Año y medio después de que TrueCrypt interrumpiera su desarrollo de forma más que sospechosa, el interés por este software de cifrado no decae y una nueva auditoría, en esta ocasión realizada por la Oficina Federal para la Seguridad de la Información (BTI) de Alemania, nos vuelve a confirmar que pese a ser un proyecto muerto todavía es básicamente seguro.
Es curioso que un proyecto que ya no tiene futuro, este mucho más
auditado en los últimos meses que otros en desarrollo, llamados a tomar su
testigo —veracrypt, zulucrypt, cyphershed…–; pero el mundo del software libre y
de las –nada baratas– auditorias de seguridad es así.
Lo que nos dice este último estudio es que TrueCrypt cumple para lo
que está diseñado:
Overall, the analysis did not identify any evidence that the guaranteed encryption charac-teristics are not fulfilled in the implementation of TrueCrypt.
y que la seguridad que proporciona TrueCrypt es incluso superior a la
que había anunciado un grupo de expertos en criptografía (OCAP) a principios de
año y no han detectado algunas de las vulnerabilidades que estos señalaban
(desbordamientos de buffer básicamente)
The OCAP report describes a total of 11 vulnerabilities in TrueCrypt.The report has clear deficiencies when describing the underlying methods andtechniques used for the analysis. It is thus not possible to a large extent to reproducethe findings precisely.The automated code analysis could not identify the vulnerabilities presented in theOCAP report
Incluso los problemas que se habían detectado a la hora de generar
números aleatorios –principalmente en Windows– no serían explotables en la práctica.
Con todo TrueCrypt no es perfecto y aunque para llevar los datos cifrados en una memoria USB o utilizar en un equipo offline es relativamente seguro, no está exento de posibles vulnerabilidad si lo utilizamos en equipos online o compartidos en los que pueda ser instalado algún tipo de troyano –keylogger–, que registre las claves utilizadas (aunque esto en realidad puede pasar con cualquier software y ya sabemos que en Linux lo de los troyanos te lo tienes que instalar tu mismo, darle permisos de root y pedirle por favor que funcione).
También se destaca que la documentación del proyecto TrueCrypt es
bastante pobre, lo que dificulta mucho el que alguien que no haya participado
en su creación, continúe su desarrollo o lo mantenga.
Más información
·
El estudio
completo de 77 páginas y que llevó 6 meses de trabajo, lo podéis consultar aquí
en su versión inglesa. https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Studies/Truecrypt/Truecrypt.pdf?__blob=publicationFile&v=2
Fuente: Secure Software Engineering