TrueCrypt

TrueCrypt（トゥルークリプト）とは、暗号化された仮想ディスクを作成・利用するソフトウエア。仮想ディスクはファイルとして作成するだけでなく、パーティション自体も対象にできる。ユーザは、作成された仮想ディスクをUSBメモリなどと同じ感覚でリムーバブルディスクドライブとしてマウントすることで利用できる。また、Windows版TrueCryptではシステムドライブ自体も暗号化することが出来る^[5]。

TrueCrypt

開発元	TrueCrypt Foundation
最終版	7.2[1]  - 2014年5月28日 (9年前) [±]
プログラミング 言語	C, C++, アセンブリ言語
対応OS	クロスプラットホーム (Windows 2000 / XP / Vista / 7 / Server 2003 / 2008, Mac OS X, Linux)[2]
対応言語	34言語[3]
サポート状況	終了
種別	暗号ソフトウェア/ディスクドライブ仮想化ソフト
ライセンス	TrueCrypt License[4]
公式サイト	www.truecrypt.org
テンプレートを表示

このソフトウエアは、TrueCrypt License^[4]の下で無償で利用できる。

現在は開発者から「安全ではない」とのメッセージが出されており、使用を中止しBitLockerなど他のソリューションにのりかえることが推奨されている^[6]。

代替としてはTrueCryptのソースコードに基づいたVeraCryptやCipherShedなどフリーウェアのプロジェクトがある。

開発終了

2014年5月28日に、TrueCryptの公式サイト truecrypt.org が、HTTP 301 "Moved Permanently"（恒久的に移動した）によって訪問者を truecrypt.sourceforge.org へ転送するようになった。転送先では、Windows XPのサポート終了に合わせて、TrueCryptの開発を2014年5月で終了した旨が警告されている。新しいバージョンのWindowsではOS標準のBitLockerが、LinuxやMac OS Xでも類似のシステムがあることから、TrueCryptはもはや不要であり、TrueCryptで暗号化されているデータをBitLockerに移行することが推奨されている。SourceForgeのプロジェクトページ sourceforge.net/truecrypt にも同じメッセージが表示されるようになり、プロジェクトの状況は "inactive"（活動していない）に変更された^[7]。同時に、暗号化機能を除去し、既存の暗号化済みデータの復号機能のみを有するバージョン7.2がリリースされた。

開発終了の発表当初、この発表および新しくリリースされたバージョン7.2が本物なのか疑問が呈された^[8][9][10]。ITコミュニティでは、この発表について様々な説が示された^[11][12]。truecrypt.ch^[13]、CipherShed.orgおよびクラウドファンドによってTrueCrypt 7.1aのセキュリティ監査を行っていたグループ^[14]が、それぞれ独自にTrueCryptのフォークを行うことを発表した。

Gibson Research Corporationによると、Steven Barnhartが、TrueCrypt Foundationのメンバーの一人にメールを送り、返事を受け取っている。それによると、開発終了の発表は「（プロジェクトを続けることに対する）興味を失った」ためであるとのことである^[15]。

仕様・機能

• TrueCryptは暗号化された仮想ディスクを作成する機能を持つ。この仮想ディスクは「TrueCryptボリューム」と呼ばれる。
• ボリュームのフォーマット形式はWindowsではFAT (FAT12, FAT16, FAT32) またはNTFS、LinuxではFAT (VFAT), ext2, ext3, ext4である。
• 利用できる暗号化アルゴリズム（ブロック暗号）は、AES, Serpent, Twofish（いずれも鍵長256ビット、ブロック長128ビット）の単独使用あるいは AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Serpent-Twofish-AES, Twofish-Serpentのカスケード方式の計8種類である。
• 利用できるハッシュアルゴリズム（暗号学的ハッシュ関数）は、RIPEMD-160（ハッシュ長160ビット）, SHA-512, Whirlpool（いずれもハッシュ長512ビット）の3種類である。
• ユーザは事前に作成されたTrueCryptボリュームを、TrueCryptのGUIを用いてマウントすることにより利用する。
• TrueCryptボリュームをマウントするときに、パスワードによる認証またはキーファイルによる認証が行われる。
• 一つのTrueCryptボリューム中に「外殻ボリューム」と「隠しボリューム」を作成することが出来る。マウント時にどちらのボリュームをマウントするかは、パスワードによって選択される。これは、脅迫等によってボリュームをマウントすることを強制された場合、「隠しボリューム」を開示しないために必要な機能である。
• Windows、Mac OS X、Linux用のTrueCryptで作成されたTrueCryptボリュームはそれぞれ互換性があるため、相互に利用が可能である。

情報の流出・盗難の予防

TrueCryptが作成した仮想ディスク（TrueCryptボリューム）は暗号化されているため、この仮想ディスクを納めたコンピュータ本体や、ハードディスクドライブ、USBメモリ、CD等のメディアが外部流出した場合でも、内部に格納されているデータが復号（解読）されない限り情報流出することは無い。

例えば、機密データをUSBメモリに格納して持ち歩く場合、TrueCryptが作成した仮想ディスクとして格納すれば、たとえUSBメモリを紛失したり盗難されたりしたとしても、実質的な情報流出にはならない。

情報の流出・盗難を予防できない可能性

この節には独自研究が含まれているおそれがあります。問題箇所を検証し出典を追加して、記事の改善にご協力ください。議論はノートを参照してください。（2023年5月）

• TrueCryptが作成した仮想ディスク（TrueCryptボリューム）が流出した場合で、その仮想ディスクに脆弱なパスワードが付与されていたり、同時にキーファイルも流出する等により、データを復号（解読）される可能性がある。

対抗手段：推測できない長いパスワードを付与。キーファイルはそれと推測されないファイル名にし、別に保存する等

• TrueCryptが作成した仮想ディスク（TrueCryptボリューム）をマウントする時に、適切なアクセスコントロール（他のユーザがアクセス出来ない）を設定していない場合は、そのコンピュータにアクセスできる他者が仮想ディスクにアクセスすることが出来る場合がある。

対抗手段：Linuxの場合であれば、mount状態のuidとgidがユーザ自身であり、umaskが077であることを確認する

• TrueCryptが作成した仮想ディスク上のファイルを、アプリケーションソフトで利用する場合、コンピュータのメモリ上には復号（解読）されたファイルのデータが展開されるとともに、場合によってはテンポラリファイルやスワップファイルに書き出されることもある。これらは他者からアクセスできる場合がある。

対抗手段：OSの設定をスワップファイルを用いない設定とする。Linuxであれば、アプリケーション利用前にswapoffコマンドを実行すれば良い。Windowsであれば、コントロールパネルで仮想メモリを利用しない設定とすれば良い（再起動が必要）。また、利用するアプリケーション毎にテンポラリファイルがどこに作成されるか、常に注意を払う必要がある

ライセンス

TrueCryptは、独自の "TrueCrypt License" によってリリースされている^[4][16]。このライセンスは、広く受け入れられているオープンソースライセンスではなく、配布や著作権に関する制限があることからフリーソフトウェア財団に認定されているフリーソフトウェアライセンスでもない^[17]。TrueCrypt 7.1aのリリース時点で、TrueCrypt Licenseのバージョンは3.0であった。

2013年10月に、Open Source Initiativeのメーリングリスト上での議論で、オープンソースの定義に適合するようTrueCrypt Licenseの修正が進んでいることが示唆されたが、オープンソースソフトウェアであることがはっきりと示されない限り、それが受け入れられる見込みは少ないとされる^[17][18]。

OSI代表のSimon Phippsによると、

...（TrueCryptが）自らを「オープンソース」だと主張することは全く不適切である。単にOSIが認定していないライセンスだということではなく、問題を抱えていることがわかっているライセンスでリリースするものに「オープンソース」という用語を用いることは受け入れられない。^[17]

著作権の制限やそのほかの法的問題の状況が不透明であることから^[19]、TrueCrypt Licenseは主要なLinuxディストリビューションからはフリーソフトウェアだとはみなされておらず、Debian^[20]、Ubuntu^[21]、Fedora^[22]、openSUSE^[23]、Gentoo^[24]には同梱されていない。

このライセンスの利用者に対して、ソフトウェアを改変する権利あるいは他のプロジェクトでそのソフトウェアを使用する権利が認められているのかもはっきりとはしていない。暗号学者であるMatthew D. Greenは「（TrueCryptの開発者には）ライセンスの状況を修正することを含めて、TrueCryptのソースコードを他者が利用しやすくするよう、できることが多くあったはずだ」と述べ、他者が自分たちのソースコードをもとに独自にソフトウェアをビルドすることを認めたくなかったのだろうと推測している^[25]。

2014年6月16日に、Matthew Greenによるライセンスに関する電子メールでの問い合わせに開発者を名乗る人物から返答があった。それによると、1）TrueCryptのライセンスをオープンソースに適合するものに変更するつもりはない、2）TrueCryptはフォークされるべきではない、3）新しいバージョンを作成したいのであればスクラッチから始めるべきであるとのことであった^[26][27]。

開発終了とライセンスバージョン3.1

2014年5月28日に、TrueCryptの開発終了が発表され、新たにバージョン7.2のソフトウェアがリリースされた。これに合わせてTrueCrypt Licenseにも、配布の際に公式サイトへのリンクや特定の文言を加えることを要求していた条項が除去され、バージョン3.1のライセンスとなった^[28]。

脚注

1. ^ http://truecrypt.sourceforge.net/.
2. ^ “Supported Operating Systems” (英語). www.truecrypt.org (2010年7月20日). 2010年7月20日閲覧。
3. ^ “Language Packs” (英語). www.truecrypt.org (2010年7月20日). 2010年7月20日閲覧。
4. ^ ^{a b c} “TrueCrypt License Version 3.0” (英語). www.truecrypt.org (2010年7月20日). 2010年7月20日閲覧。^{[リンク切れ]}
5. ^ “Operating Systems Supported for System Encryption” (英語). www.truecrypt.org (2010年7月20日). 2010年7月20日閲覧。
6. ^ https://internet.watch.impress.co.jp/docs/news/651011.html
7. ^ tc-foundation (2014年5月28日). “TrueCrypt project page”. SourceForge. 2014年5月30日時点のオリジナルよりアーカイブ。2014年6月23日閲覧。
8. ^ Goodin, Dan (2014-05-28), "TrueCrypt is not secure," official SourceForge page abruptly warns, Ars Technica, http://arstechnica.com/security/2014/05/truecrypt-is-not-secure-official-sourceforge-page-abruptly-warns/ 2014年6月23日閲覧。 
9. ^ O'Neill, Patrick (2014年5月28日). “TrueCrypt, encryption tool used by Snowden, shuts down due to alleged 'security issues'”. The Daily Dot. http://www.dailydot.com/technology/truecrypt-dead-unsecure/ 2014年6月23日閲覧。 
10. ^ McAllister, Neil (2014-05-28), TrueCrypt considered HARMFUL – downloads, website meddled to warn: 'It's not secure', The Register, http://www.theregister.co.uk/2014/05/28/truecrypt_hack/ 2014-0-23閲覧。 
11. ^ Goodin, Dan (2014-05-29), Bombshell TrueCrypt advisory: Backdoor? Hack? Hoax? None of the above?, Ars Technica, http://arstechnica.com/security/2014/05/bombshell-truecrypt-advisory-backdoor-hack-hoax-none-of-the-above/ 2014年6月23日閲覧。 
12. ^ Bar-El, Hagai (2014-05-30), The status of TrueCrypt, http://www.hbarel.com/analysis/itsec/the-status-of-truecrypt 2014年6月23日閲覧。 
13. ^ Stahie, Silviu (2014-05-30), TrueCrypt Not Dead, Forked and Relocated to Switzerland, Softpedia, http://news.softpedia.com/news/TrueCrypt-Not-Dead-Forked-and-Relocated-to-Switzerland-444447.shtml 2014年6月23日閲覧。 
14. ^ Security enthusiasts may revive ‘TrueCrypt’ encryption tool after mystery shutdown, Rawstory, Reuters, (2014-05-29), http://www.rawstory.com/rs/2014/05/29/security-enthusiasts-may-revive-truecrypt-encryption-tool-after-mystery-shutdown/ 2014年6月23日閲覧。 
15. ^ Gibson, Steve (2014年5月30日). “And then the TrueCrypt developers were heard from!”. TrueCrypt Latest Release Repository. Gibson Research Corporation. 2014年5月30日時点のオリジナルよりアーカイブ。2014年6月23日閲覧。
16. ^ “TrueCrypt Collective License”. 2014年6月23日閲覧。
17. ^ ^{a b c} Phipps, Simon (2013-11-15), TrueCrypt or false? Would-be open source project must clean up its act, InfoWorld, http://www.infoworld.com/d/open-source-software/truecrypt-or-false-would-be-open-source-project-must-clean-its-act-230862 2014年6月23日閲覧。 
18. ^ Fontana, Richard (2013年10月). “TrueCrypt license (not OSI-approved; seeking history, context).”. 2014年6月23日閲覧。
19. ^ “Tom Callaway of Red Hat about TrueCrypt licensing concern”. 2014年6月23日閲覧。
20. ^ “Debian Bug report logs - #364034”. 2014年6月23日閲覧。
21. ^ “Bug #109701 in Ubuntu”. 2014年6月23日閲覧。
22. ^ “TrueCrypt licensing concern”. 2014年6月23日閲覧。
23. ^ “non-OSI compliant packages in the openSUSE Build Service”. 2014年6月23日閲覧。
24. ^ “Gentoo bug 241650”. 2014年6月23日閲覧。
25. ^ May 29, 2014 15:37 BST. “TrueCrypt Goes the Way of Lavabit as Developers Shut it Down Without Warning”. Ibtimes.co.uk. 2014年6月23日閲覧。
26. ^ Green, Matthew D. (2014年6月16日). “Here is the note...” (Twitter). 2014年6月22日時点のオリジナルよりアーカイブ。2014年6月23日閲覧。
27. ^ Goodin, Dan (2014-06-19), Following TrueCrypt’s bombshell advisory, developer says fork is “impossible”, Ars Technica, http://arstechnica.com/security/2014/06/following-truecrypts-bombshell-advisory-developer-says-fork-is-impossible/ 2014年6月23日閲覧。 
28. ^ “TrueCrypt License Version 3.1”. TrueCrypt Foundation (2014年5月28日). 2014年6月23日閲覧。

関連項目

• ディスクの暗号化（Wikipedia英語版の記事）
• 暗号
• Advanced Encryption Standard
• LUKS（ディスク暗号化ソリューションの一つ）
• GnuPG（公開鍵暗号化方式によるファイルの暗号化ソフトウエア）
• VeraCrypt（TrueCryptのソースコードをフォークしたTrueCrypt互換の暗号化ソフトウェアの一つ）
• CipherShed（TrueCryptのソースコードをフォークしたTrueCrypt互換の暗号化ソフトウェアの一つ）
• データの完全消去

外部リンク

• TrueCrypt 公式サイト（Linux版、Mac OS X版、Windows版のダウンロードもここより行う）（英語）
• ＠IT 暗号化仮想ドライブで手軽にファイルを暗号化 （2007/1/27付の記事）
• 窓の杜 システムドライブの暗号化で情報漏洩を防げる「TrueCrypt」v5.0 （2008/02/08付の記事）