viernes, 30 de mayo de 2014

El repentino y misterioso fin de TrueCrypt

TrueCrypt ha sido durante años la herramienta de cifrado de código abierto por excelencia y casi un estándar de facto, aunque siempre ha esta envuelto en un halo de misterio, sobretodo porque sus desarrolladores son anónimos. Ésto junto con todas las filtraciones sobre el espionaje de la NSA han levantado muchas suspicacias acerca de la seguridad de la herramienta, provocando incluso el surgimiento de proyectos de crowdfunding para auditar su código.

En el blog ya comentamos los resultados de la primera fase del proyecto 'Is TrueCrypt Audited Yet?' en la que no se encontraron evidencias de backdoors o código malicioso intencionado, sólo algunas vulnerabilidades debidas a que no se siguieron buenas prácticas de programación segura (falta de comentarios, funciones obsoletas, tipos de variable inconsistentes, etc) y algunas debilidades en las comprobaciones de integridad de cabeceras de volumen (Volume Header integrity check).

A falta de la segunda fase de criptoanálisis, ayer nos sorprendió una actualización en la página oficial de TrueCrypt en Sourceforge en la que sus desarrolladores anunciaban su fin principalmente por dos motivos:
1. usar TrueCrypt no es seguro y podría contener fallos de seguridad no corregidos
2. TrueCrypt se desarrolló fundamentalmente porque Windows XP no tenía soporte de cifrado nativo y, ahora que Microsoft ha finalizado su soporte, aconsejan migrar a ¡¡Bitlocker!! (WTF!).

De hecho en la página del proyecto subrayan que la web sólo se mantiene para ayudar a migrar los datos cifrados con TrueCrypt, detallan los pasos para migrarlos y publican la versión 7.2 que sólo permite descifrar...

¿Por qué de repente anuncian que TrueCrypt es inseguro? ¿lo han descubierto justo ahora o "ya lo sabían"? ¿Cómo es posible que recomienden migrar a una herramienta que no es de código abierto? (¿sus desarrolladores trabajan ahora para M$?)

La primera impresión fue pensar que la página había sido comprometida y se trataba de un hoax. Sin embargo según pasan las horas todo apunta a que los cambios son legítimos, la versión 7.2 está firmada con la clave GPG de sus creadores y (al menos) el código fuente de la nueva versión parece no contener malware: 43 archivos cambiados, 1760 añadidos, 4112 borrados y mucho "AbortProcess ("INSECURE_APP");"...

Sea como fuere, lo digan sus desarrolladores o no, con todo este misterio y con todo el dolor de mi corazón creo que si ha llegado el momento de dejar de utilizar TrueCrypt, pero no necesariamente hacia BitLocker, existen otras alternativas libres como TcPlay, Luksus, Cryptonite (para Android), RealCrypt (un spin-off de TrueCrypt), FreeOTFE, AxCrypt, AESCrypt, etc.


Y vosotros, ¿Cuál tienes pensado utilizar o ya utilizas alguna otra?



Fuente

No hay comentarios:

Publicar un comentario