Nota per il lettore: questo post risale al 2014. Le informazioni contenute sono da considerarsi obsolete. Piuttosto che adottare una versione non manutenuta di TrueCrypt, prova VeraCrypt.
TrueCrypt ieri è letteralmente imploso. Lo uso da quasi dieci anni e sono realmente stupito dal comportamento, a dir poco anomalo, del team che ne segue lo sviluppo da quasi un decennio.
Anche solo leggere la “motivazione” per cui si è deciso di cessarne lo sviluppo fa abbastanza ridere (per non dire piangere):
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
This page exists only to help migrate existing data encrypted by TrueCrypt.
The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms. You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.
Ci sono una infinità di software, FOSS o meno, che, anche una volta abbandonati dal team, hanno continuato a prosperare. Che bisogno c’era di rilasciare la versione 7.2 rimuovendo tutte le funzioni di creazione di volumi crittografati? Bastava dichiararne cessato lo sviluppo. E perchè mai legare le sorti di un software multipiattaforma all’end of life Windows XP? Mah.
Ricordo inoltre che alla fine del 2013, una raccolta fondi su Indiegogo aveva finanziato uno studio approfondito del codice sorgente di TrueCrypt, senza riscontrare nessuna vulnerabilità degna di nota (e soprattutto senza trovare sabotaggi deliberati). Il rapporto completo è disponibile qui. La seconda parte dell’analisi, relativa non al software ma agli algoritmi crittografici da esso implementati, è in corso e i riscontri parziali sono al momento anch’essi positivi. Non esiste perciò un motivo fondato per ritenere che TrueCrypt metta a rischio la riservatezza dei dati che gli si affidano.
Raccolgo qui una serie di post autorevoli che trattano della faccenda, anche se ancora non esistono dati certi sull’accaduto:
- https://www.schneier.com/blog/archives/2014/05/truecrypt_wtf.html
- http://boingboing.net/2014/05/29/mysterious-announcement-from-t.html
- http://krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/
- http://it.slashdot.org/story/14/05/28/2126249/truecrypt-website-says-to-switch-to-bitlocker
- http://arstechnica.com/security/2014/05/truecrypt-is-not-secure-official-sourceforge-page-abruptly-warns/
- http://r000t.com/what-happened-to-truecrypt/
Infine, pubblico una piccola repository contenente le compilate della versione 7.1a per tutti i sistemi operativi, i file .sig e una copia del sorgente.
Al netto di tutte le teorie e delle speculazioni, temo che molto presto la mancanza dei download sul sito ufficiale spingerà la diffusione di versioni “alterate”, perciò preferisco congelare qui una copia pulita e metterla a disposizione di tutti.