TrueCrypt: cos’è successo?

NOTA: vi consiglio di non installare TrueCrypt 7.2 se non su macchine usa-e-getta.

Introduzione

TrueCrypt è un software per la cifratura di dati su disco, famoso tra le altre cose per essere stato usato nel trasporto dei documenti di Snowden da parte dei giornalisti con cui ha collaborato. TrueCrypt è multi-piattaforma (Linux, Windows, MacOS X) ed ha un’interfaccia grafica decisamente amichevole. Gli sviluppatori sono ignoti ed usano lo pseudonimo di TrueCrypt Foundation. Per questo motivo, specialmente dopo la rivelazione delle attività di sorveglianza globale a sabotaggio della NSA, alcuni ricercatori e professionisti della sicurezza IT hanno avviato un progetto di auditing pubblico (ma portato avanti a pagamento da gente che sa il fatto suo) del codice dell’ultima versione di TrueCrypt disponibile (al tempo era la 7.1a). La prima fase di questo sforzo non ha rivelato niente di clamoroso, si attende la seconda.

Colpo di scena

Ieri è stata rilasciata la versione 7.2 di TrueCrypt. Tuttavia il sito del programma è molto diverso dal solito e contiene un messaggio inquietante:

Sito web di TrueCrypt su SourceForge
Sito web di TrueCrypt su SourceForge

Oltre ad avvisare che TrueCrypt non è sicuro, senza specificare altro, sul sito sono presenti le istruzioni per migrare a BitLocker, il sistema proprietario di crittografia dei dischi di Microsoft presente nelle ultime versioni di Windows.

L’home page di TrueCrypt è raggiungibile come sempre all’URL http://www.truecrypt.org, tuttavia questa volta viene effettuato un redirect verso le pagine web di TrueCrypt ospitate presso SourceForge, il famoso sito che offre servizi online per sviluppatori OpenSource in gran voga anni fa di cui la TrueCrypt Foundation si avvaleva da tempo (oggi la sua popolarità è stata in buona parte oscurata da GitHub).

Redirect del sito di TrueCrypt verso SourceForge
Redirect del sito di TrueCrypt verso SourceForge

Dopo aver scaricato questa misteriosa versione, la 7.2, ho verificato la firma digitale del suo file di installazione. Ho la chiave pubblica della TrueCrypt foundation nel mio portachiavi GnuPG da più di un anno e l’avevo già usata per verificare la versione 7.1a di TrueCrypt. La firma digitale dell’installer è corretta:

Verifica della firma dell'installer di TrueCrypt 7.2
Verifica della firma dell’installer di TrueCrypt 7.2

Quindi ho installato TrueCrypt 7.2 in una macchina virtuale Windows 7 di test. Subito dopo aver fatto partire l’installer viene mostrato lo stesso messaggio presente sul sito: TrueCrypt potrebbe avere qualche misterioso bug, quindi migrate a BitLocker.

L'inquietante avviso di TrueCrypt 7.2
L’inquietante avviso di TrueCrypt 7.2

Una volta completata l’installazione è possibile far partire TrueCrypt 7.2. Rispetto alle versioni precedenti è stata inibita la possibilità di creare nuovi volumi cifrati: TrueCrypt 7.2 può essere usato soltanto per accedere a volumi cifrati creati in precedenza.

Finestra principale di TrueCrypt 7.2
Finestra principale di TrueCrypt 7.2

Tante domande, nessuna risposta

Cos’è successo? La validità della firma digitale dell’installer di TrueCrypt 7.2 lascia spazio soltanto a due interpretazioni ragionevoli:

  1. La TrueCrypt Foundation ha deciso di uccidere il suo pupillo: quale modo migliore di un vago messaggio su una possibile vulnerabilità della sua sicurezza.
  2. TrueCrypt 7.2 ed il sito web sono opera di qualcun altro che è riuscito ad impossessarsi della chiave private della TrueCrypt Foundation.

Altro che rasoio di Occam, nessuna delle due alternative più ragionevoli è veramente ragionevole!

  1. Se è stata la TrueCrypt foundation, perché ha deciso di fare questo al suo software? Se avessero semplicemente voluto smettere di svilupparlo per mancanza di fondi o di tempo avrebbero potuto semplicemente sparire, invece di disseminare inquietanti avvisi terroristici. L’avranno fatto volontariamente oppure sotto minaccia (se qualcuno li ha identificati…)?
  2. Se è stato qualcun altro, cos’è successo agli sviluppatori di TrueCrypt? Risponderanno all’accaduto, e come?

Sono proprio curioso di vedere se ci saranno ulteriori sviluppi…

Riferimenti

8 thoughts on “TrueCrypt: cos’è successo?

  1. Gianfranco Reply

    Ciao, puoi consigliarmi delle valide alternative a TrueCrypt, per Windows 7 ?
    Considerando che a me servirebbe sia crittografare intere chiavette USB che singole cartelle del disco fisso.
    Grazie

  2. Gianfranco Reply

    Grazie per la risposta, ma veracrypt (dalle recensioni trovate in internet) crittografa solo dischi interi non singole cartelle. A me servirebbero entrambe.
    Ciao.

  3. Paolo Bernardi Reply

    Ooops, hai ragione, non avevo letto bene, scusa! 🙂

    Alla fine, sia con TrueCrypt che con VeraCrypt, ti consiglierei di creare un nuovo volume di cifratura contenuto in un file su disco (lo chiamano “encrypted file container”) e di mettere le cartelle cifrate lì dentro.

    A presto,

    Paolo

  4. Gianfranco Reply

    …mmmm mi secca un po’ dover creare una partizione sul disco, anche perché non sapendo bene le dimensioni rischierei di farla troppo grande. Lo so che ci sono tools che permettono di ridimensionare le partizioni dinamicamente…bho sono un po’ scettico !!!.
    Invece criptando quella e quell’altra cartella… la cosa restava più mirata e diretta.
    Va be’ intanto grazie… se proprio non c’è altra soluzione… sarò costretto a farci un pensierino.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.