Un team di terze parti ha eseguito una serie di controlli di sicurezza su TrueCrypt, noto tool multipiattaforma per la cifratura dei dati. Il team, guidato dall’esperto in sistemi crittografici Matthew Green, ha accertato che “TrueCrypt sembra essere un software di cifratura progettato abbastanza bene” e dai controlli non sarebbe emersa “la presenza di backdoor liberamente disseminate o di seri difetti di progettazione che potrebbero rendere il software insicuro nella maggiorparte dei casi”.
Di TrueCrypt si era parlato a maggio dello scorso anno dopo che questa era stato abbandonato in modo inusuale dagli sviluppatori: un avvertimento sul sito web dedicato avvisava che il software non era più sicuro e poteva contenere vulnerabilità non corrette. La chiusura improvvisa e il consiglio agli utenti Windows di sfruttare BitLocker di Microsoft, avevano fatto pensare che gli sviluppatori avessero ricevuto pressioni o minacce di tipo legale non molto diverse da quelle che in precedenza hanno portato alla chiusura di tool simili; altri ancora hanno ipotizzato a ritorsioni legali da parte di agenzie governative statunitensi. Nessuno degli sviluppatori ha in seguito rilasciato dichiarazioni specifiche, ma non è facile capire questi chi sono avendo sempre lavorato nell’anonimato preferendo non rendere noti i loro nomi.
Essendo l’applicazione freeware e opensource, un gruppo di esperti ha analizzato come detto il codice, arrivando alla conclusione che il software non è perfetto, sfrutta in modo incauto il generatore di numeri casuali di Windows e presenta potenzialità vulnerabilità ma queste sono nella maggiorparte dei casi marginali. Complessivamente è stato reputato un software valido e tra le righe si percepisce il rammarico per la chiusura del progetto e l’auspicio che altri sviluppatori si interessino e continuino a sviluppare questo strumento.
A rendere interessate TrueCrypt la possibilità di attivare la cifratura dei dati in tempo reale e in modo trasparente. Tra gli algoritmi usati per cifrare i dati, troviamo: AES (chiave a 256 bit), Blowfish (chiave a 448-bit), CAST5 (chiave a 128 bit), Serpent (chiave a 256 bit), Triple DES e Twofish (chiave a 256-bit). E’ anche possibile sfruttare alcuni algoritmi combinati in modo da rendere il livello di cifratura ancora più elevato.
Nelle versioni più recenti era stato abbandonato l’algoritmo di hash SHA-1 a favore del più sicuro SHA-512, sfruttato un nuovo modello di elaborazione dei block cipher, l’XTS che permetteva di montare anche i volumi creati con le precedenti release del software.
L’ultimo importante aggiornamento risale a due anni addietro, rendendo potenzialmente rischioso l’uso con i sistemi operativi più recenti. Nel frattempo altri sviluppatori hanno creato VeraCrypt, software open source realizzato a partire dal codice sorgente di TrueCrypt. Il nuovo tool non può ad ogni modo aprire i volumi cifrati con TrueCrypt.
