La auditoría de TrueCrypt concluye de forma satisfactoria

por | 2 abril, 2015

TrueCrypt3Hace apenas unos minutos Matthew Green ha anunciado a través de su cuenta de twitter que ha finalizado la segunda y definitiva fase de la auditoría de TrueCrypt, un estudio realizado por un grupo de expertos en criptografía (OCAP) gracias a una campaña de crowdfunding y que tenía como objetivo poner a prueba el código del programa, detectando posibles errores y vulnerabilidades.

TrueCrypt ha sido posiblemente el software de cifrado más popular de los últimos años, ofreciendo la ventaja de ser multiplataforma y una gran sencillez a la hora de su manejo cifrando particiones, memorias externas o discos completos.

En mayo de 2014 su desarrollo fue cancelado con un extraño aviso en su página de SourceForge en el que advertía que «el uso de TrueCrypt no es seguro», hacía extrañas recomendaciones y eliminaba las versiones más antiguas del programa, lo que junto al anonimato que siempre ha rodeado a sus creadores dio lugar a todo tipo de especulaciones, entre ellos que la NSA había presionado para poner fin al mismo o que había introducido puertas traseras en sus versiones más recientes.

Independientemente de eso, la auditoría que había comenzando en 2013 continuo su trabajo y ahora en el el informe final se señala que dicho programa en su versión 7.1a (la penúltima y todavía confiable), no contiene backdoors ni errores importantes en su diseño, que lo hagan inseguro en la mayoría de escenarios posibles.

Ello no significa que sea perfecto, como ya se había comentado en la primera parte del estudio, el código es en algunos puntos descuidado y está poco documentado.

Ahora además se ha detectado un problema con el generador de números aleatorios usado para su versión de Windows (en GNU/Linux parece que libramos), el cual es utilizado para generar las claves que cifran los volúmenes de TrueCrypt y que en circunstancias extremadamente extrañas podía fallar produciendo resultados previsibles

Ello no es el fin del mundo tal como comenta el propio Matthew Green en su blog, ya que intervienen otros fuentes de entropía en la creación de estas claves, como el propio movimiento del ratón (todos los que habéis creado un volumen de TrueCrypt recordaréis ese momento que nos pide que le demos unos meneos al mouse).

Otra vulnerabilidad importante permitiría comprometer el cifrado AES mediante un cache timing attack. Al igual que vimos antes, es menos preocupante de lo que suena y solo se daría en condiciones muy raras (por ejemplo si estamos compartiendo un equipo, con alguien con capacidad para ejecutar código JavaScript en el sistema mientras ciframos/desciframos) pero al igual que en el caso anterior es otro aspecto a mejorar, incluyendo la auditoría varias recomendaciones al respecto.

Hay que decir que la auditoría no recoge los esfuerzos realizado en los últimos tiempos por proyectos como CipherShed, ZuluCrypt y Veracrypt para mejorar el código y prestaciones de TrueCrypt.

Si queréis saber más del tema os recomiendo que os paséis por el blog de Matthew Green y que le echéis un vistazo al informe final.

9 pensamientos en “La auditoría de TrueCrypt concluye de forma satisfactoria

  1. Manuel R

    Me parece genial para todos aquellos que desean seguir utilizándolo; personalmente, he perdido la confianza en ese software y prefiero utilizar otras opciones que lo único que podrían envidiarle sería la «facilidad» de uso. Saludos.

    Responder
  2. x-man

    Pues un poco mas de tranquilidad, …en mi caso sigo usando Real Crypt, que para el caso es lo mismo, esperemos que los pequeños errores que tiene vayan siendo superado y como dicen …NSA te lo dejo de tarea. LOL

    Gracias por la noticia.

    Responder
    1. tannhausser Autor

      Yo creo que el problema de TrueCrypt viene principalmente por la licencia que no es demasiado clara para continuar trabajando con el (ya no hablemos de utilizar su marca).

      http://goo.gl/g37hgz

      Por suerte la versión examinada parece bastante de fiar y hay otros proyectos similares que prometen compatibilidad e incluso mayor seguridad.

      Un saludo y gracias a ti por comentar

      Responder
      1. x-man

        Realmente pensé que este era el mas seguro, así que me pongo a buscar y a ver que encuentro y que lógicamente sea 100% compatible con GNU/Linux y mi adorado openSUSE.

        Responder
  3. Jorge

    Una pregunta al respecto.

    Hay alguna continuacion del truecrypt y / o programa similar al mismo que funcione en multiplataforma.

    Un saludo

    Responder
    1. tannhausser Autor

      @Jorge Como continuación te recomiendo TCnext, alberga las versiones fiables de TrueCrypt y sus desarrolladores son unos conocidos hacktivistas suizos:

      https://truecrypt.ch/

      saludos!

      Responder
      1. Novak Tiño

        Hola.
        Pero, TrueCryptNext o TCnext ofrece una versión 7.1a, y en su misma web consideran que la versión no es tan segura, y que requieren apoyo económico. Ahora mismo no carga dicha web.
        ¿Y por qué no recomiendas Veracrypt?

        Otra pregunta, ¿el algoritmo de c1fr4do AES sería el más pensado en atacar?
        ¿Consideran mejor un algoritmo mezclado con otros?
        ¿Y en cuánto a los tiempos de ejecución de estos en la práctica, que tal van para su manejo por el usuario?

        Responder
    1. tannhausser Autor

      No fue exactamente por su inseguridad. Los motivos del cierre, después de varios años todavía no están claros.

      Si bien es cierto que ya no está mantenido el proyecto y posiblemente sea mejor utilizar otras opciones como veracrypt, nada tiene que ver con el resultado de la auditoría de seguridad.

      Responder

Responder a tannhausserCancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.