جریان از این قرار است که چندی پیش پیامی بر روی وب سایت دانلود نرم افزار TrueCrypt – که یکی از قدرتمند ترین و شناخته شده ترین و در عین حال محبوب ترین نرم افزارهای رمزگذاری اطلاعات است، یا بود، و پیش از این آن را معرفی کردیم – قرار گرفت که مبنی بر این بود که این ابزار حاوی برخی از مشکلات امنیتی حل نشده است و نباید استفاده شود:
این خبر برای میلیونها کاربری که از سراسر جهان از این ابزار برای امن ساختن ارتباطات خود استفاده میکرده اند، خبری شوکه کننده بود، اما نه فقط به این خاطر که TrueCrypt اکنون به نظر پر از خلل و فرج امنیتی است. این پیام و انتشار آن به حدی نامنتظره بود که برخی از متخصصان امنیتی حتی در این موضوع نیز شک کردند که آیا این پیام از سوی هکرها بر روی وب سایت منتشر شده است یا خیر؟
البته این موضوع هنوز هم به شکل کامل حل و فصل نشده است و به شکل یک راز برای برخی باقی مانده که دلیل اصلی آن این است که همانند بسیاری دیگر از ابزارهای Open Source سازندگان اصلی TrueCrypt مشخص نیستند و هنوز نمیتوان به یقین گفت که این موضوع از کجا آب میخورد.
این به این معنی است که اکنون TrueCrypt در مسیری افتاده است که شاید برگشتی در آن نباشد و این ناشی از ناشناس بودن طراحان یک نرم افزار هم برای کاربران آن و هم برای خود آنها است. البته هنوز محققان و برنامه نویسان میتوانند اقدام به بررسی کد TrueCrypt کنند اما موضوع بر سر این است که چه کسی مسئول واقعی TrueCrypt است؟
یک اقدام عجیب و غریب...!
این موضوع زمانی بهتر درک میشود که به این نکته دقت کنیم که آنچه اکنون بر روی وب سایت TrueCrypt قرار گرفته است، از کاربران میخواهد که از این نرم افزار به سمت استفاده از BitLocker ویندوز حرکت کنند. ابزاری که اساسا کار آن رمزگذاری اطلاعات نیست و تنها قادر به خواندن اطلاعات رمزگذاری شده است. تنها شباهت آن با TrueCrypt این است که این ابزار با همان کلید کریپتوگرافیکی که TrueCrypt برای امضای سایر نرم افزارهای خود استفاده میکند، امضا شده است.
به نظر میرسد که تیم اصلی TrueCrypt هنوز کنترل را در دست دارد. اما ماتیو گرین، پرفسور در دانشگاه جان هاپکینز معتقد است که اگر این اقدام از سوی تیم اصلی TrueCrypt صورت گرفته است، باید نام آن را یک اقدام عجیب و غریب گذاشت. زیرا تنها چند هفته قبل از این اقدام طراحان این نرم افزار در ایمیلی که برای وی ارسال کرده بودند از وی درخواست همکاری برای بررسی وضعیت امنیتی این ابزار را داشتند.
اما بر خلاف آنچه اکنون اتفاق افتاده است ایشان در این ایمیل از وی خواسته بودند که در راستای ارتقای نرم افزار به فاز دوم امنیتی همکاری کند و نه در راستای تعطیل کردن آن! در نتیجه باید گفت که یا طراحان TrueCrypt حرکتی عجیب و غیر معقول را صورت داده اند و یا این وب سایت هک شده است.
کنت وایت پرفسور ارشد سیستم های علمی و اجتماعی میگوید: چون طراحان TrueCrypt ناشناس هستند انتخاب از بین این دو گزینه – اقدام عجیب طراحان یا هک شدن سیستم – غیر ممکن است و این شمشیر دو لبه ناشناس بودن است. وی میگوید: اگر در نظر آوریم که وب سایت و کلید کریپتوگرافیک نرم افزار زیر سوال رفته است، در نتیجه کل پروژه اکنون زیر سوال است.
حال چه باید کرد؟
برخی شواهد و قراین وجود دارد که از طریق آنها میتوان تشخیص داد که چه کسی مسئول مستقیم و پشت پروژه TrueCrypt است. دامنه وب سایت و برند تجاری ابزار به شخصی باز میگردد با نام «دیوید آندره تساریک» ساکن پراگ در جمهوری چک. وب سایت Wired در تلاشی برای ارتباط با وی نا موفق بوده است و اینگونه عنوان شده که حتی در صورتی که وی نیز در دسترس بشد، توضیح و تبیین اینکه به راستی چه اتفاقی در کد باز این ابزار افتاده به سادگی مقدور نیست.
به این ترتیب است که اکنون محققانی مانند وایت و گرین با یک سوال اساسی روبرو شده اند: آیا باید به ممیزی این ابزار به لحاظ امنیتی بپردازند یا خیر؟ این سوال از آن روی مطرح است که کد این ابزار در اختیار همه کاربران قرار دارد و بالاخره کسی میتواند پروژه را از سر گرفته و مجددا آغاز کند. اما آیا کاربران به این پروژه مجددا اعتماد خواند داشت؟
وایت بر این عقیده است که بالاخره افراد زیادی از این پروژه در حال حاضر استفاده میکنند و اطلاعات حیاتی و اساسی وابسته به وجود این ابزار هستند. آنچه شروع شد باید ادامه پیدا کند و مسائل امنیتی نرم افزار باید حل و رفع شود.
گرین نیز بر این عقیده است که این نرم افزار به هر ترتیب باید به حیات خود ادامه دهد. وی میگوید: من نمیگویم که افراد همچنان از این ابزار استفاده نمایند، اما شاید این نقطه خوبی برای ممیزی نرم افزار به لحاظ امنیت و پالایش بخشهایی از کد آن باشد.
به هر حال آنچه مشخص است این است که هیچ نرم افزار Multi-Platform مانند TrueCrypt در حال حاضر موجود نیست. ضربه ای که به این نرم افزار وارد شده است یک ضربه بزرگ به امنیت کاربران به ویژه در فضای اینترنت است. ابزاری که ادوارد اسنودن با اشتیاق آن را به کار میبرد و به دیگران پیشنهاد میداد و بخش اعظمی از اطلاعاتی را که در خصوص NSA افشا ساخته با آن در فضای اینترنت جا به جا کرده است، در حال حاضر قابل استفاده نیست و شاید برای همیشه اینگونه باقی بماند...!