Каморка

Ну вот похоже и все - новых релизов не видать, последний - просто что бы "распаковать" существующие данные и защитить их BitLocker - само по себе предупреждение на ценральной странице написанное красным цветом и рекомендация использовать BitLocker выглядит черезвычайно странно. Особенно принимая во внимание что как раз сейчас truecrypt прошел первый этап независимого аудита который доказал что этот продукт не содержит закладок и всего такого счастья. И вруг - бряк, "замок на двери и всем досвидание". Жалко, был очень качественный и достойный продукт.
Кажется что они просто получили "письмо счастья" с предложением о сотрудничестве от которого нельзя отказаться и про которое нельзя расказать - за это есть статья с реальным сроком в странах в развитой демократией. И решили поступить как поступали достойные люди до них - Lavabit и другие (вики содержит всю необходимую инфу для желающих).
И что бы дважды не вставать - для тех кто переживает за вай фай по паспорту:
http://en.wikipedia.org/wiki/Pen_register

In 2013, the Obama Administration sought a court order "requiring Verizon on an 'ongoing, daily basis' to give the NSA information on all telephone calls in its systems, both within the US and between the US and other countries". The order was approved on April 25, 2013 by federal Judge Roger Vinson, member of the secret Foreign Intelligence Surveillance Court (FISC), which court had been created by the Foreign Intelligence Surveillance Act (FISA). The order gave the government unlimited authority to compel Verizon to collect and provide the data for a specified three-month period ending on July 19. This is the first time significant and top-secret documents have been revealed exposing the continuation of the practice on a massive scale under U.S. President Barack Obama.

On September 1, 2013, the DEA's Hemisphere Project was revealed to the public by the New York Times. In a series of PowerPoint slides acquired through a lawsuit, AT&T is revealed to be operating a call database going back to 1987 which the DEA has warrantless access to with no judicial oversight under "administrative subpoenas" originated by the DEA. The DEA pays AT&T to maintain employees throughout the country devoted to investigating call records through this database for the DEA. The database grows by 4 billion records per day, and presumably covers all traffic that crosses AT&T's network. Internal directives instructed participants never to reveal the project publicly, despite the fact that the project was portrayed as a "routine" part of DEA investigations; several investigations unrelated to drugs have been mentioned as using the data.

Вот такие пирожки с котятами.

TrueCrypt Is Back, But Should It Be?

Похоже никто пока ничего про отсутствие "счастья" не доказал до самоликвидации, и это может быть одной из ее (самоликвидации) причиной

Gadi писал(а):TrueCrypt Is Back, But Should It Be?

Насколько я понял из статьи аудит должен быть продолжен, автор полагает что старые версии и код был удален потому что разработчики пытаются избежать аудита и как один из способов это сделать это просто в один день удалить все из свободного доступа, вывесть обьявление о закрытии, рекомендовать не использовать программу и порекомендовать взамен BitLocker ?
Мне кажется что это все звучит наивно - есть куча способов найти _все предыдущие билды truecrypt которые были когда то выложенны даже если сейчас они удалены с сайта разработчиков. Их подлинность просто проверить через подпись или контрольную сумму. Ну и аудируй их на здоровье сколько влезет.
Я помню смотрел несколько раз на их release notes - там они перечисляли какие баги они пофиксили, и это нормально для open source code признавать свои ошибки и исправлять их в то время как в коммерческих организациях есть тенденция к их сокрытию и замалчиванию. Ну найдет аудит баг в старой версии и что? Я не знаю такого программного обеспечения которок бы их не имело. И я сомневаюсь что страх перед аудитом заставил их закрыться.
Ну предположим кто-то утрясет лицензионные проблемы и начнет успешно развивать truecrypt 2.0 проект (а так оно и есть). Сколько времени понадобиться чтобы они заработали доверие такое какое было к truecrypt и заработают ли они его вообще?
---
И возвращаясь к своему первому посту (идея не моя но мне она кажется наиболее вероятной) - их попросили поделиться ключом на подпись выполняемых файлов (тогда можно было бы выпускать новые релизы " truecrypt" как только у "кого то" возникнет необходимость) и _выдавать их за подлинные выполняемые файлы скомпилированные их кодов доступных для скачивания. И они не имея возможности отказаться от такого заманчивого предложения просто все свернули. В таком и только таком случае их подпись большее не имеет веса, они могут отдать ключ кому угодно, вреда это никому не принесет. Так что как закрылись сервисы
Silent Circle
http://en.wikipedia.org/wiki/Silent_Cir ... oftware%29

On August 9, 2013, through their website, Silent Circle announced that the Silent Mail service would be shut down, because the company could "see the writing on the wall" and felt it was not possible to sufficiently secure email data.

и
cryptoseal

"CryptoSeal Privacy, a VPN provider, has closed down its consumer VPN service. The company says it has zeroed its crypto keys, adding, 'Essentially, the service was created and operated under a certain understanding of current U.S. law, and that understanding may not currently be valid. As we are a US company and comply fully with U.S. law, but wish to protect the privacy of our users, it is impossible for us to continue offering the CryptoSeal Privacy consumer VPN product.' The announcement ends with a warning: 'For anyone operating a VPN, mail, or other communications provider in the U.S., we believe it would be prudent to evaluate whether a pen register order could be used to compel you to divulge SSL keys protecting message contents, and if so, to take appropriate action.' Sounds like another victim of FISA-endorsed NSA activity."

Old_Tuzik писал(а):

Gadi писал(а):TrueCrypt Is Back, But Should It Be?

Насколько я понял из статьи аудит должен быть продолжен, автор полагает что старые версии и код был удален потому что разработчики пытаются избежать аудита и как один из способов это сделать это просто в один день удалить все из свободного доступа, вывесть обьявление о закрытии, рекомендовать не использовать программу и порекомендовать взамен BitLocker ?
Мне кажется что это все звучит наивно - есть куча способов найти _все предыдущие билды truecrypt которые были когда то выложенны даже если сейчас они удалены с сайта разработчиков. Их подлинность просто проверить через подпись или контрольную сумму. Ну и аудируй их на здоровье сколько влезет.

Нет, не наивно, подобный ход УЖЕ запустил дискуссию о том, нужно ли вообще ПРОДОЛЖАТЬ аудит. Если предположение о бэкдорс продолжающийся (если!) аудит подтвердит, то репутации команды будет нанесен сокрушительный удар. Так что вполне жизнеспособная версия.

Что впрочем не делает вашу версию несостоятельной - тоже возможно.