Successivo

Security

TrueCrypt: addio o arrivederci?

Maurizio Bergami | 2 Luglio 2014

Sicurezza

Il 28 maggio i visitatori del sito Web di TrueCrypt, il popolare software open source di crittografia, sono stati reindirizzati […]

truecrypt

Il 28 maggio i visitatori del sito Web di TrueCrypt, il popolare software open source di crittografia, sono stati reindirizzati su una pagina di Sourceforge che mostrava un messaggio inquietante: “Attenzione: usare TrueCrypt non è sicuro, il programma può contenere bug di sicurezza irrisolti“. Subito sotto, l’annuncio che lo sviluppo del software era cessato a maggio 2014, in contemporanea alla fine del supporto a Windows XP da parte di Microsoft.

In fondo, il link a una nuova versione di TrueCrypt, la 7.2, dotata delle sole funzioni di decifratura: le versioni precedenti non erano più disponibili. L’aspetto abbastanza amatoriale della pagina ha fatto pensare inizialmente a un defacement da parte di qualche hacker in vena di scherzi, ma la scoperta che la nuova versione era stata firmata digitalmente con la stessa chiave Pgp usata per la precedente release ha fatto capire che l’annuncio era legittimo. I complottisti si sono scatenati: l’Nsa è riuscita a intimidire gli sviluppatori (che sono sempre rimasti anonimi), anzi no, è stata proprio l’Nsa a creare TrueCrypt per poter poi decifrare a piacere i dati, grazie a una backdoor non documentata. E via di questo passo.

Ma l’ipotesi più probabile è probabilmente questa: dopo un decennio, gli sviluppatori si sono stancati di portare avanti il progetto, anche per la difficoltà  di rendere compatibili con Windows 8 le funzioni più avanzate. Per quanto riguarda la presunta insicurezza del programma, nessuno può escludere che gli stessi sviluppatori abbiano rilevato falle mai emerse prima e difficili o impossibili da chiudere. Ma un’analisi indipendente della sicurezza di TrueCrypt avviata qualche mese fa (per i dettagli: https://istruecryptauditedyet.com) finora non ha evidenziato problemi, e il software in passato ha resistito ad attacchi assai determinati: per un anno l’FBI ha tentato, senza riuscirci, di decifrare alcune unità  disco – protette proprio con TrueCrypt – del banchiere brasiliano Daniel Dantas, accusato di riciclo di denaro.

La verifica del codice di TrueCrypt comunque continua, ed è probabile che a breve TrueCrypt possa risorgere – anche se con un altro nome – grazie a un fork del codice e allo sforzo di un nuovo gruppo di lavoro: in molti si sono fatti avanti per raccogliere il testimone, ad esempio i creatori del sito Web TCnext (dove oggi è possibile recuperare l’ultima release completamente funzionale del software).

Maurizio Bergami