소프트웨어 트루크립트 Truecrypt 개발중단
2014.06.23 19:04
아는분은 아시겠지만, 5월말부터 Truecrypt의 개발이 돌연 중단 되었습니다.
홈페이지는 폐쇄?되었고, 소스는 삭제되었습니다.
(오픈소스라 여태 공개되었던 내용입니다.)
갑작스런 중단에 대해서 갖가지 추측이 난무하고 있습니다.
미정부의 압력이라는 말도 있구요..
공식적인 이유는 Truecrypt의 내부적인 약점때문에 더이상 사용하면 안된다는 것인데..
사실 일반 사용자들이야 뭐가 문제인지 알기 힘들죠.
Truecrypt를 애용하던 사람으로서,
앞으로 다른 대체재를 찾아야하는 걱정이 앞섭니다.
댓글 [11]
-
Curvature 2014.06.23 19:08
-
메리아 2014.06.23 19:45
이거 너무 당황스럽네요.
TrueCrypt가 보안을 장담하지 못한다니... ㅠㅠ
개발중단이 정말 압력 때문이 아니라면,
굳이 아예 셧다운 할필요는 없어보이는데...
어쩌면
애초에 모든 '복호화 가능한 암호 데이터'가 안전하지 않기 때문이 아닌가 싶네요.
비트락커를 소개해놨지만, 그것도 정말 믿을수 있는건지...
-
메리아 2014.06.23 20:03
아무래도 진짜 압력이 아닌가 싶은 의구심이 드네요.
NSA까지 나섰다는 소문이 있는데, 역시 그냥 소문이니...
-
666 2014.06.25 01:08 앞으로의 보안을 장담하지 못하는거지
현존 최고의 파일 암호화 툴인건 변함없죠.
오픈소스라 NSA의 백도어는 있을수도 없고 감사까지 받는 유틸인데.
여전히 7.1a는 안전하다는 평이죠.
계속 쓰시면 됩니다.
-
메리아 2014.06.25 10:30
NSA의 백도어가 있기는 어려울지 모르겠습니다만,
적어도 개발 중단과 치명적 결함이 그 사유라는 발표에는,
NSA의 입김이 작용하지 않았나 싶네요.
국가안보를 이유로 고수준 암호화 기술 수출/공개를 막고 있으니...
그리고 이런거 일일이 다 직접 컴파일해서 쓰는 사람 많지 않습니다.
오픈소스인 만큼 위험에서 벗어날 방책이 있는건 사실입니다만,
백도어용 소스와 공개용(?)소스를 따로 쓴다면,
여전히 백도어 위험은 있겠죠.
-
666 2014.06.25 10:39 위에 감사라고 분명 언급햇는데도 그런 허접한 소설까지 쓰겠다면 그냥 쓰지를 마세요. ㅋ
오픈소스라 분석도 하고 파일에 장난치지 못하도록 해쉬값까지 철저히 관리되는 프로그램인데
세상 사람들이 그렇게 바보는 아니죠.
-
메리아 2014.06.25 13:02
말을 쓸데없이 너무 공격적으로 하시네요.
요새 윈포에 시비쟁이들이 늘었다 싶더니, 영향 많이 받으셨나 봅니다.
백도어 먼저 언급한건 님 아닌가요?
감사가 어느 기관에서 어떤방식으로 이루어지는지 모르니,
그 부분에서는 정확하게 뭐라 못하겠습니다만,
뭘 하려고 들면 못할것도 없습니다.
그리고 백도어 없다는 근거에 해시는 왜 들어가죠?
허접하신건 님같으신데요.
해시값은 '최초 배포된 파일과 같은 것인지'를 확인하기 위한 것이지,
'이 프로그램에는 악성코드,바이러스,백도어가 없습니다'라는 무조건적인 증명을 하는게 아닙니다.
'이 프로그램에 처음부터 악성코드,바이러스,백도어가 없었다면, 지금 받은 파일에도 없습니다'는 증명인거죠.
해시가 뭔지 모르시고 하시는 말씀같지 않은데, 그정도 기본도 모르시나요?
즉, 해시는 기본적으로 '최초 배포처'에 대해 신뢰할 수 있다고 가정하고, 그것을 유지하기 위한 수단인거고,
지금 얘기하는건 그 '최초 배포처'에 대한 신뢰성을 따지는 겁니다.
해시값이 있으니 바이러스 없다?
그럼 지금 PE 배포자들 죄다 해시값만 공개하면 안전한거네요?
백도어, 악성코드 걱정 무조건 안해도 되는거네요?
(근래 배포된 PE에서 악성코드 발견했다던 분 있던데, 그 PE 제작자 찾아서 빨리 해시 공개하라고 해야겠군요. 그러면 저절로 안전이 보장된다고 하면서요.)
감사의 방식을 정확하게 모르니 그 신뢰성을 평가못하겠습니다만,
거기에서 뒷공작을 하려고 맘 먹었다면 못할것도 없습니다.
특히나 고급 암호화 기술의 수출과 유출을 국가안보라는 미명하에 막으려는 상황이라면 또 모르죠.
모든 소스에 대한 컴파일 빌드작업에서 무조건 똑같은 해시가 나오나요?
컴파일러의 옵션따라 다를 수 있죠.
공개된 소스로 컴파일해서, 똑같은 해시값을 직접 얻으셨다면,
제가 틀렸다는걸 인정하겠습니다.
혹은 이것이 공개된 소스로 컴파일한 증거가 되는 시그니쳐든 뭐든 데이터값이 있다면,
아둔한 저를 위해 좀 깨우쳐주시지 않겠습니까?
(이왕이면 옵션도 좀 자세하게 알려주세요.)
그리고 다음부터는 그런 빼도박도 못하는 증거를 먼저 말씀하세요.
해시가 모든 것의 증거라는 허접한 소리는 마시구요.
다시 말하지만, 해시는 최초 배포에 대한 무결성 검증이지,
바이러스 악성코드에 대한 무결성 검증이 아닙니다.
사실 이런 논리라면,
세상에 믿을수 있는 프로그램은 없다고 봐도 되겠지만,
그렇다고 아예 틀린말도 아니죠. 실제로 그런거 심어서 배포하는 놈들 있습니다.
이번 경우는 특히 다른쪽에서 개입이 우려되는 상황이라, 동기는 있습니다.
그리고 사실 저는 백도어 걱정 별로 안합니다.
님의 감사 얘기도 위에서 신뢰성 운운했지만,
그렇게 허접하고 단순한 감사는 아닐가능성이 높으니, 신뢰성 있다고 봅니다.
님이 오히려 백도어 언급하는 바람에,
백도어를 넣는다면,
그런식으로 하는 것 자체는 있을수 있다는 가능성을 얘기한거죠.
뭔가 불확실한 이유로 다들 애용하고 신뢰하던 프로그램을 완전 중단해버렸는데,
그런 의혹이 생길 수는 있는거 아닌가요?
솔직히 말해
님이 이부분에 대해 저보다 아는거 더 많아보이는건 사실입니다.
하지만, 자기가 좀 더 알고 잘났다고, 그렇게 시비걸고 다니지 마세요.
그런 심보로 살다간, 님도 더 잘난 분한테 밟힙니다.
-
666 2014.06.25 16:08 시비쟁이들의 영향을 받은게 아니고 많은 시비쟁이중 하나일 뿐이죠. 낄낄.
온라인에선 밟혀봐야 아플것도 없고 오히려 즐겁죠. 정신적으로 패배해도 배우는게 있으니까.
제가 님보다 아는게 더 많은건 아니고...
프로젝트 중단에 따른 추측이나 의혹, 음모론은 저도 매우 좋아하지만..
되도않는 가능성은 그냥 지나치기 어렵군요.
다시말하지만, 백도어가 따로 들어간 해시값을 유포하는게 통할정도로 세상 사람들이 어리석진 않습니다.
듣보 유틸도 아니고 소스 공개에 수많은 사람들이 애용하고 검증을위해 따로 기부까지 받는 유틸은 더더욱이.
그리고 상용 암호화 소프트웨어엔 NSA의 입김이 있다는거... 관심이 있는 사람이라면 대부분 아실테지만..
https://techreport.com/news/25321/nyt-guardian-nsa-has-backdoors-in-commercial-encryption-software
BitLocker 같은거 쓰지마시고 그냥 TrueCrypt 7.1a 믿고 쓰시면 됩니다.
-
윈포만세~! 2014.06.27 22:20
Truecrypt 7.1a 순정버전 구할만한 데 없을까요?
Truecrypt 측이 정식 다운로드 페이지도 막아버렸네요..
-
666 2014.06.28 21:58 filehippo.com에서 검색해보시고 받으시면 됨.
걱정되면 해쉬값 검사한번 해보시고.
-
이량 2015.01.23 11:03
해쉬값이 뭔지도 모르는 1인은 그저 님들처럼 왠지 ? 고수풍이 느껴지는 분들을 볼 때 부럽기만 합니다. 뭘 알아야 시비를 걸고 허풍을 떨어도 멋지게 떨텐데 말이죠...ㅎㅎ..
truecrypt에 버그가 있어 보안을 장담하지 못한다더군요