11424 Letture

TrueCrypt non è sicuro, si legge sulla home del progetto

TrueCrypt è uno dei software più apprezzati ed utilizzati al mondo. Il programma permette di crittografare l'intero disco fisso o creare "contenitori virtuali", anch'essi cifrati, nei quali salvare dati personali evitandone l'accesso da parte di persone non autorizzate.
Nelle scorse settimane, sull'onda dello scandalo NSA, due noti ricercatori avevano pubblicato i risultati delle prime approfondite analisi sul codice sorgente di TrueCrypt spiegando come il programma non contenga backdoor o codice sospetto, utilizzabile per "forzare" le unità crittografate da altri utenti: TrueCrypt è sicuro, non contiene alcuna backdoor. Ma le indagini continuano.

Un aggiornamento pubblicato su quello che è il sito ufficiale di TrueCrypt sta però gettando nel panico migliaia di utenti in tutto il mondo: "TrueCrypt non è sicuro dal momento che può contenere problemi di sicurezza irrisolti" è quanto si legge, in rosso, sulla home page del programma. Nella stessa pagina si spiega che il supporto di TrueCrypt è da considerare terminato (a partire dal mese di maggio 2014) e viene suggerito di migrare prima possibile ad altre soluzioni. Viene poi presentata una sorta di guida passo-passo per attivare e configurare Microsoft BitLocker a protezione del contenuto di intere unità disco o di volumi virtuali (in formato VHD).

Sui social network si è scatenato, come prevedibile, uno tsunami di commenti. La domanda che ci si pone riguarda, in primis, l'effettiva legittimità delle informazioni pubblicate sulla home del progetto TrueCrypt. È tutto vero oppure si tratta di un attacco, di un ottimo esempio di "defacement"?


L'ago della bilancia sembrerebbe pendere più dalla parte del reale. In calce alla pagine di TrueCrypt, infatti, viene presentata una presunta nuova versione dell'applicazione che paragonata con la release immediatamente precedente (analisi delle differenze; diff analysis) differisce per l'inserimento di un messaggio che informa gli utenti sull'insicurezza del programma consentendo la decodifica dei volumi cifrati ma non permettendone la creazione.
La stessa versione di TrueCrypt (la 7.2) contiene poi la firma digitale abitualmente utilizzata dallo sviluppatore del programma.


Lo stesso Matthew Green, docente di crittografia presso la Johns Hopkins University che ha curato l'analisi sul funzionamento del software, ha commentato su Twitter che il messaggio apparso sul sito di TrueCrypt sembrerebbe legittimo e non, quindi, frutto di un attacco. Stessa valutazione anche per Brian Krebs.
Green precisa di aver anche provato a contattare l'autore di TrueCrypt (anonimo), già sentito più volte in passato, senza al momento aver ottenuto alcuna risposta.

Nuovi dettagli sulla vicenda arriveranno certamente nel corso delle prossime ore.

  1. Avatar
    Michele Nasi
    27/03/2015 13:53:02
    Cioè? Non te la senti? :lol: Anche i contributi dei singoli sono preziosissimi.
  2. Avatar
    Michele Nasi
    27/03/2015 12:25:33
    È un po' più lento, questo è indubbio (numero di iterazioni utilizzate). Anche se ancora non ho fatto una comparativa diretta dal punto di vista delle performance. Se hai tempo e voglia, intanto... :wink:
  3. Avatar
    Giustino
    27/03/2015 12:23:45
    Ho provato questa mattina a creare un container con VeraCrypt. Ho notato, però, che, a differenza di TrueCryp, impiega più tempo per montarlo, circa 15 secondi. E' normale ?
  4. Avatar
    Carlo183
    27/03/2015 11:01:21
    Egr. direttore Nasi, ci sono ulteriori notizie sullo studio di due noti ricercatori, come li definisce Lei, che si erano fermati alle affermazioni di questo Suo articolo? Oppure mi sono perso qualche Suo articolo, successivo a questo? Sa io ancora uso il programma TrueCrypt versione 7.1a e io lo conosco abbastanza bene. Capisce bene, che seccherebbe molto sostituirlo con altro del quale non conosco eventuali problemi. Seppure con il sistema operativo Windows 8,1 l'unica cosa che non va , quando lo chiudo, è che mi trova quasi sempre: ""Volume contains files or folders being used by applications or system", ma non ci sono file o cartelle aperte e quindi, per me, va bene. Sempreché questo problemino non dipenda dal mio computer.
  5. Avatar
    Giustino
    04/06/2014 23:29:31
    Notizie anche Qui :uazmah:
  6. Avatar
    [Claudio]
    02/06/2014 13:53:07
    Ciao Dead :approvato:
    Citazione: Io ancora uso la 7,1 però.
    A suo tempo anche io ero restio ad aggiornare alla 7.1a, poi .... in taluni casi ..... bisogna sapere andare oltre; era uno dei casi 8)
    Citazione: PS: le alternative gratuite sono davvero poca cosa.
    Effettivamente .... l'unica che prenderei in considerazione è DiskCryptor che, sembra, si avvicini molto a TrueCrypt ( certo che, se l'alternativa è Bitlocker ...... c'è poco da stare allegri :roll: )
  7. Avatar
    sg-1
    02/06/2014 12:12:03
    Non uso TrueCrypt, ma se ritenete il software ancora valido e SICURO, cifrate i dati e poi le partizioni. Il password manager che uso mi permette cifrature multiple 5-10 e più, del medesimo file con password diverse ed algoritmi diversi, AES Rijndael, Twofish, Blowfsh.
  8. Avatar
    The Walking Dead
    02/06/2014 05:20:48
    Citazione: ":3ubciimd]
    Citazione: Sembra che semplicemente si siano stancati di portare avanti il progetto.
    Direi di non "correre" troppo in fretta ..... anche con la disinstallazione di TrueCrypt 8) vedere QUI e vedere QUI.
    Ciao Cla, ti quoto. :) Io ancora uso la 7,1 però. PS: le alternative gratuite sono davvero poca cosa.
TrueCrypt non è sicuro, si legge sulla home del progetto - IlSoftware.it