Hace apenas unos minutos Matthew Green ha anunciado a través de su cuenta de twitter que ha finalizado la segunda y definitiva fase de la auditoría de TrueCrypt, un estudio realizado por un grupo de expertos en criptografía (OCAP) gracias a una campaña de crowdfunding y que tenía como objetivo poner a prueba el código del programa, detectando posibles errores y vulnerabilidades.
TrueCrypt ha sido posiblemente el software de cifrado más popular de los últimos años, ofreciendo la ventaja de ser multiplataforma y una gran sencillez a la hora de su manejo cifrando particiones, memorias externas o discos completos.
En mayo de 2014 su desarrollo fue cancelado con un extraño aviso en su página de SourceForge en el que advertía que “el uso de TrueCrypt no es seguro”, hacía extrañas recomendaciones y eliminaba las versiones más antiguas del programa, lo que junto al anonimato que siempre ha rodeado a sus creadores dio lugar a todo tipo de especulaciones, entre ellos que la NSA había presionado para poner fin al mismo o que había introducido puertas traseras en sus versiones más recientes.
Independientemente de eso, la auditoría que había comenzando en 2013 continuo su trabajo y ahora en el el informe final se señala que dicho programa en su versión 7.1a (la penúltima y todavía confiable), no contiene backdoors ni errores importantes en su diseño, que lo hagan inseguro en la mayoría de escenarios posibles.
Ello no significa que sea perfecto, como ya se había comentado en la primera parte del estudio, el código es en algunos puntos descuidado y está poco documentado.
Ahora además se ha detectado un problema con el generador de números aleatorios usado para su versión de Windows (en GNU/Linux parece que libramos), el cual es utilizado para generar las claves que cifran los volúmenes de TrueCrypt y que en circunstancias extremadamente extrañas podía fallar produciendo resultados previsibles
Ello no es el fin del mundo tal como comenta el propio Matthew Green en su blog, ya que intervienen otros fuentes de entropía en la creación de estas claves, como el propio movimiento del ratón (todos los que habéis creado un volumen de TrueCrypt recordaréis ese momento que nos pide que le demos unos meneos al mouse).
Otra vulnerabilidad importante permitiría comprometer el cifrado AES mediante un cache timing attack. Al igual que vimos antes, es menos preocupante de lo que suena y solo se daría en condiciones muy raras (por ejemplo si estamos compartiendo un equipo, con alguien con capacidad para ejecutar código JavaScript en el sistema mientras ciframos/desciframos) pero al igual que en el caso anterior es otro aspecto a mejorar, incluyendo la auditoría varias recomendaciones al respecto.
Hay que decir que la auditoría no recoge los esfuerzos realizado en los últimos tiempos por proyectos como CipherSheda, ZuluCrypt y Veracrypt para mejorar el código y prestaciones de TrueCrypt.
Si queréis saber más del tema os recomiendo que os paséis por el blog de Matthew Green y que le echéis un vistazo al informe final.
Fuente: lamiradadelreplicante
