NSA避免再爆丑闻，停止了加密软件Truecrypt的开发 (转载) - 未名空间MITBBS历史存档

国际科技财经博客移民网络热点娱乐民生时事公众号

Redian新闻

>未名空间

>PDA - 掌中宝

NSA避免再爆丑闻，停止了加密软件Truecrypt的开发 (转载)

NSA避免再爆丑闻，停止了加密软件Truecrypt的开发 (转载)# PDA - 掌中宝

d*n2014-05-29 07:05

1 楼

十几年前就知道这牛人了
今天才知道在Facebook工作
有人跟他pair programming过么
简介
http://en.wikipedia.org/wiki/Kent_Beck
Kent Beck Blog
http://www.threeriversinstitute.org/blog/

m*52014-05-29 07:05

2 楼

【以下文字转载自 Military 讨论区】
发信人: mitbbs2715 (好吃不懒做), 信区: Military
标题: NSA避免再爆丑闻，停止了加密软件Truecrypt的开发
发信站: BBS 未名空间站 (Thu May 29 11:36:19 2014, 美东)
审计估计过不了，于是干脆停了
大家安了吧，在NSA面前没有秘密
http://it.slashdot.org/story/14/05/28/2126249/truecrypt-website
Several readers sent word that the website for TrueCrypt, the popular disk
encryption system, says that development has ended, and Windows users should
switch to BitLocker. A notice on the site reads, "WARNING: Using TrueCrypt
is not secure as it may contain unfixed security issues. ... You should
migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk
images supported on your platform." It includes a link to a new version of
TrueCrypt, 7.2, and provides instructions on how to migrate to BitLocker.
Many users are skeptical of a site defacement, and there's been no
corroborating post or communication from the maintainers. However, the
binaries appear to be signed with the same GPG key that the TrueCrypt
Foundation used for previous releases. A source code diff of the two
versions has been posted, and the new release appears to simply remove much
of what the software was designed to do. It also warns users away from
relying on it for security. (The people doing an audit of TrueCrypt had
promised a 'big announcement' soon, but that was coincidental.) Security
experts are warning to avoid the new version until the situation can be
verified.

d*n2014-05-29 07:05

3 楼

有人跟这位牛人工作过么

p*a2014-05-29 07:05

4 楼

TrueCrypt是NSA开发的？

should
TrueCrypt

【在 m********5 的大作中提到】

: 【以下文字转载自 Military 讨论区】
: 发信人: mitbbs2715 (好吃不懒做), 信区: Military
: 标题: NSA避免再爆丑闻，停止了加密软件Truecrypt的开发
: 发信站: BBS 未名空间站 (Thu May 29 11:36:19 2014, 美东)
: 审计估计过不了，于是干脆停了
: 大家安了吧，在NSA面前没有秘密
: http://it.slashdot.org/story/14/05/28/2126249/truecrypt-website
: Several readers sent word that the website for TrueCrypt, the popular disk
: encryption system, says that development has ended, and Windows users should
: switch to BitLocker. A notice on the site reads, "WARNING: Using TrueCrypt

m*52014-05-29 07:05

5 楼

应该是NSA出资出人的
后来叫嚣审计，发现很多漏洞和后门，眼看过不了，就整个项目直接停了，如果是资金
问题，完全可以fork出来交给社区，如果是自由的代码贡献人和管理人，不可能全都同
时停掉，这种情况最大可能就是NSA的项目终止，人员抽调去干别的了。
所以我一直说，加密软件，用自己写的才好，别贪什么功能繁多

【在 p*****a 的大作中提到】

: TrueCrypt是NSA开发的？
:
: should
: TrueCrypt

m*52014-05-29 07:05

6 楼

http://arstechnica.com/security/2014/05/truecrypt-is-not-secure
Last year, amid revelations that the NSA can decode large swaths of the
Internet's encrypted data, supporters ponied up large sums of money to audit
TrueCrypt. Results from phase one of the audit released last month revealed
no evidence of any backdoors. Additional audits were pending.
其他上当出钱给他们开发的，要求audit,结果phase one刚结束，其他的audit正要开始
的时候项目组直接消失了，LoL

【在 m********5 的大作中提到】

: 应该是NSA出资出人的
: 后来叫嚣审计，发现很多漏洞和后门，眼看过不了，就整个项目直接停了，如果是资金
: 问题，完全可以fork出来交给社区，如果是自由的代码贡献人和管理人，不可能全都同
: 时停掉，这种情况最大可能就是NSA的项目终止，人员抽调去干别的了。
: 所以我一直说，加密软件，用自己写的才好，别贪什么功能繁多

c*n2014-05-29 07:05

7 楼

擦不过大家早都猜到这个神奇的软件背后就是nsa
话说难道bitlocker会更好点
不过都没用真把你人抓起来了都不用打剥夺睡眠48小时啥都出来了

m*52014-05-29 07:05

8 楼

我上次在这里劝大家不要用truecrypt，结果一堆人骂我来着
说truecrypt已经开始审计
我当时就说初审能过，之后未必

【在 c******n 的大作中提到】

: 擦不过大家早都猜到这个神奇的软件背后就是nsa
: 话说难道bitlocker会更好点
: 不过都没用真把你人抓起来了都不用打剥夺睡眠48小时啥都出来了

s*m2014-05-29 07:05

9 楼

NSA以外的人能破解吗？我这辈子估计NSA找我的可能不大。

m*52014-05-29 07:05

10 楼

开源的，如果真植入漏洞
特别是大家现在知道有漏洞，那么别人破解的机会也很大

【在 s*****m 的大作中提到】

: NSA以外的人能破解吗？我这辈子估计NSA找我的可能不大。

c*n2014-05-29 07:05

11 楼

嗯上次heartbleed之后真心觉得别折腾了
不过年纪大了感觉也没啥敏感数据要看看去呗

【在 m********5 的大作中提到】

: 开源的，如果真植入漏洞
: 特别是大家现在知道有漏洞，那么别人破解的机会也很大

m*52014-05-29 07:05

12 楼

除非全部自己写
不然没有用加密软假的必要
用最简单的加密手段足矣

【在 c******n 的大作中提到】

: 嗯上次heartbleed之后真心觉得别折腾了
: 不过年纪大了感觉也没啥敏感数据要看看去呗

n*12014-05-29 07:05

13 楼

安全是个自上而下的问题，如果上层的操作系统有猫腻，你自己写都没用。别人(包括
微软)在你进程上挂个debug的钩子就行了。

p*c2014-05-29 07:05

14 楼

bitlocker不是只能对physical硬盘而且整个硬盘的？

ra2014-05-29 07:05

15 楼

用加密软件就是让别人破解起来困难些而已。这里说的是一般人。NSA要是盯上你了，
怎么做都没用。
比起明文来，我还是需要加密后再放到网上，就用TC。

【在 m********5 的大作中提到】

: 我上次在这里劝大家不要用truecrypt，结果一堆人骂我来着
: 说truecrypt已经开始审计
: 我当时就说初审能过，之后未必

c*n2014-05-29 07:05

16 楼

TC那个container模式还是很适合这个包括放dropbox
改动后sync也就sync一点

【在 ra 的大作中提到】

: 用加密软件就是让别人破解起来困难些而已。这里说的是一般人。NSA要是盯上你了，
: 怎么做都没用。
: 比起明文来，我还是需要加密后再放到网上，就用TC。

v*e2014-05-29 07:05

17 楼

土鳖应该好好学学NSA这些手段，屁都搞不出一个还整天被全球正义力量骂的狗血喷头

n*22014-05-29 07:05

18 楼

> 后来叫嚣审计，发现很多漏洞和后门，眼看过不了
同志们不要传谣。第一遍的审计还没有发现重大的漏洞。审计者反而越来越喜欢
TrueCrypt了。
看这里 https://twitter.com/matthew_d_green
但是整个TrueCrypt软件停止也是很令人吃惊的事情。

【在 m********5 的大作中提到】

l*z2014-05-29 07:05

19 楼

楼主胡说八道吧. TC是开源的,能搞什么后门？
估计是ＮＳＡ对ＴＣ破解不了，所以要求他们不要开发这个软件．ｗｉｎｄｏｗｓ那个
估计是有后门

【在 n*********2 的大作中提到】

: > 后来叫嚣审计，发现很多漏洞和后门，眼看过不了
: 同志们不要传谣。第一遍的审计还没有发现重大的漏洞。审计者反而越来越喜欢
: TrueCrypt了。
: 看这里 https://twitter.com/matthew_d_green
: 但是整个TrueCrypt软件停止也是很令人吃惊的事情。

m*52014-05-29 07:05

20 楼

第一次审计以后出资人并不满意
接下来还有好几个审计要做
现在估计审到一半，团队就玩儿消失了，因为知道过不了
有漏洞是他们自己承认的: WARNING: Using TrueCrypt is not secure as it may
contain unfixed security issues

【在 n*********2 的大作中提到】

m*52014-05-29 07:05

21 楼

开源的不能搞后门？ LoL
Orz
我还是绕道走吧

【在 l****z 的大作中提到】

: 楼主胡说八道吧. TC是开源的,能搞什么后门？
: 估计是ＮＳＡ对ＴＣ破解不了，所以要求他们不要开发这个软件．ｗｉｎｄｏｗｓ那个
: 估计是有后门

x*k2014-05-29 07:05

22 楼

先知，能给个你上次发的帖子的link，让钓丝们膜拜以下吗？

【在 m********5 的大作中提到】

: 我上次在这里劝大家不要用truecrypt，结果一堆人骂我来着
: 说truecrypt已经开始审计
: 我当时就说初审能过，之后未必

c*y2014-05-29 07:05

23 楼

故意不对溢出做保护，或者把if语句次序弄错，
很可能几年都不会有人发现
这是开源放后门的一种方法

【在 l****z 的大作中提到】

: 楼主胡说八道吧. TC是开源的,能搞什么后门？
: 估计是ＮＳＡ对ＴＣ破解不了，所以要求他们不要开发这个软件．ｗｉｎｄｏｗｓ那个
: 估计是有后门

m*y2014-05-29 07:05

24 楼

OpenSSL还是开源的呢，NSA还不是派人植入了Heart Bleed。其实开源更容易植入后门
，老汉今天发现一个溢出，补上了，但这个补丁从来也没有进入稳定版本，一查，靠，
有人merge覆盖了老汉的补丁。NSA有无数的办法分散老汉注意力，好的可以派个天使投
资来，把老汉的一个臭点子吹得天花乱坠，几年时间就赔进去了。坏的就查老汉的税，
臭点的把老汉收藏的蜡笔小新翻出来，hmm，child porno……飞机失事、通勤车祸这些
都老掉牙了，就一个溢出还不值得。直接再找个地方放进去就是了，一个层须猿一年要
犯多少低级错误啊,开源的水平本来就良莠不齐，谁知道呢？
不过上面那个说不要用Truecrypt，呵呵，你还能不用微软、水果、狗狗吗？其实，这
些公司不都是拿了NSA的seed money开起来的，然后在NSA默认下，再抽股民的血上规模
的的？想想就知道了，类似的公司一堆，比它们更强的也有，凭什么是它们？
以上说的NSA，都是泛指啦，老汉哪里知道哪个部门是干嘛的。老汉开个公司想行贿一
下NSA，猪头还不知道往哪个庙门送呢？当然这样很不公平，滋生裙带资本主义。所以
现在云计算是个方向。云的后门都是开好的，大家的应用在上面跑，NSA一目了然，想
停就停，想改个结果就改个结果。这才叫level playing field，人人都能开创下一个
微软，而不是非得有个跟哪个高官都睡得上觉的董事妈。

【在 l****z 的大作中提到】

: 楼主胡说八道吧. TC是开源的,能搞什么后门？
: 估计是ＮＳＡ对ＴＣ破解不了，所以要求他们不要开发这个软件．ｗｉｎｄｏｗｓ那个
: 估计是有后门

m*y2014-05-29 07:05

25 楼

都这样，老汉要是说FLAG都是NSA出钱开的，一定被大家笑死的。但奇怪的就是，经过
市场大浪淘沙，最后剩下的都是NSA的合作者。不光是市场，想股市这种按说不可测、
不可估的，也一样受NSA影响。
老汉自己也是不识庐山真面目。有时候发现某个技术方向非常可能是受到NSA影响的时
候，拼命回想自己公司怎么走上这条道路，怎么也看不出当年会议室里哪个人会是NSA
特务。当然，老汉也不能说自己脑壳里被NSA装了天线，每天自动接受指令。老汉智商
已经剩的不多了，不能象虾蟹那样自己侮辱了。只能说，这行干久了，自然就会投其所
好，自发的维护NSA的最高利益。
或者反过来说，不听NSA话的，就会被淘汰，象Yahoo。杨致远被揪到国会示众，又强迫
Yahoo卖给M$,当然也不能说强迫，就象老中父母爱说的，为你好。不听话，就把你边缘
化，很难吗？Yahoo最后还不是得撵他走？

audit
revealed

【在 m********5 的大作中提到】

: http://arstechnica.com/security/2014/05/truecrypt-is-not-secure
: Last year, amid revelations that the NSA can decode large swaths of the
: Internet's encrypted data, supporters ponied up large sums of money to audit
: TrueCrypt. Results from phase one of the audit released last month revealed
: no evidence of any backdoors. Additional audits were pending.
: 其他上当出钱给他们开发的，要求audit,结果phase one刚结束，其他的audit正要开始
: 的时候项目组直接消失了，LoL

n*22014-05-29 07:05

26 楼

<>
Do you have any hard evidence that Robin Seggelmann, who caused the
Heartbleed bug, was hired by the No Such Agency?
As for TrueCrypt, note that
1) it is endorsed by Edward Snowden,
2) it is being used by Bruce Schneier,
3) its source code is available and its binary can be regenerated and
verified https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-
analysis/),
4) its first audit revealed no serious security bugs
https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_
TrueCrypt_Security_Assessment.pdf).
With all these, it is too early to say that it has been sabotaged by the
three letter agency.

g*t2014-05-29 07:05

27 楼

白痴人真多，明明是nsa无法破解truecrypt，强迫项目下马，

c*i2014-05-29 07:05

28 楼

应该是NSA逼迫的，7.2不安全，但是不得不移除7.1a之前的版本。
NSA这么厉害，snowden还是用truecrypt逃离美国爆出大料。
另外，NSA会不会搜集的资料过多，已经陷入了信息的汪洋大海之中了？

a*o2014-05-29 07:05

29 楼

没错，楼上很多臆想啊。。。truecrypt最牛逼的是可以真假两层密码，告诉你一个密
码你都不知道是不是真的进入了你要看的地方，这才是NSA最恼火感觉失控的地方。
尼玛啥时候见过NSA为了草民的安全而为难一个软件？还不是truecrypt给他们带来了麻
烦才会有这么一出么。但凡政府说不安全的，那就是草民的安全港啊。

【在 g*******t 的大作中提到】

: 白痴人真多，明明是nsa无法破解truecrypt，强迫项目下马，

n*12014-05-29 07:05

30 楼

看了很多报道，个人判断：NS*胁迫truecrypt下马。
所以大家该用的继续用，没啥事。好像瑞典人还fork了这项目，所以不用担心没人维护
。

c*n2014-05-29 07:05

31 楼

给个链接？
丫下次如果还更新然后那边审计没问题
考虑给丫稍微捐点钱

【在 n****1 的大作中提到】

: 看了很多报道，个人判断：NS*胁迫truecrypt下马。
: 所以大家该用的继续用，没啥事。好像瑞典人还fork了这项目，所以不用担心没人维护
: 。

n*12014-05-29 07:05

32 楼

http://truecrypt.ch/

【在 c******n 的大作中提到】

: 给个链接？
: 丫下次如果还更新然后那边审计没问题
: 考虑给丫稍微捐点钱

k*r2014-05-29 07:05

33 楼

就是，自己写个128bit的xor程序，只要key不漏了，还真没啥好办法破。

【在 m********5 的大作中提到】

: 除非全部自己写
: 不然没有用加密软假的必要
: 用最简单的加密手段足矣

n*22014-05-29 07:05

34 楼

You aren't serious, are you?
If you are sarcastic, this made my day.
If you are serious, then you do not know what you are talking about. Thank
god that you only take care of your own data.

【在 k*****r 的大作中提到】

: 就是，自己写个128bit的xor程序，只要key不漏了，还真没啥好办法破。

n*12014-05-29 07:05

35 楼

I guess he only have 256 bit of data to be protected, so 128 bit xor is more
than enough.

【在 n*********2 的大作中提到】

: You aren't serious, are you?
: If you are sarcastic, this made my day.
: If you are serious, then you do not know what you are talking about. Thank
: god that you only take care of your own data.

ra2014-05-29 07:05

36 楼

niu

【在 k*****r 的大作中提到】

: 就是，自己写个128bit的xor程序，只要key不漏了，还真没啥好办法破。

kx2014-05-29 07:05

37 楼

假如破解者随便搞一个密码都能进入假数据，那么破解者就应该知道自己进的是假数据
了?
假如只让一部分错误密码能进入假数据，那么这样也跟没设假密码差不多?
而且假数据要编的像那么回事，也挺费成本的吧?

【在 a*o 的大作中提到】

: 没错，楼上很多臆想啊。。。truecrypt最牛逼的是可以真假两层密码，告诉你一个密
: 码你都不知道是不是真的进入了你要看的地方，这才是NSA最恼火感觉失控的地方。
: 尼玛啥时候见过NSA为了草民的安全而为难一个软件？还不是truecrypt给他们带来了麻
: 烦才会有这么一出么。但凡政府说不安全的，那就是草民的安全港啊。

d*82014-05-29 07:05

38 楼

是两个或多个真实数据不同的密码打开不同的数据不能打开的部分看起来就是随机数

【在 kx 的大作中提到】

: 假如破解者随便搞一个密码都能进入假数据，那么破解者就应该知道自己进的是假数据
: 了?
: 假如只让一部分错误密码能进入假数据，那么这样也跟没设假密码差不多?
: 而且假数据要编的像那么回事，也挺费成本的吧?

l*z2014-05-29 07:05

39 楼

人家不是已经指出来了嘛?
Using TrueCrypt is "N"ot "S"ecure "A"s ...

【在 m********5 的大作中提到】

: 第一次审计以后出资人并不满意
: 接下来还有好几个审计要做
: 现在估计审到一半，团队就玩儿消失了，因为知道过不了
: 有漏洞是他们自己承认的: WARNING: Using TrueCrypt is not secure as it may
: contain unfixed security issues