Dopo le continue rivelazioni sulle attività di monitoraggio e spionaggio della NSA (National Security Agency), agenzia governativa che insieme con FBI e CIA si occupa della sicurezza nazionale statunitense (RSA: attenti all’algoritmo contenente la backdoor di NSA; Scandalo NSA, la sicurezza in Rete è morta? No di certo), tutti si chiedono quali soluzioni crittografiche possano essere ritenute davvero sicure e quali, invece, potrebbero potenzialmente rappresentato una minaccia.
Sotto la lente d’ingrandimento è finito TrueCrypt, il celeberrimo software opensource che permette di creare contenitori “cifrati” e crittografare intere partizioni o dischi fissi. Il codice di TrueCrypt è aperto, è vero, ma nessuno sembra essersi preso la briga di esaminarlo nel dettaglio. Inoltre, qualcuno ha evidenziato le differenze fra le varie versioni del programma per i diversi sistemi operativi ipotizzando che le release compilate potrebbero non essere state generate a partire dallo stesso codice sorgente.
Matthew Green, crittografo, docente presso la Johns Hopkins University, e Kenneth White, ricercatore presso Social & Scientific Systems, hanno deciso di analizzare TrueCrypt nelle sue pieghe più recondite. Non perché allo stato attuale ci siano evidenze di “peculiarità sospette” ma semplicemente perché, in quanto software utilizzatissimo su scala planetaria, è giunta l’ora di certificarne il funzionamento.
Green e White hanno così cercato degli investitori per svolgere l’attività di verifica e, a quanto pare, li hanno trovati. Sino ad oggi, infatti, i ricercatori – grazie alle due campagne di crowdfunding su Indiegogo e su FundFill – avrebbero già raccolto oltre 53.000 dollari, ben più del traguardo di 25.000 dollari inizialmente fissato.
“Il problema con TrueCrypt è solo stesso che affligge i principali software per la sicurezza (da quando sono stati diffusi i documenti sulle attività espletate dalla NSA, n.d.r.)”, ha commentato Green. “Oggi non sappiamo più a chi dare fiducia“. Ed è proprio per questo motivo, spiega ancora l’esperto, che c’è bisogno di imponenti attività d’indagine.
Secondo le ultime notizie, il team che lavora sullo sviluppo di TrueCrypt (l’identità dei singoli individui, però, non è nota) sarebbe stato contattato. Gli autori di TrueCrypt si sarebbero dimostrati interessati a partecipare al lavoro di analisi sul sorgente del programma e sul codice compilato. Il sito dell’iniziativa promossa dai due ricercatori è raggiungibile cliccando qui.