Lar Securitywatch Truecrypt desligado; o que usar agora para criptografar seus dados

Truecrypt desligado; o que usar agora para criptografar seus dados

Vídeo: Usando o truecrypt. E3M13 (Novembro 2024)

Vídeo: Usando o truecrypt. E3M13 (Novembro 2024)
Anonim

Se você usar o TrueCrypt para criptografar seus dados, precisará mudar para um software de criptografia diferente para proteger seus arquivos e até discos rígidos inteiros.

O software TrueCrypt de código aberto e disponível gratuitamente tem sido popular nos últimos dez anos porque foi considerado independente dos principais fornecedores. Os criadores do software não foram identificados publicamente. Edward Snowden supostamente usou o TrueCrypt, e o especialista em segurança Bruce Schneier foi outro conhecido apoiador do software. A ferramenta facilitou a transformação de uma unidade flash ou disco rígido em um volume criptografado, protegendo todos os dados armazenados nela de olhares indiscretos.

Os criadores misteriosos fecharam abruptamente o TrueCrypt na quarta-feira, alegando que não era seguro usá-lo. "AVISO: O uso do TrustCrypt não é seguro, pois pode conter problemas de segurança não corrigidos", leia o texto na página SourceForge do TrueCrypt. "Você deve migrar todos os dados criptografados pelo TrueCrypt para discos criptografados ou imagens de disco virtual suportadas em sua plataforma", dizia a mensagem.

"É hora de começar a procurar uma maneira alternativa de criptografar seus arquivos e disco rígido", escreveu o consultor de segurança independente Graham Cluley.

Consenso: Não é uma farsa

No início, havia a preocupação de que alguns invasores maliciosos tivessem desfigurado o site, mas está ficando cada vez mais claro que isso não é uma farsa. O site SourceForge agora oferece uma versão atualizada do TrueCrypt (assinado digitalmente pelos desenvolvedores para que não seja um hack) que exibe um alerta durante o processo de instalação para informar aos usuários que devem usar o BitLocker ou alguma outra ferramenta.

"Acho improvável que um hacker desconhecido tenha identificado os desenvolvedores do TrueCrypt, roubado a chave de assinatura e invadido o site", disse Matthew Green, professor especializado em criptografia na Johns Hopkins University.

O que fazer a seguir

O site, bem como o alerta pop-up no software, tem instruções sobre a transferência de arquivos criptografados com TrueCrypt para o serviço BitLocker da Microsoft, incorporado ao Microsoft Vista Ultimate e Enterprise, Windows 7 Ultimate e Enterprise e Windows 8 Pro e Enterprise. O TrueCrypt versão 7.2 permite que os usuários descriptografem seus arquivos, mas não permite que eles criem novos volumes criptografados.

Embora o BitLocker seja a alternativa óbvia, há outras opções a serem observadas. Schneier disse ao The Register que está voltando ao PGPDisk da Symantec para criptografar seus dados. O Symantec Drive Encrpytion (US $ 110 para uma licença de usuário único) usa PGP, que é um método de criptografia conhecido. Existem outras ferramentas gratuitas para Windows, como o DiskCryptor. Especialista em segurança O Grugq reuniu uma lista de alternativas TrueCrypt no ano passado, o que ainda é útil.

Johannes Ullrich, do Instituto SANS, recomendou que os usuários do Mac OS X seguissem o FileVault 2, integrado ao OS X 10.7 (Lion) e posterior. O FileVault usa a cifra XTS-AES de 128 bits, que é a mesma usada pela NSA. Os usuários de Linux devem seguir a LUKS (Unified Key Setup) do Linux, disse Ullrich. Se você usa o Ubuntu, o instalador do sistema operacional tem a opção de ativar a criptografia completa do disco desde o início.

No entanto, os usuários precisarão de uma ferramenta diferente para unidades portáteis que se movem entre diferentes sistemas operacionais. "O PGP / GnuPG vem à mente", disse Ullrich no InfoSec Handlers Diary.

A empresa alemã Steganos está oferecendo uma versão mais antiga de sua ferramenta de criptografia (a versão 15 é a mais recente, mas a oferta é para a versão 14) gratuitamente para os usuários, o que não é realmente o ideal.

Vulnerabilidades desconhecidas

O fato de o TrueCrypt ter vulnerabilidades de segurança é chocante, considerando que uma auditoria independente para o software está em andamento no momento e não houve tais relatórios. Os apoiadores levantaram US $ 70.000 para a auditoria devido a preocupações de que a Agência de Segurança Nacional tenha a capacidade de decodificar quantidades significativas de dados criptografados. A primeira fase da investigação, que analisou o carregador de inicialização TrueCrypt, foi lançada apenas no mês passado. "Não encontrou evidências de backdoors ou falhas intencionais". A próxima fase, que examinaria a criptografia usada pelo software, estava programada para ser concluída neste verão.

Green, que era uma das pessoas envolvidas na auditoria, disse que não tinha um aviso prévio do que os desenvolvedores do TrueCrypt planejavam. "A última vez que ouvi da Truecrypt: 'Estamos ansiosos pelos resultados da fase 2 da sua auditoria. Que muito por todos os seus esforços novamente!'", Ele postou no Twitter. A auditoria deverá continuar apesar do desligamento.

É possível que os criadores do software tenham decidido interromper o desenvolvimento porque a ferramenta é muito antiga. O desenvolvimento "terminou em 5/2014 depois que a Microsoft encerrou o suporte ao Windows XP", disse a mensagem no SourceForge. "O Windows 8/7 / Vista e versões posteriores ofereceram suporte integrado para discos criptografados e imagens de disco virtual". Com a criptografia incorporada em muitos dos sistemas operacionais por padrão, os desenvolvedores podem achar que o software não é mais necessário.

Para tornar as coisas ainda mais obscuras, parece que um ticket foi adicionado em 19 de maio para remover o TrueCrypt do sistema operacional seguro Tails (também outro favorito do Snowden). Seja como for, fica claro que ninguém deveria estar usando o software neste momento, alertou Cluley.

"Seja boato, hack ou final de vida genuíno do TrueCrypt, é claro que nenhum usuário consciente de segurança se sentirá confortável em confiar no software após esse desastre", escreveu Cluley.

Truecrypt desligado; o que usar agora para criptografar seus dados