Existe-t-il des fourches TrueCrypt raisonnables?

Le principal obstacle d'un fork TrueCrypt est le non standard licence TrueCrypt .

Alors que l'intention des auteurs semblait être d'écrire une licence similaire à celle de la GPL, la licence comporte quelques passages assez peu orthodoxes qui peuvent être interprétés d'une manière qui met des conditions déraisonnables sur une fourchette. Ces conditions ont empêché l'Open Source Initiative de la reconnaître comme une licence open source. Un fork du projet TrueCrypt pourrait ne pas être légalement possible sans la permission des auteurs TrueCrypt originaux, qui préfèrent rester anonymes pour l'instant.

Néanmoins, il y a une équipe en Suisse qui a promis de continuer à travailler sur TrueCrypt sous le nom de TrueCryptNext .

Edit: Maintenant, il y a la société Sirrix d'Allemagne qui veut créer un fork TrueCrypt appelé TrustedDisk. Pour se débarrasser de la licence TrueCrypt compliquée, ils prévoient de réimplémenter ces parties avec des conditions de licence douteuses et de publier le logiciel sous double licence à la fois sous une licence open source commune et une version commerciale ( actualité allemande ).

En ce qui concerne les licences de TrueCrypt, des discussions spéciales sont déjà en cours: simplement parce que les principaux responsables du projet sont anonymes (certains pensent qu'ils viennent d'Europe de l'Est). comme tchèque) et étant donné la possibilité de lettres de sécurité nationale (comme lavabit), il serait également préférable pour eux de rester sous le capot (Sidenote: il suffirait qu'ils soient obligés de donner leur clé de signature gpg privée, donc les nouvelles versions ne sont plus dignes de confiance)

Le bon côté de ceci est que dans le cas d'un fork, ils doivent d'abord révéler leur identifiant pour réclamer d'éventuels droits de licence.

Dans tous les cas, l'audit de sécurité va maintenant à l'étape 2 (même si le projet est arrêté) pour voir si cette version était sûre.

[~ # ~] mise à jour [~ # ~]: Il semble y avoir un fork ici http://truecrypt.ch/

Je viens de découvrir VeraCrypt .

Il ajoute une sécurité renforcée aux algorithmes utilisés pour le chiffrement du système et des partitions, ce qui le rend immunisé contre les nouveaux développements des attaques par force brute.

Par exemple, lorsque la partition système est chiffrée, TrueCrypt utilise PBKDF2-RIPEMD160 avec 1000 itérations alors que dans VeraCrypt nous utilisons 327661. Et pour les conteneurs standard et autres partitions, TrueCrypt utilise au plus 2000 itérations mais VeraCrypt utilise 655331 pour RIPEMD160 et 500000 itérations pour SHA -2 et Whirlpool.

Cette sécurité renforcée ajoute un certain retard uniquement à l'ouverture des partitions chiffrées sans aucun impact sur les performances de la phase d'utilisation de l'application. Cela est acceptable pour le propriétaire légitime, mais il est beaucoup plus difficile pour un attaquant d'accéder aux données chiffrées.

Le format de stockage VeraCrypt est INCOMPATIBLE avec le format de stockage TrueCrypt.

Voici la section pertinente de la licence. Mon interprétation non juridique de la licence est que vous avez la permission de la modifier, à condition que vous:

1. ne l'appelez pas TrueCrypt (ou ne basez pas le nom sur TrueCrypt)
2. ne prétendez pas qu'il s'agit d'une version de la TrueCrypt Foundation,
3. déclarer qu'il est basé sur TrueCrypt disponible gratuitement sur truecrypt.org,
4. fournir librement la source de toutes vos modifications si vous distribuez votre source,
5. utiliser la même licence que TrueCrypt

J'ai mis la licence complète dans un Pastebin tiré du License.txt inclus dans la source TrueCrypt 7.1a disponible ici . Voici les sections les plus pertinentes:

III. Modification, dérivation et inclusion dans d'autres produits

1. Si toutes les conditions spécifiées dans les paragraphes suivants du présent chapitre (III) sont remplies (pour les exceptions, voir la section III.2) et si vous respectez toutes les autres conditions générales applicables de cette licence, vous pouvez modifier ce produit (formant ainsi votre Produit), dérivez de nouvelles œuvres de ce produit ou de parties de celui-ci (formant ainsi votre produit), incluez ce produit ou des parties de celui-ci dans un autre produit (formant ainsi votre produit, sauf indication contraire au chapitre I), et vous pouvez utiliser (pour des à des fins commerciales et/ou commerciales), copier et/ou distribuer votre produit.

   une. Le nom de votre produit (ou de votre version modifiée de ce produit) ne doit pas contenir le nom TrueCrypt (par exemple, les noms suivants ne sont pas autorisés: TrueCrypt, TrueCrypt +, TrueCrypt Professional, iTrueCrypt, etc.) ni aucun autre nom similaire prêtant à confusion. au nom TrueCrypt (par exemple, True-Crypt, True Crypt, TruKrypt, etc.)

   Toutes les occurrences du nom TrueCrypt qui pourraient raisonnablement être considérées pour identifier votre produit doivent être supprimées de votre produit et de tout matériel associé. Les logos inclus dans (ou attachés à) votre produit (et dans/aux matériaux associés) ne doivent pas être incorporés et ne doivent pas être similaires à aucun des logos TrueCrypt (y compris, mais sans s'y limiter, le logo non textuel composé principalement d'une clé sous forme stylisée) ou d'une partie de celle-ci. Tous les graphiques contenus dans ce produit (logos, icônes, etc.) doivent être supprimés de votre produit (ou de votre version modifiée de ce produit) et de tout matériel associé.

   b. Les phrases suivantes doivent être supprimées de votre produit et de tout matériel associé, à l'exception du texte de cette licence: "Une version TrueCrypt Foundation", "Publié par TrueCrypt Foundation", "Ceci est une version TrueCrypt Foundation".

   c. La phrase "basée sur TrueCrypt, disponible gratuitement sur http://www.truecrypt.org/ " doit être affichée par votre produit (si cela est techniquement possible) et contenue dans sa documentation. Alternativement, si ce produit ou sa partie que vous avez incluse dans votre produit ne constitue qu'une partie mineure de votre produit, la phrase "Des parties de ce produit sont basées en partie sur TrueCrypt, librement disponible sur http: //www.truecrypt. org / "peut s'afficher à la place. Dans chacun des cas mentionnés ci-dessus dans ce paragraphe, " http://www.truecrypt.org/ " doit être un lien hypertexte (si cela est techniquement possible) pointant vers http: // www .truecrypt.org / et Vous pouvez choisir librement l'emplacement dans l'interface utilisateur (le cas échéant) de Votre Produit (par exemple, une fenêtre "À propos", etc.) et la manière dont Votre Produit affichera le phrase respective.

   Votre produit (et tout matériel associé, par exemple, la documentation, le contenu du site Web officiel de votre produit, etc.) ne doit présenter aucune adresse Internet contenant le nom de domaine truecrypt.org (ou tout nom de domaine qui transmet au domaine nom truecrypt.org) d'une manière qui pourrait suggérer que c'est là que les informations sur votre produit peuvent être obtenues ou où les bogues trouvés dans votre produit peuvent être signalés ou où le support pour votre produit peut être disponible ou tenter autrement d'indiquer que le nom de domaine truecrypt.org est associé à votre produit.

   ré. Le code source complet de votre produit doit être librement et publiquement disponible (pour les exceptions, voir la section III.2) au moins jusqu'à ce que vous cessiez de distribuer votre produit. Cette condition peut être remplie de l'une des manières suivantes ou des deux: (i) Vous incluez le code source complet de Votre Produit avec chaque copie de Votre Produit que Vous créez et distribuez et Vous mettez toutes ces copies de Votre Produit à la disposition du général public gratuitement, et/ou (ii) vous incluez des informations (valides et correctes au moins jusqu'à ce que vous cessiez de distribuer votre produit) sur où le code source complet de votre produit peut être obtenu gratuitement (par exemple, une adresse Internet) ou pour des frais de reproduction raisonnables avec chaque copie de votre produit que vous créez et distribuez et, s'il existe un site Web officiellement associé à votre produit, vous incluez les informations susmentionnées sur le code source sur une page Web librement accessible au public à laquelle ces liens de sites Web via un hyperlien facilement consultable (au moins jusqu'à ce que vous cessiez de distribuer votre produit).

   Le code source de votre produit ne doit pas être délibérément obscurci et il ne doit pas être sous une forme intermédiaire (par exemple, la sortie d'un préprocesseur). Le code source signifie la forme préférée sous laquelle un programmeur modifierait généralement le programme.

   Des parties du code source de votre produit non contenues dans ce produit (par exemple, les parties ajoutées par vous lors de la création de votre produit, qu'elles soient créées par vous ou par des tiers) doivent être disponibles sous licence (s) (cependant, voir également la sous-section III .1.e) permettre à quiconque de modifier et de dériver de nouvelles œuvres des parties du code source qui ne sont pas contenues dans ce produit et d'utiliser, copier et redistribuer ces modifications et/ou œuvres dérivées. La ou les licences doivent être perpétuelles, non exclusives, libres de droits, gratuites et mondiales, et ne doivent pas invalider, affaiblir, restreindre, interpréter, amender, modifier, interférer ou autrement affecter toute partie, durée, disposition , ou clause de cette licence. Le texte de la ou des licences doit être inclus avec chaque copie de votre produit que vous créez et distribuez.

   e. Vous ne devez en aucun cas modifier les conditions de licence de ce produit (l'ajout de nouvelles conditions est considéré comme une modification des conditions de licence même si les conditions d'origine sont conservées), ce qui signifie, par exemple, qu'aucune partie de ce produit ne peut être placée sous une autre licence. . Vous devez conserver intactes toutes les mentions légales contenues dans les fichiers de code source. Vous devez inclure les éléments suivants avec chaque copie de votre produit que vous créez et distribuez: un avis clair et visible indiquant que votre produit ou des parties de celui-ci est/sont régis par cette version de la licence TrueCrypt, une copie textuelle de ce version de la licence TrueCrypt (telle que contenue dans les présentes), un avis clair et visible contenant des informations sur l'emplacement où la copie incluse de la licence peut être trouvée, et un avis de droit d'auteur approprié.

2. Vous n'êtes pas obligé de vous conformer à la sous-section III.1.d si votre produit n'est pas distribué (c'est-à-dire que votre produit n'est disponible que pour vous).

Certes, il existe également des clauses de légalité douteuse; Par exemple, dans la section VI, il y a deux clauses qui disent que si vous "ne comprenez pas toutes les parties de la licence" OR que si une disposition de la licence est inapplicable, vous NE POUVEZ PAS UTILISER, COPIER ou MODIFIER leur code source. Je ne suis pas avocat, mais ces clauses me paraissent bizarres et potentiellement inapplicables. Cela ne vous laisserait aucun droit UTILISEZ truecrypt, sans parler de créer un travail dérivé même en respectant les règles de la section III.

1. SI VOUS N'ÊTES PAS SÛRE SI VOUS COMPRENEZ TOUTES LES PARTIES DE CETTE LICENCE OR SI VOUS N'ÊTES PAS SÛR SI VOUS POUVEZ VOUS CONFORMER À TOUTES LES MODALITÉS ET CONDITIONS DE CETTE LICENCE, VOUS NE DEVEZ PAS UTILISER, COPIER, MODIFIER, CRÉER DES TRAVAUX DÉRIVÉS DE, NOR (RE) DISTRIBUER CE PRODUIT, NOR TOUTE PARTIE DE CELUI-CI). VOUS DEVEZ CONSULTER UN AVOCAT.

2. SI (DANS LE CONTEXTE PERTINENT) TOUTE DISPOSITION DU CHAPITRE IV DE LA PRÉSENTE LICENCE IS INDISPONIBLE, INVALIDE, OR INTERDITE EN VERTU DE LA LOI APPLICABLE DANS VOTRE JURIDICTION, VOUS N'AVEZ AUCUN DROIT) SOUS CETTE LICENCE ET VOUS NE DEVEZ PAS UTILISER, COPIER, MODIFIER, CRÉER DES ŒUVRES DÉRIVÉES DE, NOR (RE) DISTRIBUER CE PRODUIT, NOR TOUT (S) PARTIE (S)) DE CELA.

Une courte promenade sur le net de l'article WikiPedia lié par ignis m'a conduit à TcPlay , une réimplémentation indépendante de TrueCrypt. Malheureusement, il ne prend en charge que Linux et DragonFly BSD. Il est même inclus dans la plupart des distributions pertinentes.