超级军网由存片引发的恐慌——加密工具还有靠谱的吗?
来源:百度文库 编辑:超级军网 时间:2024/05/05 09:47:32
今天在厕所玩手机的时候发现UC推送的一个帖子,讨论怎么存放毛片的。还算比较有趣,五花八门的办法,但是压根没有提加密的。这让我不禁想起以前靠着几个G的动作片艰难度日的悲摧岁月。
作为一个技术宅,怎么可能被这个问题困扰呢?我当年的解决方案是TrueCrypt。网盘大面积推广后,已经变得很少的存货全都上传到网盘里保存了(后来又被度娘封掉,这是后话)。
现在再想起这个问题来,又想把玩一下TrueCrypt。因为就算不存毛片,每个人总有那么一些东西不想让人乱看,特别是其它人有可能使用你的电脑的情况下。
结果当我搜索TrueCrypt后才发现它已经停止开必了,首页上放着标红的警告:WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
接下来的搜索结果是令人吃惊的:有人发现上面那句标红的警告中,每个单词的首字母取出来后,可以拼成一句拉丁语:
uti nsa im cu si
翻译成英文是:
Unless I want to use the NSA
和NSA扯上关系了。
TrueCrypt的开发团队很神秘,虽然TrueCrypt发布几年了,而且是开源的,但是没人知道是谁在开发TrueCrypt。
接下来又发现了几个故事(也许很多人早就知道了,不过我比较OUT,第一次听说)
当年的 PGP 之父(Phil Zimmermann)因为发明了 PGP 这款文件/邮件加密工具,差点被美国政府抓去坐牢。当时(上世纪90年代初)的美国法律规定,“高强度加密技术”属于军用技术,不允许出口到海外。据说 Phil Zimmermann 后来想了个妙计——通过 MIT 出版社出了一本书,把 PGP 的全部源代码放到书中,然后援引“美国宪法第一修正案”(出版物受“言论自由”的保护),才推翻了对他的指控。
斯诺登当年用的两个工具:磁盘加密用的是 TrueCrypt,电子邮件用的是 Lavabit 。Lavabit 是专门针对安全性要求较高的网民,所有往来的电子邮件内容都经过加密。斯诺登逃亡之后,美国联邦特工找到 Lavabit 的创始人 Ladar Levison,要求他交出 SSL 私钥。Ladar Levison 提起法律诉讼,被驳回。诉讼被驳回之后,他如果再不交出密钥,会被逮捕。
于是他先用最小号的字体,把密钥打印在小纸条上,交给联邦特工(这么干是为了拖延时间);然后他把整个网站关闭(同时也断了自己的财路)。据传闻:他还把服务器的硬盘进行了物理粉碎,以防止联邦特工利用密钥解密用户的邮件内容。
由此,不难想象TrueCrypt的开发团队为什么要保持低调。因为如果他们是美国人的话,会面临法律风险。至于为什么要停止开发,以及提出涉及NSA的警告,不用说,肯定是开发人员被盯上了。此时,要么继续开发做鹰犬,要么停止开发保节操。
NSA的“你必须对我保持透明”的控制欲由此可见一斑。而别国政府对微软、苹果、谷歌、思科、甚至IBM等等一大串巨头报有怀疑都是相当正当及合理的。至于面临胎死腹中的银行业IT新规,没什么好说的,国货当自强吧。寄人篱下的滋味不用说肯定不好受。
后续:
TrueCrypt 的开发停止了,但是代码是开放的,自然有人会接手。目前fork出的分支有几个,VeraCrypt是其中比较成熟的。TureCrypt 的代码经过社区几轮审查了,没发现明显的后门。应该还是可信任的,后续的VeraCrypt也应当风险不大。
相关链接:
TrueCrypt 的SF主页
http://truecrypt.sourceforge.net/
分析一下 TrueCrypt 之死
http://www.tuicool.com/articles/UfQJvy
Hidden message on the new sourceforge TrueCrypt site
https://www.livebusinesschat.com ... 9.msg37606#msg37606
VeraCrypt
https://veracrypt.codeplex.com/wikipage?title=Downloads
今天在厕所玩手机的时候发现UC推送的一个帖子,讨论怎么存放毛片的。还算比较有趣,五花八门的办法,但是压根没有提加密的。这让我不禁想起以前靠着几个G的动作片艰难度日的悲摧岁月。
作为一个技术宅,怎么可能被这个问题困扰呢?我当年的解决方案是TrueCrypt。网盘大面积推广后,已经变得很少的存货全都上传到网盘里保存了(后来又被度娘封掉,这是后话)。
现在再想起这个问题来,又想把玩一下TrueCrypt。因为就算不存毛片,每个人总有那么一些东西不想让人乱看,特别是其它人有可能使用你的电脑的情况下。
结果当我搜索TrueCrypt后才发现它已经停止开必了,首页上放着标红的警告:WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
接下来的搜索结果是令人吃惊的:有人发现上面那句标红的警告中,每个单词的首字母取出来后,可以拼成一句拉丁语:
uti nsa im cu si
翻译成英文是:
Unless I want to use the NSA
和NSA扯上关系了。
TrueCrypt的开发团队很神秘,虽然TrueCrypt发布几年了,而且是开源的,但是没人知道是谁在开发TrueCrypt。
接下来又发现了几个故事(也许很多人早就知道了,不过我比较OUT,第一次听说)
当年的 PGP 之父(Phil Zimmermann)因为发明了 PGP 这款文件/邮件加密工具,差点被美国政府抓去坐牢。当时(上世纪90年代初)的美国法律规定,“高强度加密技术”属于军用技术,不允许出口到海外。据说 Phil Zimmermann 后来想了个妙计——通过 MIT 出版社出了一本书,把 PGP 的全部源代码放到书中,然后援引“美国宪法第一修正案”(出版物受“言论自由”的保护),才推翻了对他的指控。
斯诺登当年用的两个工具:磁盘加密用的是 TrueCrypt,电子邮件用的是 Lavabit 。Lavabit 是专门针对安全性要求较高的网民,所有往来的电子邮件内容都经过加密。斯诺登逃亡之后,美国联邦特工找到 Lavabit 的创始人 Ladar Levison,要求他交出 SSL 私钥。Ladar Levison 提起法律诉讼,被驳回。诉讼被驳回之后,他如果再不交出密钥,会被逮捕。
于是他先用最小号的字体,把密钥打印在小纸条上,交给联邦特工(这么干是为了拖延时间);然后他把整个网站关闭(同时也断了自己的财路)。据传闻:他还把服务器的硬盘进行了物理粉碎,以防止联邦特工利用密钥解密用户的邮件内容。
由此,不难想象TrueCrypt的开发团队为什么要保持低调。因为如果他们是美国人的话,会面临法律风险。至于为什么要停止开发,以及提出涉及NSA的警告,不用说,肯定是开发人员被盯上了。此时,要么继续开发做鹰犬,要么停止开发保节操。
NSA的“你必须对我保持透明”的控制欲由此可见一斑。而别国政府对微软、苹果、谷歌、思科、甚至IBM等等一大串巨头报有怀疑都是相当正当及合理的。至于面临胎死腹中的银行业IT新规,没什么好说的,国货当自强吧。寄人篱下的滋味不用说肯定不好受。
后续:
TrueCrypt 的开发停止了,但是代码是开放的,自然有人会接手。目前fork出的分支有几个,VeraCrypt是其中比较成熟的。TureCrypt 的代码经过社区几轮审查了,没发现明显的后门。应该还是可信任的,后续的VeraCrypt也应当风险不大。
相关链接:
TrueCrypt 的SF主页
http://truecrypt.sourceforge.net/
分析一下 TrueCrypt 之死
http://www.tuicool.com/articles/UfQJvy
Hidden message on the new sourceforge TrueCrypt site
https://www.livebusinesschat.com ... 9.msg37606#msg37606
VeraCrypt
https://veracrypt.codeplex.com/wikipage?title=Downloads
TrueCrypt 7.1a的版本应该是安全的吧,最后一个版本不知有没有加了点什么进去。感觉安全方面,新分支是不是先让它稳定个一段时间再用比较好。不过楼主转载的那个首字母拼凑的说法还真是第一次听到
沁蓝 发表于 2015-4-26 13:13
TrueCrypt 7.1a的版本应该是安全的吧,最后一个版本不知有没有加了点什么进去。感觉安全方面,新分支是不是 ...
TrueCrypt 的代码应该还算是安全的吧。社区一直在审查其代码,没有发现明显的后门(坦白说,像这种软件,就算留个算法漏洞在代码里,一般人也看不出来啊)。也有人反汇编了预编译版本与自己编译的版本相比对,没有发现可疑之处。
TrueCrypt 7.1a的版本应该是安全的吧,最后一个版本不知有没有加了点什么进去。感觉安全方面,新分支是不是 ...
TrueCrypt 的代码应该还算是安全的吧。社区一直在审查其代码,没有发现明显的后门(坦白说,像这种软件,就算留个算法漏洞在代码里,一般人也看不出来啊)。也有人反汇编了预编译版本与自己编译的版本相比对,没有发现可疑之处。
从来不加密,直接存VM
彦道 发表于 2015-4-26 14:05
TrueCrypt 的代码应该还算是安全的吧。社区一直在审查其代码,没有发现明显的后门(坦白说,像这种软件, ...
嗯,说的是大实话。倒是挺佩服这个团队的,个人觉得他们已经算是撬动地球的那一撮人了。
也不记得当初是怎么找到这个软件的,反正用起来觉得挺适合我的,然后突然有一天到官网准备更新最新程序的时候,竟然出现了那句醒目的警告,我还在想是不是自己敲错了网址呢,过两天看到关于TrueCrypt的新闻才知道是开发团队出了事。希望后续的分支能够继续下去吧!
TrueCrypt 的代码应该还算是安全的吧。社区一直在审查其代码,没有发现明显的后门(坦白说,像这种软件, ...
嗯,说的是大实话。倒是挺佩服这个团队的,个人觉得他们已经算是撬动地球的那一撮人了。
也不记得当初是怎么找到这个软件的,反正用起来觉得挺适合我的,然后突然有一天到官网准备更新最新程序的时候,竟然出现了那句醒目的警告,我还在想是不是自己敲错了网址呢,过两天看到关于TrueCrypt的新闻才知道是开发团队出了事。希望后续的分支能够继续下去吧!
多谢!很有用
真要是这行从业者,就应该知道所有的“安全”都是相对的,能被监视才是永恒的...
社区可以继续反抗下去,但是我看不到胜利的希望。
社区可以继续反抗下去,但是我看不到胜利的希望。