TrueCrypt: cos’è successo?

Posted on 29 May 2014 by Paolo Bernardi

NOTA: vi consiglio di non installare TrueCrypt 7.2 se non su macchine usa-e-getta.

Introduzione

TrueCrypt è un software per la cifratura di dati su disco, famoso tra le altre cose per essere stato usato nel trasporto dei documenti di Snowden da parte dei giornalisti con cui ha collaborato. TrueCrypt è multi-piattaforma (Linux, Windows, MacOS X) ed ha un’interfaccia grafica decisamente amichevole. Gli sviluppatori sono ignoti ed usano lo pseudonimo di TrueCrypt Foundation. Per questo motivo, specialmente dopo la rivelazione delle attività di sorveglianza globale a sabotaggio della NSA, alcuni ricercatori e professionisti della sicurezza IT hanno avviato un progetto di auditing pubblico (ma portato avanti a pagamento da gente che sa il fatto suo) del codice dell’ultima versione di TrueCrypt disponibile (al tempo era la 7.1a). La prima fase di questo sforzo non ha rivelato niente di clamoroso, si attende la seconda.

Colpo di scena

Ieri è stata rilasciata la versione 7.2 di TrueCrypt. Tuttavia il sito del programma è molto diverso dal solito e contiene un messaggio inquietante:

Sito web di TrueCrypt su SourceForge

Sito web di TrueCrypt su SourceForge

Oltre ad avvisare che TrueCrypt non è sicuro, senza specificare altro, sul sito sono presenti le istruzioni per migrare a BitLocker, il sistema proprietario di crittografia dei dischi di Microsoft presente nelle ultime versioni di Windows.

L’home page di TrueCrypt è raggiungibile come sempre all’URL http://www.truecrypt.org, tuttavia questa volta viene effettuato un redirect verso le pagine web di TrueCrypt ospitate presso SourceForge, il famoso sito che offre servizi online per sviluppatori OpenSource in gran voga anni fa di cui la TrueCrypt Foundation si avvaleva da tempo (oggi la sua popolarità è stata in buona parte oscurata da GitHub).

Redirect del sito di TrueCrypt verso SourceForge

Redirect del sito di TrueCrypt verso SourceForge

Dopo aver scaricato questa misteriosa versione, la 7.2, ho verificato la firma digitale del suo file di installazione. Ho la chiave pubblica della TrueCrypt foundation nel mio portachiavi GnuPG da più di un anno e l’avevo già usata per verificare la versione 7.1a di TrueCrypt. La firma digitale dell’installer è corretta:

Verifica della firma dell’installer di TrueCrypt 7.2

Verifica della firma dell’installer di TrueCrypt 7.2

Quindi ho installato TrueCrypt 7.2 in una macchina virtuale Windows 7 di test. Subito dopo aver fatto partire l’installer viene mostrato lo stesso messaggio presente sul sito: TrueCrypt potrebbe avere qualche misterioso bug, quindi migrate a BitLocker.

L’inquietante avviso di TrueCrypt 7.2

L’inquietante avviso di TrueCrypt 7.2

Una volta completata l’installazione è possibile far partire TrueCrypt 7.2. Rispetto alle versioni precedenti è stata inibita la possibilità di creare nuovi volumi cifrati: TrueCrypt 7.2 può essere usato soltanto per accedere a volumi cifrati creati in precedenza.

Finestra principale di TrueCrypt 7.2

Finestra principale di TrueCrypt 7.2

Tante domande, nessuna risposta

Cos’è successo? La validità della firma digitale dell’installer di TrueCrypt 7.2 lascia spazio soltanto a due interpretazioni ragionevoli:

  1. La TrueCrypt Foundation ha deciso di uccidere il suo pupillo: quale modo migliore di un vago messaggio su una possibile vulnerabilità della sua sicurezza.
  2. TrueCrypt 7.2 ed il sito web sono opera di qualcun altro che è riuscito ad impossessarsi della chiave private della TrueCrypt Foundation.

Altro che rasoio di Occam, nessuna delle due alternative più ragionevoli è veramente ragionevole!

  1. Se è stata la TrueCrypt foundation, perché ha deciso di fare questo al suo software? Se avessero semplicemente voluto smettere di svilupparlo per mancanza di fondi o di tempo avrebbero potuto semplicemente sparire, invece di disseminare inquietanti avvisi terroristici. L’avranno fatto volontariamente oppure sotto minaccia (se qualcuno li ha identificati…)?
  2. Se è stato qualcun altro, cos’è successo agli sviluppatori di TrueCrypt? Risponderanno all’accaduto, e come?

Sono proprio curioso di vedere se ci saranno ulteriori sviluppi…

Riferimenti

Get in touch

Thank you for contacting me, I will be in touch with you as soon as possible.
There was an error while trying to send the comment, please try again later.