Tiesitkö että lain mukaan yksityistä pysäköintivalvontamaksua ei tarvitse maksaa!
Lue lisää: Älä maksa yksityistä sakkoa!

perjantaina, toukokuuta 30, 2014

VAROITUS: Truecrypt väitetty turvattomaksi !

Laajasti käytetyn ilmaisen Truecrypt salausohjelman sivustolla ilmoitetaan salausohjelman kehityksen päättyneen ja kerrotaan ettei Truecrypt ohjelmaa ole turvallista käyttää. Tieto on uutisoitu laajasti myös verkkomediassa. Sivuilla olevien ohjeiden mukaan käyttäjiä suositellaan purkamaan salaukset ja siirtymään käyttämään Microsoftin Bitlocker salausta. Sivustolla on ladattavissa Truecrypt versio 7.2 joka sisältää ainoastaan mahdollisuuden purkaa salaukset.

VAROITUS

Truecrypt käyttäjien ei pidä tehdä mitään ennen kuin tilanne selkenee. Missään tapauksessa älkää ladatko versiota 7.2 ja missään tapauksessa älkää asentako Microsoftin Bitlocker ohjelmistoa tietokoneelle. Todennäköisesti TrueCrypt ohjelmiston kehitystoiminta ja jakelu on katkaistu tavalla tai toisella vihamielisen tahon toimesta.
  • TrueCrypt viimeisin toimiva versio on 7.1a ja tarjolla oleva 7.2 versio on huijas (hoax)
  • Bitlocker on Microsoftin tuote ja se ei missään tapauksessa ole turvallinen käyttää. Microsoft on jättänyt tuotteeseen takaportteja esimerkiksi NSA:n ja viranomaisten pääsyä varten
  • On erittäin epäilyttävää että TrueCrypt kehittäjät suosittelisivat purkamaan salauksen ja siirtymään käyttämään Bitlockeria. Kehittäjät olivat alkujaankin Bitlockeria vastaan sen käyttämän mekanismin takia joka mahdollistaa ylimääräisen avainketjun käyttämisen ja mahdollistaa esim. NSA:lle yksityisen avaimen jäljittämisen. 
  • On myös mahdollista että viimeisin TrueCrypt 7.1a versiokaan ei ole turvallinen. 
  • Jos vertaa miten kehittäjät ovat 10 vuoden aikana sitoutuneet asiaansa ja miten yllättäen ja kyseisin menetelmin Truecryptin turvattomuudesta tiedotetaan viittaa vahvasti vihamielisen ulkopuolisen tahon puuttumiseen asiaan.
  • Todennäköisintä on että Truecypt on pakotettu viranomaisten toimesta alas. Näyttää hyvin mahdolliselta että Truecrypt on uusi Lavabit.
Nyt on syytä odottaa rauhallisesti ja katsoa tarkemmin mitä tilanteesta selviää.

Lisätietoa verkosta
Lisätietoa verkosta
Lisätietoa verkosta

Miten suojautua urkinnalta ja viranomaisten mielivallalta

oikeusjakohtuus.blogspot.com

28 kommenttia:

Nimetön kirjoitti...

Amerikan viranomaisten toiminta yksityisyyttä vastaan alkaa olla täysin sietämättömällä tasolla. USA ja Venäjä ovat kumpikin omalla tavallaan täydellisiä roskavaltiota ja joiden olemassaolo ei ole millään tavoin perusteltua!

Nimetön kirjoitti...

Erinomainen artikkeli. Suosittelen että linkkiä jaetaan eteenpäin. Virallinen media uutisoi asian aivan toisin ja tyhmät ihmiset lähtevät vaihtamaan TrueCryptiä täysin turvattomaan Bitlockeriin. Yksikään vähänkinkin tietoturvasta jotain tajuava ihminen ymmärtää ne suunnattaomat riskit jotka seuraavat Microsoftin Bitlockerin käytöstä.

Nimetön kirjoitti...

Miksi tarjoita versio 7.2 jolla pystyy vain purkamaan salauksen koska aivan samoin sen pystyy purkamaan versiolla 7.1?

Siksi että versio 7.2 sisältää myös jotain muuta jota asentuu koneellesi.

Varovaisuus on paikallaan!!!!!

Nimetön kirjoitti...

Assumption #1 The website is presumed hacked, the keys are presumed compromised. Please do not download or run it. And please don't switch to bitlocker.

Latest working version is 7.1a. Version 7.2 is a hoax

On the SourceForge, the keys were changed before any TrueCrypt files uploaded, but now they are deleted and the old keys got reverted back.

Why I think so: strange key change, why bitlocker?

Assumption #2 Something bad happened to TrueCrypt developers (i.e. take down or death) or to TrueCrypt itself (i.e. found the worst vulnerability ever) which made them do such a thing. So this version is legit

Why I think so: all files are with valid signatures, all the releases are available (Windows; Linux x86, x86_64, console versions, Mac OS, sources), the binaries seems like was built on the usual developer PC (there are some paths like c:\truecrypt-7.2\driver\obj_driver_release\i386\truecrypt.pdb, which were the same for 7.1a). License text is changed too (see the diff below).

Why is it ridiculous for TrueCrypt developers to suggest moving to BitLocker? Well, TrueCrypt was strictly against of using TPM because it may contain extra key chains which allow agencies like NSA to extract your private key. Although I find TPM to be a great solution in some cases (like embedded systems where you can't return to OS from fullscreen application) and used it a lot as a developer, I can't imagine why would TrueCrypt developers suggest such a thing and not other open-source alternatives. It looks like a clear sign that the developer can't say he's in danger so he did this. As many suppose, this could be the sort of warrant canary

Assumption #2 is more likely true than assumption #1. Sad but true.

Assumption #3 7.1a is backdoored and the developer wants all users to stop using it.

Why I think so: there is a website http://truecryptcheck.wordpress.com which contains all the hash sums for TrueCrypt 7.1a. Is has only 1 blog record from August 15, 2013, only for TrueCrypt and only for 7.1a. It's a bit strange to make a website with the hash sums for only one program and only one version of it.

And another one thing: http://truecrypt.org.ua/news

Nimetön kirjoitti...

https://www.grc.com/misc/truecrypt/truecrypt.htm

Time to panic?

No. The TrueCrypt development team's deliberately alarming and unexpected “goodbye and you'd better stop using TrueCrypt” posting stating that TrueCrypt is suddenly insecure (for no stated reason) appears only to mean that if any problems were to be subsequently found, they would no longer be fixed by the original TrueCrypt developer team . . . much like Windows XP after May of 2014. In other words, we're on our own.

But that's okay, since we now know that TrueCrypt is regarded as important enough (see tweets above from the Open Crypto Audit and Linux Foundation projects) to be kept alive by the Internet community as a whole.

So, thanks guys . . . we'll take it from here.

Jaakko Fagerlund kirjoitti...

Eiköhän tuolle jatkaja löydy piakkoin, kukaan halua mitään suljetun sorsan ohjelmia käyttää kun on kyse turvallisuudesta.

On täysin mahdotonta luottaa ohjelman (väitettyyn) turvallisuuteen, jos sorsat ei ole jaossa.

Nimetön kirjoitti...

Täytynee odottaa että 7.1a version auditointi valmistuu. Ei sekään takaa että aukkoja/takaportteja ei olisi, mutta on tyhjää parempi.

Nimetön kirjoitti...

Nämä perustelut eivät vakuuta:

"The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms (click here for more information). You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform."

Eihän tuota Bitlockeria ole suurimmassa osassa Windows seiskoja tai kaseja. Sen hankkiminen maksaisi yli sata euroa. Muutenkin tuo ajatus, että se olisi jotenkin vain XP:tä varten on outo.

Microsoftiin en luottaisi ollenkaan näissä asioissa. Vaikka siinä ei olisi takaporttia, voitaisiin sellainen koska tahansa tuoda koneelle kriittisenä päivityksenä.

Markus Jansson kirjoitti...

TrueCrypt on TAVALLAAN oikeassa kyllä.

Bitlockerin kaikki olennaiset osat on annettu avoimeksi lähdekoodiksi luettavaksi. Se on turvallinen. Ihan oikeasti on. Sitä on tutkittu enemmän kuin Truecryptiä. Se on saanut sertifioinnitkin ulkopuolisilta tahoilta jotka takaavat sen turvallisuuden.

AINOA juttu, mikä saattaa olla ongelma on, että Microsoftin tapa käyttää Bitlockeria voi muulla tapaa vaarantaa sen turvallisuuden. Vaikka krypto on hyvää ja se voi käyttää myös TPM-moduuliakin hyväkseen, niin itse käyttöjärjestelmä voi toki tehdä kaikenlaista kiusaa sille halutessaan. Esimerkiksi juuri napata salausavaimen talteen ja tallentaa sen jonnekin tms. TPM-tapauksessa tämä ei onnistu, koska TPM hoitaa salauksen.

Ongelmaksi minä näen lähinnä sen, että Truecryptiä pystyy käyttämään eri käyttöjärjestelmillä, joten voin avata Linuxilla Windowsissa tekemäni ja Windowsin osiolla olevan säiliön. Bitlockerilla ei onnistu. Toinen ongelma on, että Bitlockerilla ei voi oikein salata koko kiintolevyä salasanan taakse jos ei omaa TPM:ää emolevyllä...salausavain pitää tallentaa muistitikulle ja jos muistitikku varastetaan tai kopioidaan niin.

Hölmö veto Truecryptiltä. Pitäytykää versiossa 7.1a kyllä se on hyvä.

Nimetön kirjoitti...

Onneksi TrueCryptin kehitys jatkuu muuta kautta. Jotenkin on silmätkin avautuneet Snowdenin paljastusten myötä. Islamilaisia ja arabikulttuureita haukutaan totalitääriseksi, sulkeutuneiksi, itsevaltaisiksi järjestelmiksi joissa ei kunnioiteta länsimaisia arvoja, yksityisyydensuojaa ja sananvapautta.

Mutta hetkinen? Eihän näitä kunnioiteta länsimaissakaan! Vakoilu, yksityisyyden loukkaukset, vangitsemiset ilman oikeudenkäyntejä, ihmisten katoamiset, viranomaisten mielivalta jne on itseasiassa pahemmalla tasolla kuin ei läntisissä kulttuureissa.

Mitä me ollaan länsimaina sanomaan mikä on oikein ja väärin kun koko länsimainen arvopohja perustuu vakoilulle ja ihmisoikeuksien loukaamiselle.

Nimetön kirjoitti...

Bitlockerin kaikki olennaiset osat on annettu avoimeksi lähdekoodiksi luettavaksi. Se on turvallinen. Ihan oikeasti on. Sitä on tutkittu enemmän kuin Truecryptiä. Se on saanut sertifioinnitkin ulkopuolisilta tahoilta jotka takaavat sen turvallisuuden.

Markus, ihan hyvä pointti, mutta itselläni ei usko riitä niin paljon kuin sinulla. Olennaiset osat ei ole riittävä ja se että ulkopuoliset tahot takaavat sen turvallisuuden vielä vähemmän. Mitkä ulkopuoliset tahot?

Niin kauan kun puhutaan isojen Amerikkalaisten valmistajien tuotteista, oli sitten kyse Microsoftista, Googlesta, Appelsta jne. niihin ei voi luottaa. Niitä on voitu määrätä rakentamaan takaportteja ja antamaan suojausavaimia tms ja samalla niitä on kielletty kommentoimasta mitään tähän liittyvää.

Se on totta että mihinkään ei olla varma, mutta vielä vähemmän amerikkalaisiin kaupallisiin toimijiin.

Bitlocker on erittäin huono vaihtoehto. Bitlockerin tapauksessa käyttöjärjestelmä on saman valmistajan ja ei ole mitään takeita siitä etteikö käyttöjärjestelmä voisi tallentaa salausavainta ja välittää sitä muualle. Jos ei nyt niin sen toteuttamiseen riittää yksi Windowsin vakiopäivitys.

Nimetön kirjoitti...

Microsoftin Bitlockerin turvallisuutta netissä on kehuttu maasta taivaisiin. Kyse on pelkästä progandasta ja tahallisesta väärän tiedon välittämisestä. Ei tehdä tätä NSAlle turhan helpoksi. Mikä voisi olla enää helpompaa NSA:lle kuin kaikki koneet ovat Microsoft Windows käyttiksessä ja salattu Microsoftin Bitlockerilla. Herätkää!

Jaakko Fagerlund kirjoitti...

Se nyt on fakta, ettei muihin kuin avoimen lähdekoodin ohjelmiin voi luottaa kun kyse on turvallisuudesta. Hienona esimerkkinä tällaisesta toiminnasta on mm. CryptoPhone, joka tarjoa puhelimiensa lähdekoodin avoimesti ja ohjeiden kera, että kuka tahansa voi tarkistaa ettei siellä ole mitään haavoittuvuuksia tai takaportteja.

Samat asiat pätee lukitusturvallisuudessakin: kuka tahansa voi ostaa mekaanisen lukon, purkaa sen osiin ja todeta, että sinne käy tasan se yksi avain mille se on tarkoitettukin.

Vielä kun saman näkisi elektronisen lukituksen puolellakin, eli lähdekoodit olisi nähtävillä. Harmi vaan ettei tällaista näe, aina vedotaan "yrityssalaisuuteen" tai "turvallisuuteen" tai siihen, että millä he sitten tekisi rahaa.

Nimetön kirjoitti...

En kyllä ihan täysin tajua, että miten aihe liittyy oikeusjakohtuus -blogiin?

Jaakko Fagerlund kirjoitti...

En kyllä ihan täysin tajua, että miten aihe liittyy oikeusjakohtuus -blogiin?

Sillä, että ikävän usein joutuu käyttämään salauksia ja anonymiteetin turvaavia palveluita, jotta ei tule paskaa niskaan tässä maassa kun tuo julki arkoja aiheita.

Nimetön kirjoitti...

Sillä, että ikävän usein joutuu käyttämään salauksia ja anonymiteetin turvaavia palveluita, jotta ei tule paskaa niskaan tässä maassa kun tuo julki arkoja aiheita.

Saattaa olla, mutta kyllä tämä on pelkkää tietotekniikkauutisointia. On niitä maailmassa muitakin ohjelmia ja menetelmiä kuin truecrypt, ei siitä tarvitse peilihousuja repiä jos tekijät on laittanu troijanin mukaan.

Jaakko Fagerlund kirjoitti...

Ei sinne troijalaista olekaan mukaan laitettu, lue nyt prkl mistä edes uutisoidaan.

Nimetön kirjoitti...

Itselläni 2.5 vuotta sitten poliisi takavarikoi kaksi tietokonetta. Yhden läppärin ja yhden vanhemman pöytämallisen. Kummatkin Windows koneita. Ottamatta nyt kantaa rikokseen josta minua syytettiin (asian käsitely jatkuu syksyllä hovissa) kummatkin koneet oli kryptattuja. Siis kovalevyt ja OS osio kokonaisuudessaan. Kuulustelussa tivattiin kovasti purkuavainta, mutta en suostunut kertomaan (tästä kiisto blogin ohjeiden).

Koneita en ole saanut takaisin eikä välttämättä tarvitsekkaan. Se mikä oli hyvin kummallista ja itseasiassa tämän artikkelin valossa myöhemmin jopa ymmärrättevää, olis se että vanhempi kone joka oli TrueCryptillä kryptattu poliisin labra ei koskaan saanut auki. Uudemman koneen jossa oli Mikkisoftan Bitlocker, poliisi sai auki.

Kun vaadin selvitystä kuinka poliisi sai purettua kryptauksen ilman purkuavainta, he eivät sitä tietenkään suostuneet kertomaan.

Poliisilla ei ollut avain tiedossa, ainakaan minun kautta. Kryptaus oli sen verran vahva että sen purkaminen muuten kuin kryptaus avain tietämällä on mahdotonta. Ainoaksi vaihtoehdoksi jää että Bitlocker itsessään sisältää takaportin tai OS tallentaan salausavaimen johonkin tai vie sen jonnekin josta viranomainen voi vaatia sen nähtäville.

Vertaa vaikka tilanteeseen että Google/Apple tietää kotiverkkosi salasanan jos olet synkkauksen pilveen asettanut päälle. Tämä Bitlocker on tuskin mitään muuta sen kummallisempaa.

Oman kokemuksen perusteella en missään tapauksessa kehoita käyttämään Bitlockeria. Jos TrueCrypt on oikeasti vaarantunut, silloin kannattaa etsiä jotain muuta salausta. Ei missään tapaukse Microsoftin. Se on sama kun antaisi avaimen suoraan viranomaisille.

Ai niin, käräjäoikeuden tuomio rikoksestani oli vuosi ehdollista, oikeudenkäntikuluja 12 000 euroa ja korvauksia 25 000 euroa. Kaikki tämä olettamuksen perusteella. Poliisihan ei saanut salausta vanhemmasta koneesta auki, mutta oikeuden tuomarin mielestä se että en suostunut avaamaan konetta oli jo itsessään merkki syyllisyydestä. Näin vain Sovjet-Finlandissa!!

Nimetön kirjoitti...

Artikkeli on erinomainen ja sopii täysin blogistin linjaan siitä kuinka suojaudutaan viranomaisia vastaan. Senhän takia blogistin aikaisempikin artikkeli on linkkinä artikkelin lopussa.

Kannattaisi opetella lukemaan ja sisäistämään asia ennenkuin kommentoi :)

Jaakko Fagerlund kirjoitti...

Itselläni 2.5 vuotta sitten poliisi takavarikoi kaksi tietokonetta.

Tuo on hyvä esimerkki siitä, miksi kannattaa käyttää sitä TrueCryptin salattua osiota, eli osio toisen sisällä. Levy vaikuttaa tyhjältä, mutta jos tietää mistä kohtaa katsoo ja oikealla salausavaimella, niin hupsista keikkaa, siellähän on tiedostoja!

Ja huono sitä on päätellä koneen käyttiksestäkään mitään, jos buuttaa koneen USB-tikulta ja kaikki tallennukset ja työt menee salatulle kiintolevyn osiolle. Päällisin puolin näyttää levy tyhjältä tai sekasikiöltä ja USB-tikulta ei löydy minkäänlaisia käytön jälkiä.

Yritäpä samaa turvallisuuden tasoa ja käyttöhelpoutta sekä joustavuutta Microsoftin millä tahansa tuotteella - ei tule onnistumaan.

Nimetön kirjoitti...

Tuo piilotettu osio suojaa vain pinnalliselta tarkastelulta. Kyllä poliisi monesta äkkää, että varsinainen data on muualla.

Nimetön kirjoitti...

Tuo piilotettu osio suojaa vain pinnalliselta tarkastelulta. Kyllä poliisi monesta äkkää, että varsinainen data on muualla.

Nimetön kirjoitti...

Jos Yhdysvaltojen tiedusteluyhteisö TrueCryptin alasajon takana ja heillä on tiedossa haavoittovuus jolla suojauksen saa murrettua niin he tuskin jakavat sen suomen viranomaisille joten suomalainen MP3 piraatti ja teiniporno tumputtaja ovat turvassa

Jaakko Fagerlund kirjoitti...

Tuo piilotettu osio suojaa vain pinnalliselta tarkastelulta. Kyllä poliisi monesta äkkää, että varsinainen data on muualla.

Niin, muualla. Mutta missä muualla? Ehkä ei edes kyseisellä fyysisellä levyllä, ehkä USB-muistissa, ehkä jossain muulla kiintolevyllä tai sitten..ehkä sitä ei vain olekaan.

Se tuossa ideana onkin, että ei voi sanoa varmaksi mitään.

Nimetön kirjoitti...

Sen piilotetun osion mahdollisuus ei ole poliisille tuntematon seikka, ellei olisi ole täysin osaamaton. Jos siellä levyllä on vain täysin merkityksettömiä tiedostoja, joita ei ole muokattu vuoteen tajuaa, mistä on kyse. En tiedä miten Truecypt reagoi, jos näkyvä osio täytetään. Kirjoittaako se automaattisesti piilotetun päälle? Jos ei, niin piilotetun huomaa siitä.

Homma toimii lähinnä, jos siellä piilotetulla osiolla on vähän tietoa. SIis pakkaa sen näkyvän osan täyteen pornoa tms. jota voisi kuvitella jonkun salaavan ja sitten joku pieni tekstidokumentti piilotetulla osiolla.

Nimetön kirjoitti...

Miten turvallinen Linuxin full-disk-encryption on? Yksi mahdollisuus on siirtyä Windowsista Linuxiin ja ajaa virtuaali-Windowsissa vain sovellukset, jotka eivät toimi Linuxissa.

Virtuaalikone-Windowsissa on hauska piirre, että koko tietokone on olemassa vain tiedostona kiintolevyllä, tietty salattuna.

Nimetön kirjoitti...

"En tiedä miten Truecypt reagoi, jos näkyvä osio täytetään. Kirjoittaako se automaattisesti piilotetun päälle?"

Muistaakseni manuaalissa kerrotaan, että truecrypt antaa vain ilmoituksen levyvirheestä, jos näkyvältä osiolta meinataan kirjoittaa salatun päälle. Muistaakseni kuitenkin oli joku varoitus siitä, että piiloitettu osio voi olla vaarassa, jos kirjoittaa näkyvään osioon.

Kai se manuaali vielä jostain on saatavilla?

Nimetön kirjoitti...

"Ai niin, käräjäoikeuden tuomio rikoksestani oli vuosi ehdollista, oikeudenkäntikuluja 12 000 euroa ja korvauksia 25 000 euroa. Kaikki tämä olettamuksen perusteella. Poliisihan ei saanut salausta vanhemmasta koneesta auki, mutta oikeuden tuomarin mielestä se että en suostunut avaamaan konetta oli jo itsessään merkki syyllisyydestä. Näin vain Sovjet-Finlandissa!!"

Tuttu tarina suomalaisesta oikeudesta minullekkin. Näitä tapauksia on nähty jo aivan riittävästi näinkin nuoresta iästäni huolimatta. Etenkin Seinäjoella käräjäoikeudesta voi odottaa vaikka mitä ja ns poliittiset tuomiot ovat arkipäivää.

Sitten kun hoviin valitetaan, niin siellä yleensä vasta avataan lakikirja ja yleensä palautetaan jutttu takaisin käräjäoikeudelle. Joissain tapauksissa ja sotkuissa korkeinkin oikeus vielä palauttelee näitä poliittisia päätöksiä takaisin, kun hovissakin päätetään mitä sattuu.

Pahinta on kuitenkin se, että sitten kun se tuomio tulee täysin väärin tehneelle virkamiehelle, oli se sitten vouti tai sosiaaliviranomainen, niin oikeuden päätöstä ei noudateta. Rahan pysyvät ulosmitattuina ja huostaaotot voimassa.

Polisikaan ei auta, jos teet rikosilmoituksen siitä, että oikeuden päätöstä ei noudateta, niin seinäjoen poliisi "tutkii" vuoden ja ilmoittaa vain kylmästi, että he eivät löydä rikosta.

Näin se homma siis pohjanmaalla. Olisi hauska kuulla, että oletko sinäkin täältäpäin, vai onko toiminta samaa muuallakin suomessa.