TrueCrypt: más seguro de lo que pensábamos

TrueCrypt3

Año y medio después de que TrueCrypt interrumpiera su desarrollo de forma más que sospechosa, el interés por este software de cifrado no decae y una nueva auditoría, en esta ocasión realizada por la Oficina Federal para la Seguridad de la Información (BTI) de Alemania, nos vuelve a confirmar que pese a ser un proyecto muerto todavía es básicamente seguro.

Es curioso que un proyecto que ya no tiene futuro, este mucho más auditado en los últimos meses que otros en desarrollo, llamados a tomar su testigo —veracrypt, zulucrypt, cyphershed…–; pero el mundo del software libre y de las –nada baratas– auditorias de seguridad es así.

Lo que nos dice este último estudio es que TrueCrypt cumple para lo que está diseñado:

Overall, the analysis did not identify any evidence that the guaranteed encryption charac-
teristics are not fulfilled in the implementation of TrueCrypt.

y que la seguridad que proporciona TrueCrypt es incluso superior a la que había anunciado un grupo de expertos en criptografía (OCAP) a principios de año y no han detectado algunas de las vulnerabilidades que estos señalaban (desbordamientos de buffer básicamente)

The OCAP report describes a total of 11 vulnerabilities in TrueCrypt.

The report has clear deficiencies when describing the underlying methods and
techniques used for the analysis. It is thus not possible to a large extent to reproduce
the findings precisely.

The automated code analysis could not identify the vulnerabilities presented in the
OCAP report

Incluso los problemas que se habían detectado a la hora de generar números aleatorios –principalmente en Windows– no serían explotables en la práctica.

Con todo TrueCrypt no es perfecto y aunque para llevar los datos cifrados en una memoria USB o utilizar en un equipo offline es relativamente seguro, no está exento de posibles vulnerabilidad si lo utilizamos en equipos online o compartidos en los que pueda ser instalado algún tipo de troyano –keylogger–, que registre las claves utilizadas (aunque esto en realidad puede pasar con cualquier software y ya sabemos que en Linux lo de los troyanos te lo tienes que instalar tu mismo, darle permisos de root y pedirle por favor que funcione).

También se destaca que la documentación del proyecto TrueCrypt es bastante pobre, lo que dificulta mucho el que alguien que no haya participado en su creación, continúe su desarrollo o lo mantenga.

El estudio completo de 77 páginas y que llevó 6 meses de trabajo, lo podéis consultar aquí en su versión inglesa.

Vía | Secure Software Engineering

16 thoughts on “TrueCrypt: más seguro de lo que pensábamos”

  1. x-man says:

    Realmente TrueCrypt fue mi favorito, hasta que empezaron todas las sospechas, cosa que realmente me entere aquí en el Blog, es una pena que sea un barco abandonado, por ahora sigo usando VeraCrypt, que aunque funciona muy bien, si reinicio el sistema, me da un error que me obliga a ir al terminal y hacer un “””modprobe loop””” si quiero montar la partición “TOPSECRET” (…tu sabes, porn, mi vecina desnuda y cosas así) LOL.

    Seguiremos de cerca, …quien quita que alguien retome el proyecto, sino porque tan costosas auditorias???

    Gracias José.

    1. tannhausser says:

      Lo de modprobe loop y “failed to set up …”, tuve una temporada también que no había manera de salir de ese error (tampoco era la muerte de nadie, poner un comando más y listo).
      Al final supongo que algunos de esos proyectos se hará con el legado de TrueCrypt e irá solucionando los pequeños bugs que se detecten.
      Gracias por pasarte x-man y un saludo la vecina, claro 😉

  2. Solrak Rainbowarrior says:

    Bien!
    Un preguntilla, puedo instalar algo que esté bajo mi control y no sea un virus para capturar las teclas que se pulsan en mi ordenador?

    1. tannhausser says:

      claro que puedes! existen varios programas en GNU/Linux que hacen eso: logkeys, x11log, selfspy…

      1. Solrak Rainbowarrior says:

        Gracias! veré si puedo aclararme…

  3. Marcelo says:

    Estoy aburrido del circo de la seguridad (Linus Trovals)

  4. jvare says:

    Yo los discos externos que tengo cifrados con Truecrypt, no los he cambiado, y lo bueno es que el programa lo ejecutas sin necesidad de instalar cuando tienes que ver la información.
    Mientras esto me funcione, no pienso utilizar otro.

    1. tannhausser says:

      Pues ya somos dos :-). Cuando sus equivalentes hayan sido sometido al mismo grado de observación, quizas me plantee migrar de programa, pero por ahora no.
      Cifrado de disco total con luks, y para pendrives o carpetas sensibles en equipos sin cifrar: truecrypt o gpg

  5. hefistion says:

    Yo uso encfs para encriptar, sobre todo a la hora de dejar cosas en la nube, tengo creada una carpeta privada para dropbox, y como bien decís sigo usando truecrypt para mis discos duros externos . Por cierto, felicidades por el blog.

    1. tannhausser says:

      Gracias hefistion! 🙂

  6. hola says:

    Hola.

    “no está exento de posibles vulnerabilidad si lo utilizamos en equipos online o compartidos en los que pueda ser instalado algún tipo de troyano –keylogger–”

    He leido eso en otros sítios.

    O titulares como “La NSA ah logrado romper el HTTPS”, luego el artículo hablaba de un troyano que leía el pedido antes de ser cifrado o luego de ser descifrado. Eso no es romper el HTTPS, como tampoco es una vulnerabilidad de Truecrypt, es simplemente un programa que captura tu teclado o hace algo similar, pero no rompe ningún cifrado.

    Si lo vemos de esa manera, todo software que esté instalado en una máquina que tenga un toryano es vulnerable.

    Tendré alma de troll? :/

    Ánimo con el blog, aquí uno que lo sigue.

    Saludos.

    1. tannhausser says:

      Exacto es como tu dices, una vez tienes el keylogger, lo puedes utilizar para romper la seguridad de cualquier programa que utilice claves.
      Supongo –y esto es solo una teoría mía– que lo contraponen con la posibilidad de cifrar el disco duro completo desde el arranque (LUKS/cryptsetup ) que ya supondría la necesidad de instalar un troyano a nivel de BIOS o algo parecido

  7. Jesus says:

    Yo usaba TruCrypt hasta su muerte, yo de hecho creo que ese abandono y ese mensaje tan raro en su web fueron por presiones de la NSA y otras, ya que este programa encriptando es bueno, y les dificulta las cosas, solo es una teoría, desde entonces uso VeraCrypt, ya que su desarrollador se esfuerza en pulir errores poco a poco, y es igual salvo por pequeñas variaciones y parches de seguridad ya aplicados que TrueCrypt, esto me alegra, saber que alguien aunque sea solo ha continuado desarrollando este programa, con el que tengo encriptados mis 3 HDD.

    Un saludo a todos, adoro este blog, ojalá implementáseis Disqus, que me gusta mas que WP.

    1. tannhausser says:

      Gracias por seguir el blog jesus!
      Lo de Disqus tengo que mirarlo…porque se que hay gente que también lo odia a muerte XD
      Un saludo!

      1. Hayato Tanimoto Asamiya (kiseidou42) says:

        Y es cierto, no lo implementes. :c Tu página así sólo usando WordPress es hermosa.

      2. Rotietip says:

        Estoy de acuerdo con Hayato, Disqus es basura (aunque Facebook Comments es mucho mucho peor 😡).

Deja un comentario