Dopo sette mesi di indagini, il team di esperti guidato da Matthew Green, crittografo, docente presso la Johns Hopkins University, e Kenneth White, ricercatore presso Social & Scientific Systems, è arrivato ad una prima conclusione: “in TrueCrypt non c’è nessuna backdoor né è stato usato codice malevolo in tutte le varie aree oggetto di verifica“.
I due accademici si erano presi la briga di esaminare nel dettaglio il codice sorgente di TrueCrypt al fine di rilevare eventuali peculiarità o comportamenti sospetti (ne avevamo parlato nell’articolo Dopo lo scandalo NSA, anche TrueCrypt sotto la lente). Sulla scorta delle rivelazioni di Edward Snowden, infatti, in molti si sono chiesti quali prodotti software potessero essere davvero ritenuti fidati e quali, invece, presentassero debolezze o, peggio, caratteristiche inserite con lo scopo di facilitare l’accesso ai dati da parte di una ristretta cerchia di persone (ad esempio, gli agenti NSA).
TrueCrypt è uno dei software crittografici più utilizzati al mondo: consente non soltanto di creare delle unità virtuali cifrate ma anche di proteggere il contenuto di singole partizioni o di interi hard disk. Chi non possiede la “parola chiave” (o “passphrase”) utilizzata in fase di cifratura dei dati, non può avere accesso alle informazioni in chiaro (l’articolo Come conservare gli archivi delle password in un’unità crittografata con TrueCrypt contiene tutta una serie di riferimenti alle guide su TrueCrypt che abbiamo via a via pubblicato).
È infatti vero che il codice sorgente di TrueCrypt è “aperto” ma nessuno mai, prima d’ora, ne aveva fatto un’analisi puntuale. Inoltre, le differenze fra le varie versioni del programma per i diversi sistemi operativi possono far ipotizzare che le release compilate non siano state generate a partire dallo stesso codice sorgente.
Il duo Green-White, tuttavia, ha rassicurato gli utenti TrueCrypt. Gli esperti, durante le loro analisi, hanno identificato alcune vulnerabilità minori che però appaiono non intenzionali, risultato di semplici bug.
A questo punto, spiega Green, inizierà la seconda fase dell’analisi su TrueCrypt. Questa volta gli universitari controlleranno che le procedure crittografiche usate in TrueCrypt non soffrano di qualche debolezza e che quindi non siano presenti bug che possano essere sfruttati per accedere alle informazioni codificate.
Maggiori informazioni sull’attività di verifica sono consultabili a questo indirizzo.