Alfonso Maruccia

TrueCrypt, concluso l'auditing

Risultati sostanzialmente positivi per la revisione del codice di TrueCrypt, software per la cifratura delle unità di storage la cui scomparsa continua a essere avvolta dal mistero. Per lo meno, le tanto temute backdoor NSA non ci sono

Roma - Anche la seconda fase di test sul codice di TrueCrypt è giunta alla fine, e i risultati sono soddisfacenti se si giudicano dal punto di vista della mera sicurezza: l'oramai defunto software per la codifica di hard disk e dispositivi di storage non contiene bug particolarmente gravi, né risultano segni di backdoor infilate più o meno surrettiziamente dalla NSA a scopo di spionaggio.

Condotti da NCC Group con il contributo economico della community, gli ultimi test su TrueCypt hanno analizzato il codice riguardante gli algoritmi crittografici e i generatori di numeri casuali (RNGR) del software - la "chiave" dei meccanismi di protezione crittografici alla base del servizio di cifratura di TrueCrypt.

Dalla revisione non sono emersi bug pericolosi, a parte qualche problema minore come la non-inizializzazione della Crypto API di Windows - usata da TrueCrypt per generare i numeri casuali di cui sopra - e poco altro. Nulla di apocalittico, rassicurano gli esperti, viste le probabilità estremamente basse in cui il bug potrebbe manifestarsi.
Dalla fine dell'audit di TrueCrypt emerge quindi uno sconcerto ancora maggiore per la misteriosa e bizzarra modalità scelta dai creatori del tool per concludere lo sviluppo senza alcun preavviso, una "bomba" esplosa l'anno scorso in pieno scandalo Datagate e che a questo punto è destinata a non avere spiegazione per chissà ancora quanto tempo.

TrueCrypt era sicuro ed è morto, ma il lascito di TrueCrypt continua a rappresentare la base dei fork che nel frattempo sono emersi in sostituzione del tool crittografico scomparso: fra le alternative a TrueCrypt, VeraCrypt è al momento la soluzione più popolare per chi ha bisogno di criptare i dati su disco.

Alfonso Maruccia
Notizie collegate
  • SicurezzaTrueCrypt, messaggi indecifrabili dagli sviluppatoriUno dei tool di sicurezza più popolari cessa lo sviluppo e il sito ufficiale accoglie gli utenti con allarmanti messaggi di (in)sicurezza. Defacement, trovata pubblicitaria o minacce legali sono le spiegazioni più accreditate
  • SicurezzaTrueCrypt, brace sotto le ceneriIl progetto di verifica del codice del fu software di cifratura non è stato abbandonato: al via la seconda fase dell'analisi che potrebbe gettare le basi per fork che sappiano metterne a frutto l'eredità
71 Commenti alla Notizia TrueCrypt, concluso l'auditing
Ordina
  • E perchè dovrei usare veracrypt se truecrypt funziona benissimo...
    non+autenticato
  • Grande (ed attesa) notizia!

    Come era prevedibile, per chi conoscesse TrueCrypt ed avesse seguito sia la prima fase dell'auditing sia la stranissima vicenda del "ritiro" degli sviluppatori, si conferma che TRUECRYPT 7.1a E' SICURO.
    E dato che non credo che esista altro tool crittografico che sia stato così PUBBLICAMENTE AUDITATO, ora sappiamo che E' IL PIU' SICURO DA USARE, almeno per ora.
    E dato che funziona benissimo (anche sulla pre-release di Windows 10, a quanto ho visto), non c'è motivo di cercare altro.

    Chi ne voglia scrivere una fork dovrà partire dalla versione 7.1a (fregandosene dei possibili problemi di licenza, del resto se gli sviluppatori originali hanno voluto restare anonimi per dieci anni ed ora "sono stati fatti ritirare" in silenzio, dubito che vorrebbero adire a vie legali!).
    E, possibilmente, fare auditare anche la fork. Se è una fork che parte come "clone" (come CipherShed) e non come (vero o presunto) "miglioramento" (come VeraCrypt), dovrebbe essere più facile e rapido fare l'auditing.
    Ma per ora (e presumibilmente per molti anni ancora) NON C'E' ALCUN BISOGNO DI UNA FORK!
    Sorry NSA ed FBI, vi è andata male!A bocca aperta

    Chi voglia iniziare ad usarlo lo può scaricare dai siti che hanno archiviato la versione 7.1a, come:
    https://github.com/AuditProject/truecrypt-verified... (sito dell'audit)
    oppure:
    https://www.grc.com/misc/truecrypt/truecrypt.htm
    non+autenticato
  • i prossimi OS che usciranno (a parte linux) per qualche stramba ragione saranno incompatibili con TC.
    non+autenticato
  • Si e no. Gli OS open (da linux ai bsd) hanno integrato il formato tc nei loro software crittografici.

    Per windows il problema è uefi che è incomptabile con l'attuale tc. Ma è un problema solo di chi vuole usare la fde.
    non+autenticato
  • - Scritto da: collione
    > Si e no. Gli OS open (da linux ai bsd) hanno
    > integrato il formato tc nei loro software
    > crittografici.
    >
    >
    > Per windows il problema è uefi che è incomptabile
    > con l'attuale tc. Ma è un problema solo di chi
    > vuole usare la
    > fde.

    Esatto.
    L'uso dei classici volumi TC (che è consigliabile per diversi motivi rispetto alla fde) funziona benissimo anche su Windows delle ultimissime versioni, compresa la pre-release di Windows 10 (almeno a quanto ho visto).
    non+autenticato
  • Possono scappare, ma non fuggire ... una bella VM e la prendono omunque in saccoccia.A bocca aperta
    non+autenticato
  • - Scritto da: prova123
    > Possono scappare, ma non fuggire ... una bella VM
    > e la prendono omunque in saccoccia.
    >A bocca aperta

    Soprattutto se la VM è contenuta in un volume hidden di TrueCrypt!Occhiolino
    Con CPU veloci, tipo i5 o i7, funziona benissimo (e sufficientemente bene perfino se sta su una chiavetta USB 3.0), provare per credere.
    non+autenticato
  • Basta anche non utilizzare potenziali keyfile ... forse si ... forse no!A bocca aperta
    non+autenticato
  • Invece vanno benissimo i keyfile non essendo necessari è un ottimo sistema per farli lavorare a loro piacere.
    non+autenticato
  • - Scritto da: ...
    > Invece vanno benissimo i keyfile non essendo
    > necessari è un ottimo sistema per farli lavorare
    > a loro
    > piacere.

    Mai usato keyfiles.
    Una passphrase molto lunga (50-60 caratteri o anche più, tanto oltre i 64 TrueCrypt la taglia ed usa solo la prima parte), senza senso compiuto, basata su cose note solo a me e comprendenti parole inventate, mai scritta da nessuna parte, ben tenuta a memoria perchè usata da anni, è la cosa più sicura.
    Nessun rischio di keyfile danneggiati e nessun rischio che la chiave o parte di essa venga trovata sul disco. In questo modo, fino a quando non riusciranno a leggere nella testa della gente, gli rimane solo la possibilità di un keylogger.
    E se anche si usasse un keyfile + password sarebbe rischioso usare una password corta associata al keyfile, bisognerebbe comunque usare una password/passphrase lunga. Quindi non vedo nei keyfile una facilitazione, quanto una inutile complicazione in più.

    Da lodare comunque i creatori di TrueCrypt che hanno voluto aggiungere anche questa opzione, per chi la apprezzasse. Più si va avanti e più ci si rende conto di quanto erano bravi e professionali coloro che lo hanno scritto.
    non+autenticato
  • la 7.1a con eventuali Vm sarà utilizzabile tranquillamente almeno per altri 15 anni ... Occhiolino
    non+autenticato
  • Un paio di ficodindia nelle mutande gli arrecherebbe meno fastidio! Rotola dal ridere
    non+autenticato
  • Quasi sicuramente... l'algoritmo è talmente buono che nemmeno quelli di NSA riescono a decrittarlo, ed è per questo che gli hanno mandato una bella lettera con la quale si intimava loro di sospendere la diffusione e lo sviluppo del software, per i soliti "interessi nazionali"... il software in se non ha proprio nulla dei tanto paventati "buchi o backdoor".

    Questa le batte tutte, galattica!
    non+autenticato
  • Ora sappiamo perchè ha chiuso il progetto principale,se è buono e il governo americano non può intromettersi allora diventa un problema e si minaccia gli sviluppatori A bocca storta
    non+autenticato
  • - Scritto da: Etype
    > Ora sappiamo perchè ha chiuso il progetto
    > principale,se è buono e il governo americano non
    > può intromettersi allora diventa un problema e si
    > minaccia gli sviluppatori
    >A bocca storta

    come ampiamente sospettato ovunque, anche qui, da molti quando avvenne l'annuncio della chiusura del progetto per 'insicurezza'
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)