Los desarrolladores de TrueCrypt no quieren un fork de su programa

por | 19 junio, 2014

TrueCrypt5

Desde que se destapó todo el tema de TrueCrypt he sido bastante escéptico sobre las posibilidades de que pudiera surgir un fork con capacidad para retomar el proyecto, a pesar de intentos muy loables como los de TCnext, una plataforma establecida en Suiza, y que ha tenido cierto éxito al conseguir más de 30 000 descargas en menos de 10 días de la última versión «estable» de este programa de cifrado 7.1a. (recordemos que la 7.2, la última y única versión disponible en la web de TrueCrypt, vino precedida de un sospechoso comunicado, y  limitada en cuanto a capacidades, ya que solo permite descifrar los archivos previamente encriptados)

El problema de hacer un fork en este caso no es el código, que está disponible para cualquiera que lo pueda consultar, ni siquiera su calidad o fiabilidad, ya que también está en marcha una completa auditoría sobre la calidad del mismo, que por ahora no ha encontrado ninguna prueba de backdoors o similares.

Las dificultades en este caso viene por la confusa licencia de TrueCrypt que impide hacer uso de combinaciones de su nombre o dominio, y que definitivamente no es Open Source, algo de lo que los amigos de TrueCryptNext (que por cierto han decidido unir fuertas con otro proyecto similar llamado VeraCrypt) ya se han dado cuenta:

truecrypt-license

Así que la solución más sencilla, sería contactar con los desarrolladores y solicitarles el cambio a una licencia mucho más permisiva, que permitiera realizar un fork, y utilizar el código libremente, sin temor a consecuencias legales…porque amigos, puede que los autores de TrueCrypt sean muy anónimos, pero para estas Tux inventó  a los abogados.

Eso es lo que intentó Matthew Green, un conocido criptógrafo que está coordinando la auditoría sobre TrueCrypt y que se puso en contacto con el único de los (pretendidos) desarrolladores, que todavía responde a sus mails.

Esta es la transcripción de la conversación Green subió a Pastebin

Matthew Green

Hola, Espero que estés bien. Mirando los correos electrónicos previos entiendo que usted era uno de los desarrolladores de TrueCrypt y que ya no está interesado en continuar trabajando en el proyecto. Lo comprendo y puedo simpatizar con eso.

Durante los últimos meses hemos estado (muy lentamente) auditar el código de TrueCrypt. Ahora que ya no estás manteniendo, parece que hay una gran cantidad interés en crear un fork. Creo que este interés ha alcanzado el punto en que un fork es prácticamente inevitable. Esto me deja algo preocupado

Creemos que TrueCrypt es un proyecto importante – ningún sistema de cifrado propietario ofrece soporte multi-plataforma y el mismo conjunto de características. Por otra parte, TrueCrypt es poco probable que ‘desaparecer’ sólo porque los desarrolladores han abandonado el proyecto. De hecho, puede llegar a ser significativamente menos seguro si va hacia adelante de forma «clandestina» que como parte de algún fork autorizado.

Nos gustaría que el proyecto continúe, pero de una manera responsable. Eso significa auditar completamente todo el código de cifrado/contenedor y bootloader y (probablemente) la sustitución de gran parte de ella con las implementaciones nuevas. A pesar de que esto va a requerir algún nuevo desarrollo importante, todavía parece más práctico que empezar desde cero. El plan actual es liderada por un grupo de personas que tienen una gran cantidad de experiencia con la criptografía y la experiencia para identificar defectos, pero preferirína no tener que diseñar desde cero.

La principal preocupación que tenemos en este momento es con la estructura de licencias y marcas asociadas con TrueCrypt. Por supuesto, algunos se bifurcará el rechazo, independientemente de las cuestiones jurídicas, pero esto no parece adecuada, sin una orientación clara. Lo que nos gustaría es permiso para tomar al menos partes de la base de código actual y forkearlo bajo una licencia de código abierto estándar (por ejemplo, GPL/MIT /BSD). También nos gustaría permiso para usar la marca TrueCrypt como parte de este esfuerzo. Si eso no es posible, nos gustaría aceptar una declaración clara de que prefiere que el software no sea renombrado.

Comprendo que esto es mucho pedir, pero me gustaría pedirles que consideren la alternativa. Sin una atención experta hay una alta probabilidad de que 7.1a TC o algún futuro fork inseguro ocuparán el nicho que una versión segura de TrueCrypt. Dar su consentimiento para llevar a cabo un proceso responsable de bifurcación y la desarrollo se aseguraría de que su trabajo puede seguir adelante, y que nadie está en riesgo de usar software antiguo.

Agradezco cualquier consideración que podría dar a esta nota. Gracias, Matt

Y el esto es lo que responde el desarrollador de TrueCrypt

Lo siento, pero creo que lo que tu estas pidiendo aquí es imposible. Yo no creo que forkear truecrypt sería una buena idea, una reescritura completa era algo que nosotros queríamos hacer desde hace tiempo. Creo que empezar desde cero sería una idea mucho mejor, realmente no requeriría mucho más trabajo que el aprendizaje y compresión de todo el código base de TrueCrypt

No tengo ningún problema con el código fuente sea utilizado como referencia.

Ya veremos como acaba al final todo este tema de los forks de TrueCrypt y su conflictiva licencia…así como las nuevas alternativas que surjan a la hora de cifrar volúmenes y archivos.

6 pensamientos en “Los desarrolladores de TrueCrypt no quieren un fork de su programa

  1. manuelink64

    Que me ha dejado marcando ocupado lo del mensaje oculto, no puede ser una enorme coincidencia que la sigla NSA ente metida en el texto…
    algo de veracidad puede llegar a tener este mensaje «encriptado»…y dicen que es serbio, no latín, y allí cuadra perfecto 😎

    Responder
  2. mzmz

    estos tipos de truecrypt antiguo no son mas que unos cobardes mal….p….
    aqui hace falta gente con valentia si miedo a nadie, ni NSA ni egoismos, ni miedo. pa lante a como de lugar de una.
    mira que no querer hacer una licencia LIBRE
    estos tipos no son de confianza
    la comunidad LIBRE tiene que ir para adelante a como de lugar sin mas, para las que sea.
    si no no avanzaremos nunca y pasaremos años y años frenados por el enemigo privativo
    si no hicieramos ingeneria inversa y esperando que los fabricantes de hardware hicieran licencia libres aun estariamos si ni un driver-libre.
    nooooo!!! no mas negociacion con traidores cobardes. nosotros a la nuestras a como de lugar

    Responder

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.