Защита информации в проектах под ударом ЦРУ. Или почему опричники Обамы наехали на TrueCrypt
Важная тема по защите информации в проектах. Скорее всего на TrueCrypt наехало ЦРУ и захватив сайт разработчиков, и судя по ключам "новой версии" захватив физически и самих разработчиков, предлагает новый TrueCrypt с пробитым бекдором и рекомендует дырявый Microsoft BitLocker с бекдором, который раскрыл Сноуден. Фактически Обама поставил под угрозу безопасность во всем мире требуя дать себе "третий ключ" для доступа к вашей информации. Это очень серьезная угроза безопасности, т.к. фактически только TrueCrypt мог ей противостоят из популярно ПО.
Бекдор пробитый в BitLocker был раскрыт в сентябре 2013 года Эдвардом Сноуденом. Причем взлому подлежали не только ВСЕ системы выпускаемые Microsoft, но и остальные на базе алгоритма Dual EC DRBG. Практически единственным ПО недоверявшим Dual EC DRBG был TrueCrypt.
Не ставьте TrueCrypt выше версии 7.1а, скорее всего команда разработчиков схвачена агентами ЦРУ и NSA. |
Так вот. Практически все случайные Мастер Пароли Microsoft, Oracle, CISCO, IBM и т.д. получаются алгоритмом Dual EC DRBG. Более того, NSA настояло на внедрении данного алгоритма как стандарта получения мастер ключей через стандарт NIST 2006.
Эксперты Microsoft ответственные за криптографию Dan Shumow и Niels Ferguson выступили в августе 2007 года на конференции CRYPTO 2007 где указали, что математически Dual EC DRBG имеет бекдор, т.е. это не совсем случайное число и существует способ восстановления Мастер Пароля и таким образом взлома любой системы криптографии Microsoft или другого поставщика следующего стандарту NIST 2006.
После публикации Сноудена о том, что бекдор существует журналисты Рейтер в ходе расследования выяснили, что RSA Security поставляющая основные библитеки шифрования для большинства поставщиков на рынке получила от NSA 10 миллионов долларов за преимущественное и де-факто принудительное использование Dual EC DRBG. Поскольку контракт не подразумевал выполнение работ, а только предложение внедрить алгоритм в редакции NSA, то в сообществе специалистов по безопастности скорее говорят о подкупе спецслужбами США одного из центральных мировых поставщиков по безопасности.
Обладание Мастер Ключом злоумышленником не позволяет защитить информацию даже путем смены пароля на новый, т.к. Мастер Пароль никогда не меняется, меняется только доступ к контейнеру с ним когда вы меняете "свой пароль".
Единственным популярным криптографическим программным продуктом не доверявшему Dual EC DRBG являлся... TrueCrypt. Если помните, там нужно было водить мышкой до создания криптоконтейнера. Это и есть генерация НАСТОЯЩЕГО Мастер Пароля без использования алгоритмов псевдослучайных чисел.
Поэтому контейнеры криптографии TrueCrypt не могут быть взломаны NSA и ЦРУ через бекдор Dual EC DRBG. Остается надеятся, что создатели TrueCrypt еще живы на данный момент после обработки опричниками г-на Обамы. "Новую версию" с сайта TrueCrypt конечно не качать, она подписана левыми ключами и правки кода ведут в США, судя по комментариям.
Заявление на захваченном сайте TrueCrypt о якобы ненадежности продукта не соответствуют действительности. Было собрано волонтерами 60.000 долларов на аудит OpenSorce алгоритмов TrueCrypt и не найдено ничего. Более того, сейчас математики занимавшиеся аудитом не могут никак выйти на контакт с авторами TrueCrypt, что навевает плохие мысли, что они в туристической поездке в Гуантанамо или еще в каком зиндане от борцов за демократию во всем мире.
Это не первая атака США на мировую информационную безопасность. До это были под угрозой шантажа спецлужбами США закрыты два сервиса шифрованной почты, которыми пользовался и Сноуден.
Сделайте репост админам, т.к. это очень серьезная проблема безопасности по защите проектных и не проектных данных. Рекомендую также подписаться на мой профиль Google+, буду обновлять материал в след за новостями.
UPDATE 1. Для тех кто на Гостайне и следует режимному хранению информации отечественными средствами криптозащиты угрозы нет, т.к. ФСБ и ФСТЭК никогда не доверяло алгоритмам криптографии от Microsoft и Oracle и не сертифицировало их выше 1Г (т.е. "для служебного пользования"). Угроза есть для структур корпораций, которые выполняют стратегические проекты без режима гостайны и могут быть объектом промышленного шпионажа со стороны США.
UPDATE 1. Для тех кто на Гостайне и следует режимному хранению информации отечественными средствами криптозащиты угрозы нет, т.к. ФСБ и ФСТЭК никогда не доверяло алгоритмам криптографии от Microsoft и Oracle и не сертифицировало их выше 1Г (т.е. "для служебного пользования"). Угроза есть для структур корпораций, которые выполняют стратегические проекты без режима гостайны и могут быть объектом промышленного шпионажа со стороны США.
Оставьте комментарий