セキュリティウォッチ Truecryptがシャットダウンしました。 データを暗号化するために今すぐ使用するもの

Truecryptがシャットダウンしました。 データを暗号化するために今すぐ使用するもの

ビデオ: 不要嘲笑我們的性 (十一月 2024)

ビデオ: 不要嘲笑我們的性 (十一月 2024)
Anonim

TrueCryptを使用してデータを暗号化する場合は、ファイル、さらにはハードドライブ全体を保護するために、別の暗号化ソフトウェアに切り替える必要があります。

オープンソースで無料で入手可能なTrueCryptソフトウェアは、主要ベンダーから独立していると認識されていたため、過去10年間人気がありました。 ソフトウェアの作成者は公に特定されていません。 エドワード・スノーデンはTrueCryptを使用したと言われ、セキュリティの専門家であるブルース・シュナイアーもソフトウェアの有名な支持者でした。 このツールにより、フラッシュドライブまたはハードドライブを暗号化されたボリュームに簡単に変換し、そこに保存されているすべてのデータをpr索好きな目から守ることができました。

神秘的なクリエイターは、水曜日にTrueCryptを突然シャットダウンし、使用するのは安全ではないと主張しました。 「警告:TrustCryptの使用は、未解決のセキュリティ問題が含まれている可能性があるため、安全ではありません。」TrueCryptのSourceForgeページのテキストを読んでください。 「TrueCryptで暗号化されたデータは、プラットフォームでサポートされている暗号化されたディスクまたは仮想ディスクイメージに移行する必要があります」とメッセージは述べています。

「今度は、ファイルとハードドライブを暗号化する別の方法を探し始めます」と、独立系セキュリティコンサルタントのGraham Cluley氏は書きました。

コンセンサス:デマではない

最初は、一部の悪意のある攻撃者がサイトを改ざんしたという懸念がありましたが、これがデマではないことがますます明らかになってきています。 SourceForgeサイトでは、TrueCryptの更新バージョン(開発者によってデジタル署名されているため、これはハックではありません)が提供され、インストールプロセス中にBitLockerまたはその他のツールを使用する必要があることをユーザーに通知するアラートがポップアップ表示されます。

「未知のハッカーがTrueCrypt開発者を特定し、署名キーを盗み、サイトをハッキングした可能性は低いと思います」と、ジョンズ・ホプキンス大学の暗号学を専門とするマシュー・グリーン教授は述べました。

次はどうする

このサイトには、ソフトウェアのポップアップアラートと同様に、TrueCryptで暗号化されたファイルをMicrosoftのBitLockerサービスに転送する手順があります。このサービスは、Microsoft Vista UltimateおよびEnterprise、Windows 7 UltimateおよびEnterprise、およびWindows 8 ProおよびEnterpriseに組み込まれています。 TrueCryptバージョン7.2では、ユーザーはファイルを復号化できますが、新しい暗号化ボリュームを作成することはできません。

BitLockerは明らかな代替手段ですが、他にも検討すべきオプションがあります。 SchneierはThe Registerに、データを暗号化するためにシマンテックのPGPDiskに切り替えることを伝えました。 Symantec Drive Encrpytion(シングルユーザーライセンスで110ドル)は、よく知られている暗号化方式であるPGPを使用しています。 DiskCryptorなど、Windows用の他の無料ツールがあります。 セキュリティの専門家The Grugqは昨年、TrueCryptの代替品のリストをまとめましたが、これはまだ有用です。

SANS InstituteのJohannes Ullrichは、Mac OS XユーザーがOS X 10.7(Lion)以降に組み込まれているFileVault 2を使用することを推奨しています。 FileVaultはXTS-AES 128ビット暗号を使用します。これは、NSAが使用するものと同じです。 Ullrich氏によると、Linuxユーザーは組み込みのLinux Unified Key Setup(LUKS)を使用する必要があります。 Ubuntuを使用する場合、オペレーティングシステムのインストーラーには、最初から完全なディスク暗号化を有効にするオプションがあります。

ただし、異なるオペレーティングシステム間を移動するポータブルドライブには、別のツールが必要です。 「PGP / GnuPGが思い浮かびます」とUllrichはInfoSec Handlers Diaryで述べました。

ドイツの会社Steganosは、古いバージョンの暗号化ツール(バージョン15は最新ですが、バージョン14を対象としています)をユーザーに無料で提供していますが、これはあまり理想的ではありません。

未知の脆弱性

TrueCryptにセキュリティの脆弱性がある可能性があるという事実は、ソフトウェアの独立監査が現在進行中であり、そのような報告がなかったことを考えると、不快です。 サポーターは、国​​家安全保障局が大量の暗号化されたデータをデコードする能力を持っているという懸念から、監査のために70, 000ドルを調達しました。 TrueCryptブートローダーを調査した調査の最初のフェーズは、先月リリースされました。 「バックドアや意図的な欠陥の証拠は見つかりませんでした。」 ソフトウェアで使用される暗号化を調べる次のフェーズは、この夏に完了する予定です。

監査に関与した人物の1人であるGreenは、TrueCrypt開発者が計画していることについて事前に警告していないと述べました。 「最後にTruecryptから聞いた:「あなたの監査のフェーズ2の結果を楽しみにしています。あなたの努力に心から感謝します!」と彼はTwitterに投稿しました。 シャットダウンにもかかわらず、監査は継続される予定です。

ソフトウェアが非常に古いため、ソフトウェアの作成者が開発を停止することを決定した可能性があります。 SourceForgeのメッセージによると、開発は「MicrosoftがWindows XPのサポートを終了した後、2014年5月に終了しました」と述べています。 「Windows 8/7 / Vista以降では、暗号化されたディスクと仮想ディスクイメージの統合サポートが提供されていました。」 デフォルトで多くのオペレーティングシステムに暗号化が組み込まれているため、開発者はソフトウェアが不要になったと感じているかもしれません。

さらに複雑にするために、5月19日に追加されたチケットは、セキュアオペレーティングシステムのTails(また別のSnowdenのお気に入り)からTrueCryptを削除するようです。 いずれにせよ、この時点で誰もソフトウェアを使用してはならないことは明らかです、とクルーリーは警告しました。

「デマ、ハック、またはTrueCryptの真の寿命に関係なく、この大惨事の後、セキュリティを意識するユーザーがソフトウェアを安心して信頼できることはないことは明らかです」とCluley氏は述べています。

Truecryptがシャットダウンしました。 データを暗号化するために今すぐ使用するもの