Anche la seconda fase di test sul codice di TrueCrypt è giunta alla fine, e i risultati sono soddisfacenti se si giudicano dal punto di vista della mera sicurezza: l’oramai defunto software per la codifica di hard disk e dispositivi di storage non contiene bug particolarmente gravi, né risultano segni di backdoor infilate più o meno surrettiziamente dalla NSA a scopo di spionaggio.
Condotti da NCC Group con il contributo economico della community, gli ultimi test su TrueCypt hanno analizzato il codice riguardante gli algoritmi crittografici e i generatori di numeri casuali (RNGR) del software – la “chiave” dei meccanismi di protezione crittografici alla base del servizio di cifratura di TrueCrypt.
Dalla revisione non sono emersi bug pericolosi, a parte qualche problema minore come la non-inizializzazione della Crypto API di Windows – usata da TrueCrypt per generare i numeri casuali di cui sopra – e poco altro. Nulla di apocalittico, rassicurano gli esperti , viste le probabilità estremamente basse in cui il bug potrebbe manifestarsi.
Dalla fine dell’audit di TrueCrypt emerge quindi uno sconcerto ancora maggiore per la misteriosa e bizzarra modalità scelta dai creatori del tool per concludere lo sviluppo senza alcun preavviso, una “bomba” esplosa l’anno scorso in pieno scandalo Datagate e che a questo punto è destinata a non avere spiegazione per chissà ancora quanto tempo.
TrueCrypt era sicuro ed è morto, ma il lascito di TrueCrypt continua a rappresentare la base dei fork che nel frattempo sono emersi in sostituzione del tool crittografico scomparso: fra le alternative a TrueCrypt, VeraCrypt è al momento la soluzione più popolare per chi ha bisogno di criptare i dati su disco.
Alfonso Maruccia
Ti potrebbe interessare
7 apr 2015