Sicurezza

TrueCrypt sotto esame, si cerca la backdoor nascosta

TrueCrypt sarà messo sotto esame da specialisti, per vedere se ci sono debolezze di qualche tipo nel modo in cui protegge i nostri file con la crittografia. Il software è famoso, apprezzato da molti, gratuito e open source; ma misterioso. Nessuno sa per esempio con esattezza chi l'ha creato, e nessuno ha mai eseguito un vero controllo sulla sua effettiva sicurezza. L'indagine su TrueCrypt si potrà seguire tramite il sito istruecryptauditedyet.com.

Fino a qualche giorno fa tutto questo non era un problema, perché la gente semplicemente si fidava di TrueCrypt. Poi però si è saputo che la NSA ha manipolato gli standard crittografici per renderli vulnerabili, e in molti hanno cominciato a chiedersi se TrueCrypt sia davvero affidabile come si pensa. Per quanto ne sappiamo, in effetti, TrueCrypt potrebbe benissimo essere un prodotto della stessa NSA – e quindi contenere falle fatte apposta per facilitare il controllo da parte degli investigatori.

Un gruppo di criptoanalisti ha così deciso di passare all'azione, e mettere il popolare software sotto il classico microscopio. Per farlo hanno attivato una campagna di fundraising, tramite FundFill e IndieGoGo. E per come stanno andando le cose, si può dare quasi per certo che TrueCrypt sarà esaminato a dovere.

A occuparsene sarà Matthew Green, che insegna crittografia alla John Hopkins University. Un personaggio interessante, a cui è stato appunto chiesto di rimuovere un articolo sulle attività della NSA – evidentemente scomodo. L'articolo è consultabile qui.

Ma perché tanta attenzione su questo software? Lo stesso Green cerca di spiegarlo nel suo blog, dove afferma che "c'è scarsità di programmi di alta qualità e utilizzabili per la crittografia". Soprattutto la risposta è che "TrueCrypt è importante! Molte persone lo usano per proteggere informazioni molto sensibili. Inclusi segreti aziendali e informazioni private personali. Lo usa anche Bruce Schneier (un altro criptoanalisti molto famoso) per archiviare informazioni sul suo laptop, dopo aver esaminato i documenti trapelati sulla NSA. Dovremmo preoccuparci molto riguardo la sicurezza di un programma come questo."

Sappiamo infine che anche molti lettori di Tom's Hardware conoscono e usano TrueCrypt (noi stessi l'abbiamo consigliato più volte), e in passato l'hanno citato proprio come risposta alle intrusioni indebite della NSA. Vi fidate ancora di TrueCrypt, o temete che Green e i suoi colleghi scopriranno del marcio? E se non troveranno nulla di rilevante, ci si potrà comunque fidare?