπτύσεις ένα τέτοιο προϊόν δεν είναι διόλου ευκαταφρόνητο επίτευγμα.

Από την άλλη πλευρά δύο απλήρωτοι προγραμματιστές της TrueCrypt καταφέρνουν να εργάζονται σε πλατφόρμες Linux, Mac και Windows αναπτύσοντας ταυτόχρονα τις 32 και 64 bit εκδόσεις. Επιπλέον ως εκ θαύματος παρέχουν ακόμα και άμεση υποστήριξη της εφαρμογής τους για το λειτουργικό Windows 7, αμέσως μετά την επίσημη κυκλοφορία του από την Μιcrosoft όταν ανταγωνιστικές εταιρείες χρειάστηκαν αρκετό χρόνο. Συνεκδοχικά οι δύο αυτοί προγραμματιστές του TrueCrypt κατέχουν κάποια θέση εργασίας πλήρους απασχόλησης που τους παρέχει έναν επαρκή μισθό ώστε να μπορούν να ζούν αυτοί και οι οικογένειές τους.

Σύμφωνα με τα παραπάνω θα μπορούσε μάλιστα κάποιος να ισχυριστεί ότι οι μηχανικοί λογισμικού κρυπτογράφησης κλειστού κώδικα (closed source) είναι «ακριβοπληρωμένοι τεμπέληδες» που δεν αποδίδουν ενώ οι δύο και μόνο προγραμματιστές του Τruecrypt είναι οι καλύτεροι, πίο αποδοτικοί και σκληρά εργαζόμενοι μηχανικοί λογισμικού κρυπτογράφησης στον κόσμο (και μάλιστα ανοιχτού κώδικα(!))

(4) H μεταγλώττιση (compiling) του πηγαίου κώδικα του TrueCrypt αποδεικνύεται όλο και πιο δύσκολη. Πολύ λίγοι άνθρωποι ασχολούνται να μεταγλωτίσουν πηγαίο κώδικα εφαρμογών στα Windows. Συνήθως παραλαμβάνουν τις εφαρμογές τους έτοιμες (compiled). Φαίνεται οτι είναι εξαιρετικά δύσκολο να δημιουργήσει εκτελέσιμα αρχείο από τον πηγαίο κώδικα του TrueCrypt που είναι διαθέσιμο στην ιστοσελίδα (λόγω πολλαπλών επιλογών μεταγλώττισης που πρέπει να ληφθούν υπόψη, κλπ.)

Αυτό θα ήταν ιδιαίτερα βολικό για μια μυστική υπηρεσία όπως η CIA, μιας και θα ήταν πιο εύκολο να επιτεθούν στην εφαρμογή λογισμικού αυτή καθεαυτή παρά στον αλγόριθμο κρυπτογράφησης.Ο καλύτερος τρόπος να το κάνει αυτό είναι να τοποθετήσει κάποιες δυσδιάκριτες και μη αναγνωρίσιμες ευπάθειας ασφάλειας στα μεταγλωττισμένα αρχεία που είναι διαθέσιμα προς χρήση από την επίσημη ιστοσελίδα του Truecrypt. Αν ο οποιοσδήποτε είχε την δυνατότητα να μεταγλωττίσει τον πηγαίο κώδικα του Truecrypt, τότε ενδεχομένως το σχέδιο των μυστικών υπηρεσιών να ήταν μια πλήρη αποτυχία μιας και η πλήρη πρόσβαση στα κρυπτογραφημένα δεδομένα δεν θα μπορούσε να επιτευχθεί.

(5) Η άδεια χρήσης του TrueCrypt περιέχει περιορισμούς διανομής
Το TrueCrypt εκδίδεται με τη δική του «άδεια TrueCrypt». Ενώ είναι open source, περιέχει περιορισμούς διανομής, πνευματικών δικαιωμάτων και ευθύνης διάθεσης. Οι περισσότερες γνωστές διανομές Linux δεν το προσφέρουν στους χρήστες τους προς εγκατάσταση από τα επίσημα κανάλια εφαρμογών τους, ενώ αξίζει να αναφερθεί οτι το Fedora έχει συμπεριλάβει το TrueCrypt στην απαγορευμένη λίστα εφαρμογών προς διάθεση και χρησιμοποιεί ως αντίστοιχο πρόγραμμα το RealCrypt. Αναφορά: http://fedoraproject.org/wiki/ForbiddenItems#TrueCrypt

UPDATE 2011: Το TrueCrypt έχει αφαιρεθεί από το Amnesic Incognito Live system (διανομή Linux που προσφέρει ανωνυμία κατα το σερφάρισμα στο διαδίκτυο και προστασία προσωπικών δεδομένων)

Οι προγραμματιστές του γνωστού ανώνυμου live CD που ονομάζεται Tails αποφάσισαν να αποσύρουν από την διανομή τους το TrueCrypt υποστηρίζοντας ότι η ανάπτυξη γίνεται με αδιαφανείς και κλειστές μεθόδους ενώ η αδειοδότηση είναι περιοριστική και δεν ελεγχθεί ποτέ από ανεξάρτητους προγραμματιστές και ειδικούς πληροφορικής. Αναφορά: http://tails.boum.org/support/truecrypt/index.en.html

(6) Ο ανοιχτός κώδικας του λογισμικού TrueCrypt δεν έχει ποτέ αξιολογηθεί...
Ο πηγαίος κώδικας του Truecrypt ουδέποτε αποτέλεσε το αντικείμενο μιας εις βάθος ανάλυσης, ούτε υπάρχει λόγος να βασιστεί κανείς στις διαβεβαιώσεις των προγραμματιστών του, την στιγμή που μάλιστα παραμένουν ανώνυμοι και επιδιώκουν να συντηρούν αυτή την ανωνυμία.Ενδελεχής επισκόπηση του κώδικα και δοκιμές είναι ένα κουραστικό και επίπονο έργο δύσκολο να πραγματοποιηθεί σε συνδυασμό με το γεγονός οτι πολύ λίγοι άνθρωποι έχουν τις ικανότητες να το κάνουν. Δεν είναι τυχαίο οτι το TrueCrypt δεν έχει επικυρωθεί ή ελεγχθεί απο κανέναν διαπιστευμένο φορέα κρυπτογράφησης.

(7) Λογοκρισία στα forums επικοινωνίας του Truecrypt
O κανόνας 3 του forum επικοινωνίας του Truecrypt αναφέρει σαφώς οτι δεν επιτρέπεται στους εγγεγραμένος χρήστες να συζητήσουν σχετικά με άλλο λογισμικό κρυπτογράφησης. Οι κανόνες υπ’αριθμόν 8 και 9 αναφέρουν επίσης οτι κανένας από τους συμμετέχοντας δεν μπορεί να αναπτύξει θέματα που σχετίζονται με αδυναμίες του Truecrypt ή λογισμικά που αποκρυπτογραφούν δεδομένα που έχουν κρυπτογραφηθεί με Truecrypt.

Κοινώς κανένας από τους εγγεγραμμένους στο forum δεν μπορεί να αναφέρει τίποτα για τις ανταγωνιστικές εφαρμογές και δεν επιτρέπεται ούτε καν να πούν τίποτα σχετικά με λογισμικό που αποκρυπτογραφεί TrueCrypt δεδομένα. Εάν αναρτηθεί οποιαδήποτε κριτική ή αρνητικά σχόλια σχετικά με το λογισμικό τους, οι απόψεις αυτές θα εξαφανιστούν μυστηριωδώς. Κανόνες TrueCrypt forum: http://forums.truecrypt.org/viewtopic.php?t=1651

(8) Μπορεί το FBI να σπάσει το TrueCrypt;
Η CIA δεν θα μοιραζόταν ποτέ τα υπερ-όπλα της με τους κατώτερούς (κατά την άποψή της) πράκτορες του FBI, εκτός αν αφορούσε ένα θέμα υψίστης εθνικής ασφάλειας, τρομοκρατίας κλπ. Καμία μυστική υπηρεσία δεν θα ρίσκαρε να αποκαλύψει τα όπλα της και τις δυνατότητές της για να επιτυχει μια διωκτική αρχή (όπως το FBI) ενα θετικό αποτέλεσμα σε μια ποινική δίκη.

Άρα το Truecrypt μπορεί να θεωρηθεί οτι παρέχει υψηλή ασφάλεια στα δεδομένα σας και είναι πιθανόν οτι FBI δεν θα μπορεί να «σπάσει» την υψηλή του κρυπτογράφηση (εκτός αν είστε φυσικά ένας από τους πλέον καταζητούμενους στον κόσμο -κάτι σαν Μπίν Λάντεν- για πραγματοποίηση ή προπαρασκευή τρομοκρατικών ενεργειών).
Εναλλακτικές λύσεις για το φόρουμ του TrueCrypt

Όμάδες συζήτησης για την προστασία της ιδιωτικής ζωής και των προσωπικών δεδομένων: alt.privacy.anon-server, Alt.security.pgp, alt.privacy και alt.scramdisk
Φόρουμ ασφάλειας υπολογιστών και επικοινωνιών στο διαδίκτυο: Wilders Security Forum

Εναλλακτικές λύσεις για το TrueCrypt
Το μοναδικό λογισμικό κρυπτογράφησης ανοικτού πηγαίου κώδικα με υποστήριξη πλήρης κρυπτογράφησης δίσκου που μπορεί να ανταγωνιστεί επιτυχώς το TrueCrypt είναι το Diskcryptor.

Συμπεράσματα σχετικά με την αξιοπιστία TrueCrypt
Όλα τα παραπάνω μπορεί να ακούγονται παρανοϊκά ή θεωρίες συνωμοσίας. Ο κάθε χρήστης Η/Υ που επιθυμεί με λογισμικά κρυπτογράφησης να διασφαλίσει το απόρρητο των δεδομένων του οφείλει να το κάνει με προϊόντα κρυπτογράφησης που ο ίδιος θεωρεί ασφαλή μιας και στο κάτω κάτω κανείς ουσιαστικά δεν μπορεί να διασφαλίσει με 100% σίγουρια ποιά προιόντα είναι ασφαλή. Άλλωστε κάτι που είναι ασφαλές σήμερα δεν σημαίνει οτι θα είναι και αύριο.

Η λύση είναι απλά να χρησιμοποιήσετε το καλύτερο προϊόν κρυπτογράφησης κατά τη γνώμη σας από άποψη λειτουργικότητας, χρηστικότητας και ασφάλειας έπειτα από προσωπική σας έρευνα στο διαδίκτυο και σύμφωνα με τις προσωπικές σας ανάγκες.

Μετά από όλα αυτά το TrueCrypt, είναι η δεύτερη επιλογή λογισμικού πλήρους κρυπτογράφησης δίσκου μετά το DiskCryptor. Το σίγουρο είναι ένα. Στον τομέα της ασφάλειας και κρυπτογράφησης δεδομένων ισχύει πάντα το δόγμα «Μην εμπιστεύεσαι κανέναν (Trust No-one)»

ΠΗΓΗ
Share on Google Plus

About Mario Agapios

Καλώς ορίσατε στο Παπαγάλο Του Διαδικτύου! Ο σκοπός δημιουργίας αυτού του blog είναι η συγκέντρωση αναρτήσεων που βρίσκουμε κατά καιρούς στο διαδίκτυο και μας κινούν το ενδιαφέρον, αλλά δεν αποτελούν απαραίτητα θέση και άποψη του παρόντος ιστολογίου. Ελπίζουμε να βρείτε θέματα που σας ενδιαφέρουν και να μας επισκέπτεστε συχνά!