25 de noviembre de 2015

TRUECRYPT. Más seguro de lo que pensábamos

Año y medio después de que TrueCrypt interrumpiera su desarrollo de forma más que sospechosa, el interés por este software de cifrado no decae y una nueva auditoría, en esta ocasión realizada por la Oficina Federal para la Seguridad de la Información (BTI) de Alemania, nos vuelve a confirmar que pese a ser un proyecto muerto todavía es básicamente seguro.
Es curioso que un proyecto que ya no tiene futuro, este mucho más auditado en los últimos meses que otros en desarrollo, llamados a tomar su testigo —veracrypt, zulucrypt, cyphershed…–; pero el mundo del software libre y de las –nada baratas– auditorias de seguridad es así.
Lo que nos dice este último estudio es que TrueCrypt cumple para lo que está diseñado:
Overall, the analysis did not identify any evidence that the guaranteed encryption charac-teristics are not fulfilled in the implementation of TrueCrypt.
y que la seguridad que proporciona TrueCrypt es incluso superior a la que había anunciado un grupo de expertos en criptografía (OCAP) a principios de año y no han detectado algunas de las vulnerabilidades que estos señalaban (desbordamientos de buffer básicamente)
The OCAP report describes a total of 11 vulnerabilities in TrueCrypt.The report has clear deficiencies when describing the underlying methods andtechniques used for the analysis. It is thus not possible to a large extent to reproducethe findings precisely.The automated code analysis could not identify the vulnerabilities presented in theOCAP report
Incluso los problemas que se habían detectado a la hora de generar números aleatorios –principalmente en Windows– no serían explotables en la práctica.
Con todo TrueCrypt no es perfecto y aunque para llevar los datos cifrados en una memoria USB o utilizar en un equipo offline es relativamente seguro, no está exento de posibles vulnerabilidad si lo utilizamos en equipos online o compartidos en los que pueda ser instalado algún tipo de troyano –keylogger–, que registre las claves utilizadas (aunque esto en realidad puede pasar con cualquier software y ya sabemos que en Linux lo de los troyanos te lo tienes que instalar tu mismo, darle permisos de root y pedirle por favor que funcione).
También se destaca que la documentación del proyecto TrueCrypt es bastante pobre, lo que dificulta mucho el que alguien que no haya participado en su creación, continúe su desarrollo o lo mantenga.
Más información
·                 El estudio completo de 77 páginas y que llevó 6 meses de trabajo, lo podéis consultar aquí en su versión inglesa. https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Studies/Truecrypt/Truecrypt.pdf?__blob=publicationFile&v=2
Fuente: Secure Software Engineering