Forse non tutto è perduto per Truecrypt: il popolare software di cifratura, particolarmente diffuso su sistemi Windows, non sarà abbandonato dopo il controverso annuncio apparso la scorsa settimana sulla pagina ufficiale del progetto. L’audit iniziato e che ha già completato la fase 1 proseguirà, come programmato, verso la fase 2 per una completa disamina del codice. In più, grazie ai fondi raccolti e alla collaborazione con la Linux Foundation , si valuta l’ipotesi di iniziare un lavoro di revisione del codice che porti al rilascio di un fork, con licenza open source , in grado di garantire il prosieguo dell’utilizzo del software negli anni a venire.
We are continuing forward with formal cryptanalysis of TrueCrypt 7.1 as committed, and hope to deliver a final audit report in a few months.
— OpenCryptoAudit (@OpenCryptoAudit) 29 Maggio 2014
Il mistero su cosa sia realmente successo probabilmente resterà tale: nessuno ha ricevuto notizie su chi o cosa abbia spinto lo sviluppatore (o gli sviluppatori) che da dieci anni portavano avanti il progetto a dichiararne improvvisamente la fine affermando che non era più sicuro. Minacce, pressioni governative, stanchezza , scherzo di cattivo gusto, sono tutte ipotesi che restano ancora sul tavolo: sta di fatto che l’ultima release disponibile di Truecrypt, la 7.1, aveva già concluso positivamente il primo ciclo di verifiche, e fino a questo momento la criptoanalisi approfondita non aveva svelato particolari problemi. La possibilità che nascosto nelle pieghe del codice ci sia un bug, o peggio una backdoor, non è lecito escluderla : ma da qui a giustificare questa improvvisa dismissione ce ne passa.
We are considering several scenarios, including potentially supporting a fork under appropriate free license, w/ a fully reproducible build.
— OpenCryptoAudit (@OpenCryptoAudit) 29 Maggio 2014
Se Truecrypt supererà la fase 2 dell’audit, quella che prevede un controllo approfondito del suo comportamento e che dovrebbe concludersi entro l’autunno, ci sono già piani per riportarlo in vita: un sito , con base in Svizzera, è stato messo in piedi per ospitare il progetto, e si stanno valutando tutte le implicazioni sotto il profilo delle licenze d’uso (Truecrypt ha sempre orbitato in una zona grigia per quanto riguarda la compatibilità con licenze FOSS). Nel caso in cui tutte le tessere del mosaico andassero a posto, l’eventualità di rimettere in piedi una ipotetica versione 7.3 sarebbe più che concreta: in quel caso si tratterebbe di un Truecrypt migliore dell’attuale , profondamente revisionato e ottimizzato, con un processo di compilazione e preparazione dei file eseguibili verificato, e con tutte le carte in regola per ri-debuttare alla grande sulla scena. ( L.A. )