TrueCrypt supera l’audit

Il programma di crittografia full disk gratuito e open source TrueCrypt è stato il tesoro del mondo della sicurezza (consigliato da Edward Snowden e Amazon allo stesso modo), nonostante il fatto che i suoi sviluppatori siano rimasti anonimi e che il codice non sia stato verificato in modo indipendente.


Proprio quando questo secondo problema veniva affrontato con un audit in corso a seguito di un progetto crowdfunding sostenuto dalla Electronic Frontier Foundation (EFF), gli sviluppatori TrueCrypt improvvisamente staccarono la spina del loro software in circostanze estremamente rischiose, raccomandando che gli utenti passassero al selvaggio insicuro e da allora confermato da parte di Snowden i documenti sono stati compromessi dall'NSA, BitLocker - una mossa così bizzarra che molti lo considerano un chiaro canarino di garanzia di qualche tipo.

Le teorie della cospirazione tra una comunità di sicurezza sempre più paranoica sono fiorite nonostante l'Open Crypto Audit Project abbia annunciato che dopo la fase I del suo audit non sono state rilevate vulnerabilità importanti. Con la fiducia in TrueCrypt ai minimi storici, ma con la domanda di funzionalità che prometteva ancora elevata (nessun altro programma offriva tutti i vantaggi di TrueCrypts tranne le forcelle, che erano essi stessi sospetti), i ricercatori hanno deciso di proseguire con l'audit.

La scorsa settimana sono stati pubblicati i risultati della fase II dell'audit e, in linea di massima, è stato conferito a TrueCrypt un buono stato di salute. Per quanto riguarda il team di audit in grado di determinare (non c'è modo di essere sicuri al 100%), il software crittografico non contiene backdoor o vulnerabilità intenzionalmente sfruttabili dalla NSA. Come capo ricercatore del rapporto, Matthew Green ha riassunto in un post sul blog,

'Il TL; DR è quello basato su questo audit, Truecrypt sembra essere un software crittografico relativamente ben progettato. L'audit NCC non ha trovato prove di backdoor intenzionali o di gravi difetti di progettazione che renderanno il software insicuro nella maggior parte dei casi. "

Il team ha riscontrato una serie di problemi che consiglia di risolvere, ma questi possono essere risolti e non rappresentano comunque una grave minaccia per gli utenti se non nelle circostanze più improbabili,

'Ciò non significa che TrueCrypt sia perfetto. I revisori hanno riscontrato alcune anomalie e qualche programmazione incautosa, che ha portato a un paio di problemi che potrebbero, nelle giuste circostanze, far sì che Truecrypt fornisca meno garanzie di quanto vorremmo.

"Ad esempio: il problema più significativo nel rapporto Truecrypt è una scoperta relativa alla versione Windows del generatore di numeri casuali (RNG) di Truecrypt, che è responsabile della generazione delle chiavi che crittografano i volumi di Truecrypt. Questo è un pezzo importante di codice, dal momento che un RNG prevedibile può portare al disastro per la sicurezza di tutto il resto nel sistema ...

Questa non è la fine del mondo, poiché la probabilità di un tale fallimento è estremamente bassa. Inoltre, anche se l'API di Windows Crypto non riesce sul tuo sistema, Truecrypt raccoglie ancora entropia da fonti come puntatori di sistema e movimenti del mouse. Queste alternative sono probabilmente abbastanza buone per proteggerti. Ma è un cattivo design e dovrebbe sicuramente essere riparato in qualsiasi forchetta Truecrypt. "

La comunità della sicurezza ora sta probabilmente emettendo un grande sospiro di sollievo, e questi risultati probabilmente migliorano la fiducia nelle forcelle che sono state sviluppate dopo la fine teorica di TrueCrypt. Il grosso problema con tali fork è che il codice TrueCrypt, mentre la fonte disponibile per il controllo, non è veramente open source, e quindi tale fork viene sviluppato in violazione del copyright. Tuttavia, affinché ciò costituisca un problema, gli sviluppatori originali dovrebbero disanonimarsi e presentare la richiesta, qualcosa che, considerato lo sforzo che hanno fatto per proteggere le loro identità, la maggior parte degli osservatori ritiene improbabile. È comunque una sorta di scommessa per i futuri sviluppatori perdere potenzialmente molto tempo e fatica nello sviluppo di software che alla fine potrebbe essere chiuso.

Le due principali forcelle di TrueCrypt attualmente in fase di sviluppo sono VeraCrypt e CypherShed, di cui VeraCrypt è generalmente considerata la migliore (e che afferma di aver risolto alcuni dei problemi con TrueCrypt). Guarda questo spazio per uno sguardo approfondito a VeraCrypt.

Coloro che preferiscono affidarsi al codice già verificato possono trovare versioni legacy del software nel Repository di versioni finali di TrueCrypt (abbiamo una guida completa all'uso di TrueCrypt disponibile qui), mentre quelli che ancora fanno leva su TrueCrypt (una posizione abbastanza comprensibile nella nostra vista, nonostante le nuove scoperte) potrebbe piacere consultare il nostro articolo sulle 5 migliori alternative open source a TrueCrypt.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me