突然のTrueCrypt終了宣言騒動に関するつぶやき
-
- いいね!4
Koichiro Watanabe
@felicsjp
@MasafumiNegishi ワッセナーの対象がフォレンジックツールにも広がるとかいう話が出てまして、それ絡みかとかんぐっちゃいますね。
2014-05-29 10:16:14
Masafumi Negishi
@MasafumiNegishi
“Bombshell TrueCrypt advisory: Backdoor? Hack? Hoax? None of the above? | Ars Technica” htn.to/aBjTxef
2014-05-30 07:58:57突然の通知文から一夜明けて
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
TrueCryptの真相云々で騒いでる人で実際に使ってて困るから騒いでる人ってどれ程いるんだろうか。私は多くのマシンを Hidden Volume & Hidden OS で運用しているので真相の如何に関わらず実はとても困っている。 pic.twitter.com/cvZ67DEeHJ
2014-05-30 07:38:37
拡大
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
そもそもTC使っててDecryptしたい場合は既にインストールされている7.1aとかでDecryptしてTCアンインスコすればいいのに何でDecrypt専用の7.2が新たに必要なの? truecrypt.sourceforge.net
2014-05-30 08:39:31
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
それは7.1a以前のバージョンにDecryptにも関わる致命的なセキュリティ問題があったからそれを修正した7.2を使えってこと?
2014-05-30 08:40:13
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
あと、過去のソフトウェア本体を消し去るのは百歩譲るとしてドキュメント含む全ての情報を抹消するってのはもう単にソフトウェアの欠陥だけじゃなくて利権者による強制排除とか何らかの人為的な策略があるとしか思えないよ(・_;)
2014-05-30 08:40:40
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
だとすると開発者から秘密鍵ぶん取ってまでご丁寧にコードサイニングしたDecrypt専用のバージョン7.2だけを提供するのも分かる、いやむしろこれだけ情報が少ないとそのストーリーしか納得できない。
2014-05-30 08:41:21
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
このままで行っちゃうと、CC(ISO/IEC15408)やIPAのJISECで模範事例として公開されているTC関連のドキュメントも全て消し去られる運命にあるのかな(・_;)(・_;)
2014-05-30 08:42:20
Masafumi Negishi
@MasafumiNegishi
昨日の TrueCryptの件、いまのところ新しい情報はないですね。不正な改ざんなどではなく、TrueCrypt開発チームによる正規なものだという見方がやや有力ですが、あまりにも唐突かつ乱暴なやり方だったのでその理由についてさまざまな憶測を呼んでいます。
2014-05-30 09:14:36
Masafumi Negishi
@MasafumiNegishi
一つの可能性として、Lavabitのケースと類似しているとの指摘があります。つまり、拒否することが難しい類の裁判所命令(しかも内容について一切公開できない)を受け取った開発チームが、従うことを拒んだ結果なのではないかと。あるいは開発チーム自らの意思ではなく強制的なものなのかも。
2014-05-30 09:16:44
Masafumi Negishi
@MasafumiNegishi
他にも考えられる可能性を挙げたらきりがないですが、いまのところ情報が少ないので、いずれも決定打に欠けます。しばらく事態の推移を見守るしかないようです。
2014-05-30 09:19:52
Masafumi Negishi
@MasafumiNegishi
状況が不透明なので、今公開されている 7.2のインストールは個人的にはオススメしません。いますぐ他の暗号化ソフトに移行する必要があるのか、そこまでの緊急性があるのか、判断する材料がないのでわかりません。私自身も TrueCrypt使ってますが、いますぐどうこうする気はないです。
2014-05-30 09:23:13
Masafumi Negishi
@MasafumiNegishi
ところで OCAP (Open Crypto Audit Project)は TrueCrypt 7.1aに対する Auditを現在行っていて、第一フェーズの報告書が先日公開されたばかりです。OCAPは引き続きAuditプロジェクトは完了するまで継続するつもりのようです。
2014-05-30 09:34:32
Masafumi Negishi
@MasafumiNegishi
また OCAPは TrueCryptの開発が本当に中止された場合、何らかの形で開発を引き継いで継続するシナリオを模索していることを明らかにしています。間も無くなんらかのアナウンスをだす意向のようです。
2014-05-30 09:39:55
北河拓士🔰
@kitagawa_takuji
@0x009AD6_810 OpenTrueCryptが出ることに期待しています。締め上げ暗号分析できる組織は限られると思うので、そのような組織に目を付けられないようにすることですねw
2014-05-30 10:24:51
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
@kitagawa_takuji |д゚) そうですね。私もOpenTrueTrueCryptに期待しています。もはや今回の件がどっちに転んだとしても...
2014-05-30 10:30:27開発者から返信が来た模様「もはや興味を失った」
北河拓士🔰
@kitagawa_takuji
TrueCryptの開発者"David"からメールの返信が来た模様 twitter.com/stevebarnhart/… 「Bitlockerで十分。Windowsがプロジェクトのゴールだった。もはや興味を失った」 まとめ > grc.com/misc/truecrypt…
2014-05-30 12:27:56
Masafumi Negishi
@MasafumiNegishi
TrueCrypt開発者からメールの返信がきたらしいのだが、その内容を信じるのであれば、10年やってきてもう興味を失っただけ、政府からの接触など特になし、コードのライセンス提供には否定的、と…うーむ。
2014-05-30 12:36:25
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
@MasafumiNegishi コードだけでなくドキュメントなども含めて全ての開発資産を突然消し去るにしては弱い動機付けですよね。ホントにここがプロジェクトゴールだったとしても。
2014-05-30 13:29:47
北河拓士🔰
@kitagawa_takuji
TrueCryptの開発者とのメールのコンタクトに成功したのは、Steven Barnhart氏、OpenCryptAuditのMatthew Green氏との会話で明らかにした。 twitter.com/stevebarnhart/…
2014-05-30 12:38:09