- VeraCrypt के Windows ड्राइवर signing के लिए इस्तेमाल किया जाने वाला Microsoft अकाउंट बिना किसी पूर्व सूचना के बंद कर दिया गया, जिससे डेवलपर Mounir Idrassi Windows वर्ज़न अपडेट वितरित नहीं कर पा रहे हैं
- Microsoft की ओर से केवल अपील नहीं की जा सकती वाला संदेश छोड़ा गया, और कई बार संपर्क करने के बावजूद ऑटोमेटेड जवाबों के अलावा कोई प्रतिक्रिया नहीं मिली
- कम्युनिटी ने अकाउंट रिकवरी प्रक्रिया, सोशल मीडिया पर जानकारी साझा करना, वैकल्पिक signing तरीकों सहित कई समाधान सुझाकर समर्थन दिया
- कुछ उपयोगकर्ताओं ने Rufus प्रोजेक्ट के समान मामले साझा किए और डोमेन वेरिफिकेशन त्रुटि जैसी प्रशासनिक समस्या की संभावना बताई
- कई डेवलपर्स और उपयोगकर्ताओं ने Microsoft के भीतर संपर्कों और सार्वजनिक समर्थन की कोशिश करते हुए VeraCrypt के निरंतर रखरखाव और सुरक्षा के लिए सहयोग की इच्छा दिखाई
VeraCrypt प्रोजेक्ट अपडेट
-
Microsoft अकाउंट बंद होने से डेवलपमेंट रुका
- VeraCrypt डेवलपर Mounir Idrassi ने कई महीनों की अनुपस्थिति के बाद बताया कि Windows ड्राइवर और bootloader signing के लिए इस्तेमाल किया जाने वाला उनका Microsoft अकाउंट बंद कर दिया गया है
- Microsoft ने बिना किसी अग्रिम चेतावनी या ईमेल सूचना के अकाउंट समाप्त कर दिया, और संदेश में इसे अपील नहीं की जा सकती बताया गया
- Microsoft से कई माध्यमों से संपर्क करने की कोशिश की गई, लेकिन सिर्फ ऑटोमेटेड जवाब मिले, किसी वास्तविक प्रतिनिधि से संपर्क नहीं हो सका
- इसके कारण VeraCrypt के Windows वर्ज़न के अपडेट वितरित करना असंभव हो गया, जिससे प्रोजेक्ट संचालन में बड़ी बाधा आई
- Linux और macOS वर्ज़न का अपडेट जारी रखा जा सकता है, लेकिन अधिकांश उपयोगकर्ता Windows इस्तेमाल करते हैं, इसलिए प्रभाव बड़ा है
-
कम्युनिटी की प्रतिक्रिया और सुझाव
- उपयोगकर्ता Marty ने कहा कि मौजूदा Windows वर्ज़न (1.26.24) 2011 के सर्टिफिकेट से signed है और जल्द समाप्त होने वाला है, और Secure Boot वातावरण में unsigned वर्ज़न के उपयोग से समस्याओं की आशंका जताई
- AJ B ने Microsoft सपोर्ट पेज के अकाउंट रिकवरी फ़ॉर्म और कस्टमर सपोर्ट लिंक का उपयोग करने और Reddit तथा X (पूर्व में Twitter) के माध्यम से सार्वजनिक रूप से मामला उठाने की सिफारिश की
- Alex R ने इस मामले को Microsoft से जुड़े सोशल चैनलों पर साझा कर ध्यान आकर्षित करने का प्रस्ताव रखा, जिसे Idrassi ने सकारात्मक रूप से स्वीकार किया
- 风之暇想 ने signing पर निर्भर न रहने वाले archive-शैली के एन्क्रिप्शन प्रोग्राम को जोड़ने का सुझाव दिया, ताकि signing समस्या से निपटने का एक रास्ता मिल सके
-
अतिरिक्त सलाह और समर्थन के प्रयास
- Phoenix ने यह संभावना जताई कि सॉफ़्टवेयर के अवैध गतिविधियों में उपयोग की शिकायत के कारण अकाउंट हटाया गया हो सकता है, और केवल non-system partition को सपोर्ट करने वाले अस्थायी सीमित वर्ज़न का सुझाव दिया
- Enigma2Illusion ने Microsoft CEO Satya Nadella को सीधे ईमेल भेजने का तरीका विस्तार से बताया
- इसमें ईमेल विषय, मुख्य संदेश, संलग्न screenshot, संपर्क जानकारी आदि सहित उदाहरण पत्र प्रारूप दिया गया
- Preguntar Jeeves ने कहा कि अकाउंट पूरी तरह हटाया नहीं गया हो सकता, बल्कि disabled स्थिति में हो सकता है, और encryption कम्युनिटी के लोगों, मीडिया और राजनेताओं से संपर्क करने की सलाह दी
- जिन लोगों का उल्लेख किया गया उनमें Bruce Schneier, Chris Titus, Niels Ferguson, Rand Paul, Ron Wyden शामिल हैं
-
समान मामले और समाधान की संभावना
- Pete Batard ने बताया कि Rufus प्रोजेक्ट में भी उन्हें यही Microsoft Partner Center त्रुटि झेलनी पड़ी थी
- उनके मामले में डोमेन रजिस्ट्रार के WHOIS verification फेल होने से ऑटोमेटेड verification रुक गया था, और Microsoft सपोर्ट टीम से सीधे संपर्क के बाद समस्या हल हुई
- उन्होंने समझाया कि त्रुटि संदेश में “अपील नहीं की जा सकती” वाला वाक्यांश वास्तविक business verification प्रक्रिया से अलग एक ऑटोमेटेड संदेश होने की संभावना अधिक है
- डोमेन रजिस्ट्रेशन के प्रमाण जमा करने के बाद समस्या हल हो गई, और उन्होंने कहा कि Idrassi के मामले में भी कारण ऐसा ही हो सकता है
-
Microsoft के अंदर संपर्क की कोशिश
- Rafael Rivera ने कहा कि वह Microsoft के अंदर अपने संपर्कों के माध्यम से मामला आगे पहुँचा सकते हैं और ईमेल साझा करने का अनुरोध किया
- कम्युनिटी के कई उपयोगकर्ताओं ने Idrassi की स्थिति के प्रति सहानुभूति और समर्थन जताया और प्रोजेक्ट को जारी रखने में मदद के लिए तकनीकी और सामाजिक समर्थन के विभिन्न उपाय सुझाए
1 टिप्पणियां
Hacker News की टिप्पणियाँ
मैं भी अभी WireGuard के साथ इसी समस्या का सामना कर रहा हूँ
बिना किसी चेतावनी या सूचना के अकाउंट निलंबित कर दिया गया, और अभी मैं 60-दिन की appeal प्रक्रिया से गुजर रहा हूँ
अगर वास्तव में कोई RCE vulnerability होती और तुरंत patch जारी करना पड़ता, तो Microsoft ने मेरे हाथ पूरी तरह बाँध दिए होते
अगर Microsoft के अंदर कोई मदद कर सकता है, तो कृपया संपर्क करें (jason at zx2c4 dot com)
इन कंपनियों के लिए सामान्य उपयोगकर्ताओं को सेवा देने से इनकार करना अवैध होना चाहिए
अमेरिका में राजनीतिक कारणों से यह मुश्किल हो सकता है, लेकिन EU में संभावना है
EU के बाहर के लोग Estonia e-Residency के ज़रिए EU regulatory protection भी पा सकते हैं
ऐसा लगता है मानो Microsoft उपयोगकर्ता की network encryption या drive encryption को रोकना चाहता हो
जबकि Microsoft Azure Kubernetes Service में भी WireGuard को support करता है
60 दिन की अवधि अजीब तरह से लंबी भी है और छोटी भी
अमेरिकी सरकार को security vulnerability exploit करने का समय देने के लिए पर्याप्त, और बाद में Microsoft “गलती थी” कहकर बहाल भी कर सकता है
कुल मिलाकर यह security software को अस्थायी रूप से बाँधकर रखने की रणनीति जैसा लगता है
Microsoft के उपाध्यक्ष द्वारा पोस्ट किया गया update tweet देखने लायक है
पहले तो यह देखकर हैरानी हुई कि Veracrypt डेवलपर्स ऐसी स्थिति में हैं, और अब WireGuard डेवलपर भी
क्या Microsoft शायद open source projects को दबाने और अपने solutions को आगे बढ़ाने के लिए कोई नई policy लागू कर रहा है?
आजकल कंपनियाँ non-technical users को निशाना बनाने वाले scam apps के distribution को रोकने के लिए ऐसे कदम कड़े कर रही हैं
यह कुछ वैसा ही संदर्भ है जैसे Google sideloading को रोकता है
ऐसी समस्याएँ तभी सुलझती हैं जब media coverage मिलती है
जैसे पहले neocities का Bing से संपर्क नहीं हो पा रहा था, वैसे ही Ars Technica जैसे media outlet को इस पर लिखना चाहिए
अब regulatory action की ज़रूरत है
मौजूदा app distribution संरचना अब “user choice” मॉडल नहीं रही, बल्कि कंपनी-नियंत्रित whitelist system बन चुकी है
individual developers और open source developers इस प्रक्रिया में Kafkaesque procedures, अनुचित लागत और अपारदर्शी मानकों से जूझते हैं
मेरे app Payload का Digicert code signing renewal भी 6 महीने से अटका हुआ है
यह सिर्फ technical issue नहीं, बल्कि monopolistic verification system की समस्या है
SSL certificates के pre-Let’s Encrypt दौर से भी ज़्यादा महंगा, मुश्किल और अस्पष्ट है
यह तो मानो LibreOffice घटना की पुनरावृत्ति लगती है
संबंधित लेख को देखें, Microsoft ने LibreOffice के development version को block किया था
ऐसी संरचना खतरनाक है, और Windows छोड़ने की एक और वजह बनती है
Microsoft का automatic abuse detection system इतना खराब है कि अकाउंट बिना वजह भी lock हो जाते हैं
अगर संभव हो तो महत्वपूर्ण कामों के लिए MS अकाउंट का इस्तेमाल न करें, और signing के लिए third-party CA का उपयोग करना बेहतर है
TrueCrypt डेवलपर ने अचानक project बंद करके BitLocker को alternative के रूप में क्यों सुझाया, यह अब भी रहस्य है
Paul Le Roux wiki document देखें
archive link
मौजूदा हालात देखकर लगता है कि Linux ही एकमात्र उम्मीद है
Windows या macOS business use के लिए बहुत जोखिमभरे और अक्षम लगते हैं
मेरा अनुमान है कि Microsoft जन-प्रतिक्रिया की परीक्षा ले रहा है
अगर विरोध ज़्यादा हुआ तो “गलती थी” कहकर अकाउंट बहाल कर देगा, और प्रतिक्रिया कमज़ोर रही तो VPN, torrent, ad blocker जैसे software की signing keys को धीरे-धीरे और रोकना शुरू करेगा
उनका open source में शामिल होना शुद्ध इरादे से नहीं, बल्कि business calculation का हिस्सा था
अब वे Windows को पूरी तरह lock down करना चाहते हैं, और GitHub तथा VSCode भी उसी राह पर जा सकते हैं
Veracrypt की कुछ सुविधाएँ सिर्फ Windows पर ही संभव हैं
उदाहरण के लिए full system partition encryption या Hidden OS installation केवल MBR-आधारित Windows पर काम करती है
ऐसी plausible deniability technology को OS स्तर पर और आगे बढ़ते देखना चाहता था, लेकिन अब यह लगभग गायब हो चुकी है
BlackHat presentation material में भी इसी तरह की कोशिश थी
Microsoft ने डेवलपर के signing certificate को disable कर दिया, जिससे Windows release distribute नहीं हो पा रही
पहले से verified identity वाले डेवलपर का certificate revoke करने की वजह क्या हो सकती है?
यह भी जानना चाहता हूँ कि ऐसे फ़ैसले के खिलाफ कानूनी कार्रवाई का कोई रास्ता है या नहीं?