<div dir="ltr"><div>[I get the 'digest' form of this list around noon each day, so I'm probably <br>throwing this into an already active discussion.]<br><br>1.0 What do we know?<br><br>1.1 The <a href="http://truecrypt.org">truecrypt.org</a> website has been redirected to a SourceForge<br>
page, which claims<br><br>"WARNING: Using TrueCrypt is not secure as it may contain unfixed <br>security issues."<br><br>1.2 It goes on to recommend that users migrate to BitLocker or<br>OsX encrypted virtual drives. No particular recommendation is made<br>
for Linux.<br><br>1.3 Includes TrueCrypt binaries ("version 7.2") for Windows,<br>Mac, and Linux. The 7.2 version has only decrypt functionality,<br></div><div>it cannot encrypt.<br></div><div><br>1.3.1    These binaries are signed with a 2004 truecrypt gpg key.<br>
    <a href="https://gist.github.com/daveio/14f7d40f05ac68bb2e63">https://gist.github.com/daveio/14f7d40f05ac68bb2e63</a><br><br>1.4 A post has been made to HackerNews by a person claiming to be a<br>SourceForge employee, to the effect that there doesn't seem to be <br>
anything unusual in recent traffic and usage of the TrueCrypt account.<br><a href="https://news.ycombinator.com/item?id=7813121">https://news.ycombinator.com/item?id=7813121</a><br><br>1.5 This is odd, seeing as the site has been only sporadically <br>
available due to exceeding bandwidth limits; this not 'not unusual'.<br><br>1.6 The TC devs are haven't been heard from yet (but that would <br>not be too unusual, in the *normal* run of things).<br><br>2.0 Theories (just off the top of my head):<br>
<br>2.1  This is a hack attack.<br>2.1.1  ...as a prank.<br>2.1.2  ...to spread FUD about TC.<br>    <br>2.2 This is real; a serious compromise has been found in TC.<br><br>2.3 This is a Warrant Canary of some kind.<br><br>
</div>... I'm sure this list can be extended.<br><div><br>(the following is just speculation on my part)<br><br>The suddenness with which the shutdown occurred, the elaborateness<br>of the effort (setting up modified binaries, and getting them signed),<br>
along with the non-explanations from the TC devs, tend to suggest that<br>this is not a simple prank. It also fits poorly with a real fault have been<br>found - the communications are all wrong.<br><br>That leaves an attempt to spread FUD about TC, or a Warrant Canary<br>
scenario. The statement at the top of the current TrueCrypt.org page <br>is trivially true; *all* security related programs 'may' be insecure due <br>to 'unfixed security issues'. (Yes, I know this isn't a proper 'Warrant <br>
Canary',  but TC sadly didn't have one in place; it may be this is the <br>best they could legally do.) <br><br></div><div>I'll throw in that TC recently passed the first round of an independent<br>audit with good grades, and in the courts LEAs have been treating it as<br>
</div><div>secure when carefully used.<br></div><div><br>Peter<br><br></div></div>