Alfonso Maruccia

TrueCrypt, sicuro nonostante i bug

Dalla Germania arriva l'ennesima rassicurazione sulla robustezza del codice di TrueCrypt, tool per la cifratura dei dischi che può essere utilizzato tranquillamente anche dopo le misteriose vicende dell'anno scorso

Roma - Una nuova analisi di sicurezza pubblicata dal Fraunhofer Institute for Secure Information Technology sembra confermare le indicazioni già emerse in passato: TrueCrypt è sicuro, o quantomeno offre garanzie di sicurezza robuste soprattutto quando si tratta di difendere da occhi indiscreti i dati salvati su dischi non in linea.

Cassandra aveva dunque ragione, l'ultima versione "buona" di TrueCrypt (7.1a) continua a svolgere bene il suo compito a un anno dal tuttora inspiegabile abbandono degli sviluppatori originari. Anche il gruppo di auditing ufficiale, nato grazie al crowdfunding dopo gli strani messaggi lanciati dai suddetti sviluppatori, aveva sostanzialmente dato il via libera all'utilizzo del software escludendo il rischio di trovarsi una backdoor (o magari peggio) in casa.

Anche i ricercatori del Fraunhofer, in ogni caso, hanno identificato alcuni bug minori nel codice sorgente di TrueCrypt, parlando di vulnerabilità che potrebbero manifestarsi anche in altre implementazioni delle funzioni e degli algoritmi crittografici.
Certo l'applicazione della crittografia nel codice di TrueCrypt non è ottimale, sostiene il rapporto dell'istituto tedesco, l'implementazione dell'algoritmo AES non è resistente ad attacchi basati sul timing e i file cruciali non sono utilizzati in un modo "crittograficamente sicuro".
Anche considerando i difetti e i bug del codice, comunque, dal Fraunhofer confermano che TrueCrypt è "più sicuro di quanto le analisi precedenti suggeriscano". La sicurezza del popolare tool crittografico - che in ogni caso non è più in fase di sviluppo attivo - è massima quando il sistema è spento e i dischi cifrati sono "offline", spiegano i ricercatori, mentre keylogger o altri tipi di malware capaci di compromettere i dati a sistema acceso possono continuare ad agire (quasi) indisturbati anche con TrueCrypt. O con qualsiasi altro tool di cifratura.

Alfonso Maruccia
Notizie collegate
  • SicurezzaTrueCrypt, messaggi indecifrabili dagli sviluppatoriUno dei tool di sicurezza più popolari cessa lo sviluppo e il sito ufficiale accoglie gli utenti con allarmanti messaggi di (in)sicurezza. Defacement, trovata pubblicitaria o minacce legali sono le spiegazioni più accreditate
  • SicurezzaTrueCrypt, concluso l'auditingRisultati sostanzialmente positivi per la revisione del codice di TrueCrypt, software per la cifratura delle unità di storage la cui scomparsa continua a essere avvolta dal mistero. Per lo meno, le tanto temute backdoor NSA non ci sono
  • SicurezzaCassandra Crossing/ Dopo Truecryptdi M. Calamari - E' trascorso oltre un anno da quando la confusione è calata su Truecrypt, sono nati fork e sono state condotte analisi sul codice. Ora di chi ci si può fidare?
8 Commenti alla Notizia TrueCrypt, sicuro nonostante i bug
Ordina