Video: TrueCrypt Cracking (Desember 2024)
Jika Anda menggunakan TrueCrypt untuk mengenkripsi data Anda, Anda perlu beralih ke perangkat lunak enkripsi lain untuk melindungi file Anda, dan bahkan seluruh hard drive.
Sumber terbuka dan perangkat lunak TrueCrypt yang tersedia secara bebas telah populer selama sepuluh tahun terakhir karena dianggap independen dari vendor besar. Pembuat perangkat lunak belum diidentifikasi secara publik. Edward Snowden diduga menggunakan TrueCrypt, dan pakar keamanan Bruce Schneier adalah pendukung perangkat lunak yang terkenal. Alat ini memudahkan untuk mengubah flash drive atau hard drive menjadi volume terenkripsi, mengamankan semua data yang tersimpan di dalamnya dari mencongkel mata.
Pencipta misterius tiba-tiba menutup TrueCrypt pada hari Rabu, mengklaim itu tidak aman untuk digunakan. "PERINGATAN: Menggunakan TrustCrypt tidak aman karena mungkin mengandung masalah keamanan yang tidak diperbaiki, " baca teks pada halaman SourceForge TrueCrypt. "Anda harus memigrasikan data apa pun yang dienkripsi oleh TrueCrypt ke disk terenkripsi atau gambar disk virtual yang didukung pada platform Anda, " kata pesan itu.
"Sudah waktunya untuk mulai mencari cara alternatif untuk mengenkripsi file dan hard drive Anda, " tulis konsultan keamanan independen Graham Cluley.
Konsensus: Bukan Tipuan
Pada awalnya, ada kekhawatiran bahwa beberapa penyerang jahat telah merusak situs, tetapi semakin jelas ini bukan tipuan. Situs SourceForge sekarang menawarkan versi TrueCrypt yang diperbarui (ditandatangani secara digital oleh pengembang sehingga ini bukan peretasan) yang memunculkan peringatan selama proses instalasi untuk memberi tahu pengguna bahwa mereka harus menggunakan BitLocker atau alat lain.
"Saya pikir tidak mungkin seorang peretas yang tidak dikenal mengidentifikasi pengembang TrueCrypt, mencuri kunci penandatanganan mereka, dan meretas situs mereka, " kata Matthew Green, seorang profesor yang berspesialisasi dalam kriptografi di Universitas Johns Hopkins.
Yang Harus Dilakukan Selanjutnya
Situs ini, serta peringatan popup pada perangkat lunak, memiliki instruksi untuk mentransfer file yang dienkripsi TrueCrypt ke layanan BitLocker Microsoft, yang dibangun ke dalam Microsoft Vista Ultimate dan Perusahaan, Windows 7 Ultimate dan Perusahaan, dan Windows 8 Pro dan Perusahaan. TrueCrypt versi 7.2 memungkinkan pengguna mendekripsi file mereka tetapi tidak akan membiarkan mereka membuat volume terenkripsi baru.
Sementara BitLocker adalah alternatif yang jelas, ada opsi lain untuk dilihat. Schneier mengatakan kepada The Register bahwa ia akan kembali ke PGPDisk Symantec untuk mengenkripsi datanya. Symantec Drive Encrpytion ($ 110 untuk satu lisensi pengguna) menggunakan PGP, yang merupakan metode enkripsi yang terkenal. Ada alat gratis lainnya untuk Windows, seperti DiskCryptor. Pakar keamanan The Grugq menyusun daftar alternatif TrueCrypt tahun lalu, yang masih berguna.
Johannes Ullrich dari SANS Institute merekomendasikan agar pengguna Mac OS X tetap menggunakan FileVault 2, yang dibangun di dalam OS X 10.7 (Lion) dan yang lebih baru. FileVault menggunakan cipher XTS-AES 128-bit, yang sama dengan yang digunakan oleh NSA. Pengguna Linux harus tetap menggunakan Linux Unified Key Setup (LUKS), kata Ullrich. Jika Anda menggunakan Ubuntu, penginstal sistem operasi memiliki opsi untuk mengaktifkan enkripsi disk penuh sejak awal.
Namun, pengguna akan memerlukan alat yang berbeda untuk drive portabel yang bergerak di antara sistem operasi yang berbeda. "PGP / GnuPG muncul dalam pikiran, " kata Ullrich di InfoSec Handlers Diary.
Perusahaan Jerman Steganos menawarkan versi alat enkripsi mereka yang lebih lama (versi 15 adalah yang terbaru, tetapi tawaran itu untuk versi 14) gratis untuk pengguna, yang sebenarnya tidak terlalu ideal.
Kerentanan Tidak Diketahui
Fakta bahwa TrueCrypt mungkin memiliki kerentanan keamanan sangat menggelisahkan mengingat audit independen untuk perangkat lunak saat ini sedang berjalan dan belum ada laporan seperti itu. Pendukung mengumpulkan $ 70.000 untuk audit karena kekhawatiran Badan Keamanan Nasional memiliki kemampuan untuk memecahkan kode sejumlah besar data yang dienkripsi. Fase pertama dari penyelidikan yang melihat bootloader TrueCrypt dirilis bulan lalu. Itu "tidak menemukan bukti backdoors atau kelemahan yang disengaja." Fase berikutnya, yang akan memeriksa kriptografi yang digunakan oleh perangkat lunak, dijadwalkan selesai musim panas ini.
Green, yang merupakan salah satu orang yang terlibat dalam audit, mengatakan dia tidak memiliki peringatan terlebih dahulu tentang apa yang direncanakan pengembang TrueCrypt. "Terakhir saya dengar dari Truecrypt: 'Kami menantikan hasil tahap 2 audit Anda. Bahwa Anda sangat banyak untuk semua upaya Anda lagi!'" Ia memposting di Twitter. Audit ini diperkirakan akan terus berlanjut meskipun telah ditutup.
Mungkin saja pembuat perangkat lunak memutuskan untuk menghentikan pengembangan karena alat ini sudah sangat tua. Pengembangan "berakhir pada 5/2014 setelah Microsoft menghentikan dukungan Windows XP, " kata pesan di SourceForge. "Windows 8/7 / Vista dan kemudian menawarkan dukungan terintegrasi untuk disk terenkripsi dan gambar disk virtual." Dengan enkripsi yang dibangun ke banyak sistem operasi secara default, para pengembang mungkin merasa perangkat lunak tidak lagi diperlukan.
Untuk membuat hal-hal lebih suram, tampaknya tiket ditambahkan 19 Mei untuk menghapus TrueCrypt dari sistem operasi Tails yang aman (juga favorit Snowden lainnya). Apa pun masalahnya, jelas tidak ada yang harus menggunakan perangkat lunak pada saat ini, Cluley memperingatkan.
"Apakah itu tipuan, peretasan, atau akhir kehidupan asli untuk TrueCrypt, jelas bahwa tidak ada pengguna yang sadar akan keamanan akan merasa nyaman mempercayai perangkat lunak setelah bencana ini, " tulis Cluley.