image

Vermeende TrueCrypt-ontwikkelaar ziet fork niet zitten

dinsdag 17 juni 2014, 14:15 door Redactie, 6 reacties

Een vermeende ontwikkelaar van het encryptieprogramma TrueCrypt vindt het geen goed idee als er een fork wordt gemaakt. Een fork is een afsplitsing gebaseerd op de originele code van de software. Het idee van een fork is afkomstig van cryptografieprofessor Matthew Green.

Green is betrokken bij de audit van TrueCrypt en stuurde één van de TrueCrypt-ontwikkelaars een e-mail. Het is onbekend of het werkelijk om een ontwikkelaar van TrueCrypt gaat, maar Green laat weten dat hij in het verleden met deze persoon vaker over de encryptiesoftware heeft gecommuniceerd.

In zijn e-mail, die nu op Pastebin is verschenen, stelt Green dat TrueCrypt op een verantwoorde wijze een doorstart moet krijgen. Onlangs verscheen op de website van TrueCrypt een melding dat het programma onveilig is om te gebruiken en de ondersteuning is stopgezet.

Licentiestructuur

De voornaamste zorg die Green heeft is de licentiestructuur en handelsnamen die met TrueCrypt geassocieerd zijn. Hij merkt op dat sommige mensen zich hier niets van aan zullen trekken en met een eigen fork zullen komen. Deze versnippering kan het programma onveiliger maken. Daarom vraagt Green om een deel van de huidige code onder een standaard opensourcelicentie te mogen gebruiken voor een fork. Ook vraagt hij om toestemming de TrueCrypt-handelsnaam te mogen gebruiken.

De vermeende ontwikkelaar zegt dat Green om het "onmogelijke" vraagt. "Ik denk niet dat een fork van TrueCrypt een goed idee zou zijn, het compleet herschrijven van de code was iets dat we al langer wilden doen. Ik denk niet dat het vanaf 'scratch' beginnen meer werk zal zijn dan het leren en begrijpen van de huidige TrueCrypt-code. Ik heb er geen probleem mee dat de broncode als referentie wordt gebruikt."

Reacties (6)
17-06-2014, 14:52 door potshot
als hij wel een fork wil is het een complot en verdacht maar als hij niet wil is het dat ook..
maw,de alu hoedjes hebben het weer druk met nostradamusje spelen.
17-06-2014, 14:53 door Anoniem
Een vermeende ontwikkelaar van het encryptieprogramma TrueCrypt vindt het geen goed idee als er een fork wordt gemaakt.
Misschien omdat hij meer weet dan de rest van de wereld over een mogelijke NSA backdoor in TrueCrypt?
17-06-2014, 15:32 door DanielG
Door Anoniem:
Een vermeende ontwikkelaar van het encryptieprogramma TrueCrypt vindt het geen goed idee als er een fork wordt gemaakt.
Misschien omdat hij meer weet dan de rest van de wereld over een mogelijke NSA backdoor in TrueCrypt?

je bent zelf een backdoor
17-06-2014, 15:59 door dutchfish - Bijgewerkt: 17-06-2014, 16:01
Een fork is nooit een goed idee. Dat doe je pas als er geen andere oplossing meer is, meestal als er een polarisatie plaatsvind binnen het kamp van ontwikkelaars en de meningen over het verloop inhoudelijk dan wel technisch wat lastiger te verenigen zijn.

Mijn gedachte is simpel, je ruimt eerst zelf de pijnpunten (lees: 'eventuele flaws') op, als je die kent, voordat je het bijltje er bij neer gooit. Zo niet, dan is het aannemelijk dat er andere overwegingen een rol hebben gespeeld. Tenslotte weet je als dev deksels goed waar de schoen wringt.

En nou pak ik even het alu hoedje.
17-06-2014, 18:03 door Anoniem
Door dutchfish: Een fork is nooit een goed idee. Dat doe je pas als er geen andere oplossing meer is, meestal als er een polarisatie plaatsvind binnen het kamp van ontwikkelaars en de meningen over het verloop inhoudelijk dan wel technisch wat lastiger te verenigen zijn.
Hier is iets onoplosbaars aan de hand, en dus is een fork nu wel een goed idee ('nooit' is wat te stellig in je eerste zin). Dat het, als het doorgaat, een fork is en geen voortzetting/overname van het project is omdat er niet op de laatste (kreupele) versie 7.2 wordt voortgebouwd maar op de voorlaatste versie 7.1a. Maar omdat 7.2 voor de oorspronkelijke ontwikkelaars een eindpunt is treedt het probleem van twee versies die uiteen gaan lopen bij deze fork niet op.

Als men er qua licentie en merkrecht uitkomt, althans. Het "onmogelijk" in de reactie doet vermoeden dat dat tegen gaat vallen. En ondanks alle NSA-vermoedens geeft de (veronderstelde) ontwikkelaar misschien wel deksels goed aan waar de schoen wringt als hij stelt dat herschrijven al een wens was en weinig meer inspanning oplevert dan de bestaande code op orde krijgen. Ik heb de code nooit bekeken en heb er geen eigen oordeel over, maar kennelijk beschouwen de originele ontwikkelaars het als iets wat ze niet meer weten te beheersen.
18-06-2014, 10:27 door Anoniem
Wat ik niet begrijp, de Truecrypt-installer is iets ongeveer 3mb.
Als er al inzicht is in de source-code, waarom wordt het dan niet gewoon van de grond af aan opnieuw geschreven?

Ik snap wel dat Truecrypt bestaat uit verschillende soorten code om onder andere op low-level hardware aan te kunnen roepen (wat een niche is in de wereld van 'apps') maar dat neemt niet weg dan een paar dedicated dev's zo'n projectje toch binnen afzienbare tijd uit de grond moeten kunnen stampen???


Tot die tijd blijf ik het gebruiken in ieder geval, ik heb geen beef met de NSA maar wil wel zeker weten dat als ik een USB-stickje kwijtraak de data niet makkelijk te benaderen is.


Ook blijf ik het vreemd vinden dat een dev zijn eigen product als onveilig bestempelt zonder nadere uitleg (behalve dat de ondersteuning is gestopt) en zonder dat er exploits bekend zijn bij het grote publiek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.