L'”audit” ossia il controllo tecnico che era stato avviato, tempo fa, da un team di esperti crittografi su TrueCrypt si è appena concluso.
Il celeberrimo (ed ancor oggi utilizzato) software per la cifratura dei dati – dichiarato “defunto” dai suoi autori a fine maggio 2014 (TrueCrypt non è sicuro, si legge sulla home del progetto) è stato ufficialmente dichiarato sostanzialmente sicuro dal team capitanato dal professor Matthew Green.
TrueCrypt è sicuro: niente falle di sicurezza importanti
Chiudendo la sua analisi, Green ha spiegato come nessuna falla importante sia emersa durante la lunga analisi tecnica che ha visto come protagonista TrueCrypt.
Nell’applicazione non v’è alcuna backdoor né sono presenti lacune di sicurezza importanti che possano pregiudicare, a livello generalizzato, la riservatezza dei dati protetti con TrueCrypt.
Certo, il team guidato da Green ha scoperto alcune vulnerabilità minori ma si tratta di aspetti di importanza davvero marginale nella maggior parte delle situazioni. L’esperto ha spiegato, ad esempio, che l’API utilizzata per la generazione di numeri pseudo-casuali, in circostanze molto rare, può non essere inizializzata in maniera corretta. La chiave generata da TrueCrypt, in questi frangenti, è tutt’altro che forte ma l’eventualità che questo accada rende il problema assolutamente “sorvolabile”.
TrueCrypt viene quindi valutato come un software affidabile e complessivamente sviluppato molto bene. Tra le righe si legge un certo rammarico per la chiusura del progetto ed un auspicio che l’applicazione possa essere fatta crescere da parte di altri sviluppatori.
È interessante segnalare un’ottima alternativa a TrueCrypt per la crittografia dei dati: si chiama VeraCrypt, è un software opensource (il sorgente è liberamente consultabile ed analizzabile) ed è stato realizzato a partire dal codice sorgente di TrueCrypt.
Nell’articolo Come proteggere il contenuto dell’hard disk con VeraCrypt e Bitlocker ne abbiamo messo in evidenza le principali caratteristiche ed il funzionamento.
VeraCrypt non può aprire i volumi cifrati con TrueCrypt ed è più lento nell’apertura degli stessi e delle partizioni crittografate (ciò deriva dall’utilizzo di alcune misure di sicurezza aggiuntive rispetto a TrueCrypt) ma una volta ultimata l’operazione, ogni problema di performance sarà superato.