TrueCrypt プロジェクトは水曜日に突然崩壊し、情報セキュリティ業界の人々は頭を悩ませ、代替案を急いで提案することになった。
過去 1 時間の間に、暗号化の第一人者 Bruce Schneier 氏は、データの暗号化に Symantec の PGPDisk に戻ったと語りました。
「TrueCryptで何が起こっているのか全く分かりません」と彼はブログに記した。「TrueCrypt開発者への大規模なハッキング、Lavabitのような強制シャットダウン、そしてTrueCrypt内部の権力闘争といった憶測が飛び交っています。今後の展開を見守るしかないでしょう。」
The Registerが報じたように、truecrypt.org の公式 Web サイトへの訪問者は SourceForge がホストするサイトにリダイレクトされ、人気のマルチプラットフォーム ディスク暗号化ソフトウェアは安全ではないと警告されました。
警告: TrueCrypt の使用は、未修正のセキュリティ問題が含まれている可能性があるため安全ではありません。このページは、TrueCrypt によって暗号化された既存のデータの移行を支援するためにのみ存在します。
TrueCryptの開発は、MicrosoftがWindows XPのサポートを終了した2014年5月に終了しました。Windows 8/7/Vista以降では、暗号化ディスクと仮想ディスクイメージの統合サポートが提供されています。このような統合サポートは他のプラットフォームでも利用可能です(詳細はこちらをクリックしてください)。TrueCryptで暗号化されたデータは、お使いのプラットフォームでサポートされている暗号化ディスクまたは仮想ディスクイメージに移行する必要があります。
上記のメッセージは、今週リリースされ SourceForge サイトから入手可能な TrueCrypt の新バージョンの開発者署名済み実行ファイルに含まれています。バージョン 7.2 ではインストール中に警告が表示され、この使いやすいツールからファイルを移行するようにユーザーに促します。
この新しいビルドは、データのさらなる暗号化を防ぐための修正が加えられています。機密情報の保護には利用しないでください。以前のバージョン7.1aは2012年にリリースされました。
当初、truecrypt.org の変更は、極秘の TrueCrypt 開発チームを危険にさらした悪意のある人物による Web 破壊行為のように見えました。
しかし、暗号署名されたバイナリに上記の警告が含まれていたことは、メッセージが実際には TrueCrypt の匿名の開発者、またはその秘密鍵を所有している誰かから送信されたことを強く示唆しています。
米国メリーランド州ジョンズ・ホプキンス大学のコンピュータサイエンス教授マシュー・グリーン氏は、「正体不明のハッカーがTruecryptの開発者を特定し、署名鍵を盗み、サイトをハッキングした可能性は低いと思う」とコメントした。
グリーン教授とクラウドセキュリティの専門家でエンジニアのケン・ホワイト氏は、ダウンロードとビルドが可能なTrueCrypt 7.1aのソースコード監査の取り組みを主導しています。先月、このソフトウェアは独立したコード品質検査の第一段階を無事クリアし、「バックドアや意図的な欠陥の証拠は見つからなかった」と発表されました。草の根運動によって専門家による監査費用として7万ドルが調達されましたが、最近の状況からすると、この資金は無駄に使われた可能性が示唆されています。監査プロジェクトの進捗状況に関する別の発表が本日行われる予定でした。
「今朝、理事会が開かれ、正午には計画を発表する予定です。地域社会の皆様は、私たちが進む方向性に満足していただけると思います」とホワイト氏はレジスター紙に語った。
