TrueCrypt可能是CIA的后门程序
作者:est
假如一个你常用的加密软件,开源、免费,最终被发现是CIA的后门程序。你有什么感觉?
看cnBeta的这个新闻评论:
热门评论
匿名人士 发表于 2008-07-05 22:53:06
这个软件很好,一直用它来加密一个盘放片片。
绝对不比其他的商业软件差。
回复 支持(52) 反对(2) 举报
匿名人士 发表于 2008-07-05 23:01:52
非常好用! 我一直用它保hide 我的运动 秘籍。
回复 支持(10) 反对(0) 举报匿名人士 发表于 2008-07-05 23:05:58
非常好用! 我一直用它保存我的FWC秘籍。
回复 支持(7) 反对(0) 举报匿名人士 发表于 2008-07-05 22:44:25
免费吗?
回复 支持(5) 反对(0) 举报匿名人士 发表于 2008-07-05 23:00:49
每个盘都有片子,正缺个加密的工具
回复 支持(5) 反对(0) 举报
在看看reddit上最近掀起了对TrueCrypt的一些质疑。
No one knows who wrote TrueCrypt. No one knows who maintains TC. Moderators on the TC forum ban users who ask questions. TC claims to be based on Encryption for the Masses (E4M). They also claim to be open source, but do not maintain public CVS/SVN repositories and do not issue change logs. They ban folks from the forums who ask for change logs or old source code. They also silently change binaries (md5 hashes change) with no explanation… zero. The Trademark is held by a man in the Czech Republic ((REGISTRANT) Tesarik, David INDIVIDUAL CZECH REPUBLIC Taussigova 1170/5 Praha CZECH REPUBLIC 18200.) Domains are registered private by proxy. Some folks claim it has a backdoor. Who Knows? These guys say they can find TC volumes:
http://16systems.com/TCHunt/index.html
For these reasons, I won’t use it. Encryption is important and TC looks great and makes great claims, but TC should be more transparent.
TrueCrypt的虽然是开源软件,但是很奇怪的找不到任何CVS/SVN/GIT/Hg源码托管和版本控制。虽然可以下载到源码包,但是版本很旧,你自个儿编译的话,由于系统版本、内核版本、编译工具的细微差别,99%的可能性你编译出来的和官方发布的二进制版本不一样。而且有这样一个故事
Let me tell you a little story. In 1983, during his Turing Award lecture, Ken Thompson admitted to a back door in the UNIX kernel which enabled him to log in. Because UNIX was distributed as source, he was concerned about being discovered. So instead he wrote the C compiler to recognize that it was compiling the kernel, and to insert the relevant code into the binary during compilation. But because the C compiler was also distributes as source, he wrote the compiler so that it would recognize it was compiling a copy of itself, and then insert the relevant recognition code into the new C compiler. The result: a back door installed in an operating system distributed entirely as source code (without the back door).
So I don’t think your claim is valid.
http://cm.bell-labs.com/who/ken/trust.html
有人给出了替代方案:FreeOTFE
假如,仅仅是假如TrueCrypt是CIA的邪恶 后门程序,不得不说这帮淫太smart ass了。在Windows里留后门?风险太大被曝光了肯定轰动全世界。但是做一个李鬼式的开源的、免费软件,恰恰能够收集很多绝密资料。开源软件有几个 hidden的属性,首先是不适用反垄断法。微软的浏览器真的很烂吗?真的很烂。为什么不做一个很好的呢?因为要反垄断。你真的认为微软没有实力去把XP默认的画图做成photoshop吗?Ubuntu就不同。开源,所以一切bad ass的好软件都可以统统集成到系统里,而且司法部没话说。其次,开源是免责的。顾客买了你的软件,你就得为软件负责吧。免费的软件呢?FLOSS软件有一句很著名的话
THE SOFTWARE IS PROVIDED “AS IS”, WITHOUT WARRANTY OF ANY KIND
就算是CIA的后门,你也没得话说。你自己情愿去用这个软件的。因为这个东西恰好利用了人们的心理学缺陷,逻辑非常精明:见不得人的东西才会加密,加密的东西肯定都是有一定情报价值的。其次,普通大众对开源有一种近乎愚昧的迷信,认为开源就是阳光透明的,开源等于安全吗?
至于中国,情况就更加特殊了。软件传到中国,一般都是在天空、华军甚至多特这样的地方下载的汉化版,“开源”只不过又是一个金光闪闪的牙防组标志罢了。跟普通二进制闭源发行的软件包没有任何区别。企业内部、个人对TrueCrypt这样的软件的盲目信任,对开源软件默认开绿灯white list,不得不说有一定风险那。。。
——————–#鬼仔注:摘了下面两个评论———————
Izual_Yang:
确 实很可疑,不过更奇怪的是那个tchunt网站吧,就俩预览图,还是trial version。其实我是想等高手来解释一下什么地方最容易做手脚,第三方的加密算法中能不能夹带私货——可惜大部分都是没有实质内容,因为软件以外的原 因指责软件不安全的评论。那跟单纯的truecrypt黑有啥区别?简直让我想起这个帖子: http://www.derkeiler.com/Newsgroups/comp.security.misc/2005-11/0327.html
poco :
没有cvs/svn的确很可疑。搜了一下,好像很早就有人怀疑它了。
甚至有传言居然说作者早就跑了(http://groups.google.com/group/comp.security.misc /browse_thread/thread/95d13057488da241/11a409a92002b980?lnk=gst& q=truecrypt#11a409a92002b980),wikipedia上也有相似的说明(http://en.wikipedia.org /wiki/Truecrypt#Controversy)这么可疑,马上卸了~
自己的沙发哇
那我板凳
这下囧了..我用什么呢
我也一直在用Truecrypt。
文中推荐了一个,可以试下。
PGP呢
我不怎么喜欢PGP,太麻烦。。。
Truecrypt小巧方便。
拜托,如果按照这些人的逻辑,用windows比用Truecrypt更危险!
windows的private预留的加door的技术有多少?能给多少软件用?一个软件的door被发现后,有多少引用该private预留door的软件将会被发现???带来的后果是啥????CIA臭名世界,US的软件没人敢用!
而且一个winrar用户,一个Truecrypt用户,比如这2个软件都有door,是winrar的用户喜欢反编译增加自己的安全,还是Truecrypt的用户喜欢反编译增加自己的安全呢???哪个最容易被人发现呢???
而且按照CIA的作风,即使弄door,也绝对不是反弹式的door,发包的door,应该提取证据时候的”door”,至少我在边界设备嗅了1个来月(没夸张,还有更长的)暂没发现什么
luks…..评价下?
tc最新的6.1a的源代码可以下到。到底谁在维护确实不清楚
大家可以自问一下,看看自己有几个文件是不能被美国政府看到的?至于国家单位,自有一套保密体系,基本是用不上TC软件的
你这文章完全是瞎扯!用了这么多年的truecrypt了,一直很好!
发表这篇文章的却是五毛。因为我们信任,所以使用,难道使用qq 瑞星后门这么多的垃圾,你们就高兴,因为你们又能监控我们了,去死吧
发表这篇文章的却是垃圾,他自已破解不了TC,就想要我们不用TC。想监控我们了,滚吧,我们才不会上当!
研究过Truecrypt的源码,确实是很好的。如不信任可自行编译。二进制和源码一向同时发布,完全不存在版本旧的问题。加上文章其余都是假想和杜撰,无可信之处。
TC采用的加密算法要暴力破解确实比较麻烦,因为连加密算法、Hash算法都要逐个试一遍,速度很慢
各种防火墙从没报过警,何来后门?
说话要讲根据。
就是。
最新的源代码不是摆在那吗?写这文的人不是瞎了眼的迫害妄想症患者,就是居心不良的某某某。
如果你设置的密码有十六位以上,大小写,还有数字符号,产生的加密档你就让人破解去吧。
曾经看过一文章,说复杂度高的可能要几十上百年,当然是以目前的技术为前提。
听说RAR可以秒破。不知真假。求验证。
RAR秒破倒不知道
曾经用个工具在不到两个小时破解9位字母加数字密码
发表这篇文章的却是五毛。因为我们信任,所以使用,难道使用qq 瑞星后门这么多的垃圾,你们就高兴,因为你们又能监控我们了,去死吧
LZ你在造谣呢吧?TrueCrypt的源码都是同步更新的,不知LZ是何用意????
TrueCrypt 如果有后门,比如破解的后门,就是说可以被这些人破解,这个很难确定。TrueCrypt没有网络木马后门,这个可以确定,我测试过。那么就算CIA能够破解,也不影响使用,呵呵,只要这里的人不能破解就行了,呵呵。
首先,Truecrypt使用时没有任何流量记录,这是最关键的。如果留门却没有流量的话,等于没留。
其次,我们有伟大的GFW,美国小小的CIA能过来么= =
我用来加密日记,呵呵,CIA想要就拿去好了。
这文章也太假了,谁说没有新的源代码,http://www.truecrypt.org/downloads2 就是它的最新源代码的下载地址
这篇文章可以值5块,打赏!
我的东东全不怕CIA看见,人家的社会和文化完全不同于我们。
我怕的是……不好说了。