Situación extraña con TrueCrypt (un programa de encriptación de archivos) : Argentina Indymedia (( i ))

versión para imprimir - envía este articulo por e-mail

Situación extraña con TrueCrypt (un programa de encriptación de archivos)
Por (reenvio) Kriptópolis- varios autores - Wednesday, Jun. 18, 2014 at 3:45 AM

Foro de discusión extraído del sitio de criptografía y seguridad.

Situación extraña con TrueCrypt*

Por squirrel

Ha saltado recientemente a las noticias (por ejemplo aquí) lo que no puede denominarse como una combinación de comportamientos extraños respecto al producto de cifrado TrueCrypt. Un resumen rápido:

· Tal y como indican en su página web, el desarrollo de TrueCrypt ha finalizado.
· En esa misma página, afirman que el producto ya no es seguro, achacándolo, al igual que el fin de su desarrollo, ¡al fin del soporte por Microsoft de Windows XP!
· Han puesto en la web una nueva versión del programa (7.2) limitada a la gestión de volúmenes ya existentes: no permite crear volúmenes nuevos. También incluyen una guía para poder migrar a BitLocker de Microsoft.
· Todos los binarios de TrueCrypt anteriores a la versión 7.2 han desaparecido tanto de su web como de archive.org.
· Como guinda, la firma del ejecutable de la versión 7.2 es diferente a la empleada en los binarios anteriores, si bien parece ser también válida.

¿Web comprometida? ¿Actuación de alguna agencia de pocas letras? ¿Desarrolladores que lo quieren dejar? ¿Algo que ver con proceso para auditar el código?

* http://es.wikipedia.org/wiki/TrueCrypt

respuesta: Como actualización

Por capo

- Mathew Green, del proyecto de auditoría que estaba en contacto con los desarrolladores, tuiteó: «Last I heard from Truecrypt: "We are looking forward to results of phase 2 of your audit. Thank you very much for all your efforts again!"» - Fuente: https://twitter.com/matthew_d_green/status/472048696440258560.
- En http://truecrypt.ch están tratando de reanimar el proyecto haciendo de nuevo disponible la 7.1, resolviendo algunos problemas legales que impiden hacer un fork del proyecto y buscando una organización que le dé continuidad.

respuesta: Esto me recuerda...

Por dom
Esto me hizo recordar el caso del dueño de Lavabit, que por cierto ha contado su historia recientemente en su página: http://lavabit.com

Para poner los pelos de punta. La primera vez el gobierno USeño le hizo instalar dispositivos de captura de tráfico. La segunda vez le pidieron directamente las claves privadas de su sistema; imagino para qué: no eran capaces de descifrar el tráfico cifrado y optaron por hacer un "ataque" man-in-the-middle. Se negó y tuvo que ir a los tribunales, con el resultado que ya conocíamos: perdió.

respuesta: ¿otro lavabit?

Por anv1

uriosamente, muy recientemente se había hecho una auditoría de seguridad de TrueCrypt donde había salido muy bien, porque los errores encontrados no afectaban a la seguridad de los datos.

Una hipótesis que se baraja es que la NSA intentó presionar a los autores para que introdujeran una puerta trasera como lo hizo con lavabit, y al igual que en lavabit, decidieron cancelar el proyecto antes que doblegarse.

respuesta: La inquisición ha vuelto...

Por the_observer the_observer

Me da a mi que esto es un aviso a navegantes. Cualquier ciudadano que desarrolle un proyecto que pueda eludir su espionaje o que perjudique los intereses de EEUU, se le dan dos opciones, colabora con la NSA y lo que ello implica o simplemente se le invita a marcharse por su bien y el de su familia. A este paso, creo que vamos a tener que actuar como en la época de la inquisición, cuando se publicaban obras literarias usando un seudónimo, más que nada por miedo a que la iglesia pudiera tratar tu obra de herejía, y ya sabemos todos como se las gastaban estos individuos. Pues ahora es prácticamente lo mismo, aunque con la diferencia de que no te queman en la hoguera...

Cada día se hace más necesario proteger nuestro derecho a la privacidad y también tenemos una obligación de garantizar el anonimato en proyectos que son pilares fundamentales de nuestra libertad, sino ponemos coto a estos abusos, lo vamos a lamentar.

Un saludo.

respuesta: Ecryptfs (alternativa a TrueCrypt)

Por anv1

A mi me ha gustado mucho ecryptfs. Lo que me gusta es que los datos cifrados no van metidos en un contenedor gigante metido en un archivo o una partición sino que cada archivo se cifra individualmente y se guarda en un disco normal. De esa forma, se pueden guardar los datos en una carpeta o una memoria USB común y corriente. Quien no tenga la clave verá sólo archivos con nombres raros y datos cifrados mientras que quien tiene la clave correcta ve los datos limpios. Los archivos cifrados se pueden copiar o por ejemplo enviar por mail. El destinatario no tiene más que ponerlos en su carpeta de datos cifrados y si el destinatario tiene la clave podrá usarlos de manera transparente.

respuesta: Duda fundamental acerca de esto, urgente

Por Octavio

Hace poco tiempo que estaba preparando mi computadora para cifrar con Truecrypt y cuando ya tengo todo listo para hacerlo, con todas las ganas, me entero de esto y les quiero consultar a los más entendidos: la versión que me bajé hace meses en el sitio oficial de truecrypt antes que pasara este mamarracho de aviso de warning (no le creo al warning, para mí la NSA está detrás de esto), la versión que me bajé fue la última que tenían. ¿Esa versión es segura de usar o tendré que esperar por el reboot que están haciendo en Suiza? ¿O tendré que llorar y resignarme a usar algo menos seguro? Soy usuario Windows y linux nunca lo terminé de dominar (usé Ubuntu un tiempito pero por costumbre, volví a Windows)... ¿qué alternativa fiable a Truecrypt me podrían recomendar para ese SO y que sea de licencia GPL o sea, licencia libre y absoluta? Saludos y que NSA se vaya a cagar....

respuesta: Nunca me ha gustado ...

Por desikoder

Nunca me ha gustado truecrypt , de hecho nunca lo he utilizado. Decian que era software libre , pero como mucho era open source , ademas , para colmo , el codigo fuente estaba ofuscado y no me fio ni cala de que digan que han hecho una auditoria ¿ quienes han hecho la auditoria ? ¿ Seguro que no mienten ? ...

Truecrypt da mucha guerra al compilar , por tanto se distribuyen binarios precompilados creados por el equipo de truecrypt , en fin , no hace falta hablar mas.

En serio , no entiendo por que la gente usaba truecrypt. Existen alternativas como LUKS ( Linux Unified Key Setup ) , que a parte de poder mapear un dispositivo cifrado en uno descifrado ( poniendo la clave evidentemente ) en /dev/mapper/dm-[NUMERO] , puedes cifrar tanto todo el disco como solo algunos archivos. Vamos , que no acabo de comprender como la gente se cifraba el disco con truecrypt.

Asi que a lo que iba , ya me esperaba esto , nunca me he fiado de truecrypt , y parece ser que he hecho bien , porque mira.

1) Cierre inesperado
2) Recomiendan pasarse a bitlocker de microsoft, privativo, espiado por la NSA
3) Quitan binarios anteriores a la 7.2 ¿Para que?. Esque les molesta tanto que no tengamos la ultimisima version de truecrypt?. Algo huele a chamusquina
4) El binario 7.2 no tiene la firma correcta

Veamos, las 2 primeras cosas que he dicho, son muy posiblemente una tapadera, enmascaran el asunto como que han abandonado truecrypt, pero algo mas pasa

El punto 3 y 4. Te estan forzando (tanto en su web, como en que han quitado binarios < 7.2 , como en la firma diferente del binario), a instalarte un binario altamente sospechoso. Curiosamente, este binario no permite cifrar datos, solo descifrar. Tengo una idea. Voy a bajarme el ultimo binario del truecrypt (aunque no lo pienso instalar, ademas estoy usando linux bajo powerpc, seguro que ni siquiera esta para mi arquitectura), simplemente para examinarlo un poco. Me voy a pillar por la red todos los binarios que pueda, incluso si encuentro alguno menor a la 7.2 , y ya con tiempo los voy a analizar.

Os aviso , si descubro algo en alguno de esos binarios se va a revolver internet ...

Saludos , que me enrollo mucho :)

respuesta: sustituto para Window$

Por hazte

Tienes VeraCrypt el más parecido a Truecrypt
http://sourceforge.net/projects/veracrypt/
https://veracrypt.codeplex.com/
Ten en cuenta que no es compatible con imágenes Truecrypt y su licencia es un poco rara
Microsoft Public License (Ms-PL)
No se yo si me fiase mucho.

supongo que ahora resucitara FreeOTFE que permite usar LUKS en w$
http://sourceforge.net/projects/freeotfe.mirror/
Y que me parece la mejor alternativa. Lo más raro de todo es que la versión original de FreeOTFE también desapareció de sourceforge.
http://sourceforge.net/projects/freeotfe/

fuente (con todos los comentarios) http://www.kriptopolis.com/truecrypt-desaparecido

agrega un comentario