Una nuova analisi di sicurezza pubblicata dal Fraunhofer Institute for Secure Information Technology sembra confermare le indicazioni già emerse in passato: TrueCrypt è sicuro, o quantomeno offre garanzie di sicurezza robuste soprattutto quando si tratta di difendere da occhi indiscreti i dati salvati su dischi non in linea.
Cassandra aveva dunque ragione , l’ultima versione “buona” di TrueCrypt (7.1a) continua a svolgere bene il suo compito a un anno dal tuttora inspiegabile abbandono degli sviluppatori originari . Anche il gruppo di auditing ufficiale, nato grazie al crowdfunding dopo gli strani messaggi lanciati dai suddetti sviluppatori, aveva sostanzialmente dato il via libera all’utilizzo del software escludendo il rischio di trovarsi una backdoor (o magari peggio) in casa.
Anche i ricercatori del Fraunhofer, in ogni caso, hanno identificato alcuni bug minori nel codice sorgente di TrueCrypt, parlando di vulnerabilità che potrebbero manifestarsi anche in altre implementazioni delle funzioni e degli algoritmi crittografici.
Certo l’applicazione della crittografia nel codice di TrueCrypt non è ottimale , sostiene il rapporto dell’istituto tedesco, l’implementazione dell’algoritmo AES non è resistente ad attacchi basati sul timing e i file cruciali non sono utilizzati in un modo “crittograficamente sicuro”.
Anche considerando i difetti e i bug del codice, comunque, dal Fraunhofer confermano che TrueCrypt è “più sicuro di quanto le analisi precedenti suggeriscano”. La sicurezza del popolare tool crittografico – che in ogni caso non è più in fase di sviluppo attivo – è massima quando il sistema è spento e i dischi cifrati sono “offline”, spiegano i ricercatori, mentre keylogger o altri tipi di malware capaci di compromettere i dati a sistema acceso possono continuare ad agire (quasi) indisturbati anche con TrueCrypt. O con qualsiasi altro tool di cifratura.
Alfonso Maruccia