Notícias IBLISS Segurança Digital

Truecrypt – É o fim?

A comunidade de segurança da informação mundial foi surpreendida com um alerta[1] na página oficial da ferramenta de criptografia Truecrypt[1], anunciando que ele não é mais seguro. Segundo o alerta o Truecrypt teve seu desenvolvimento encerrado após o fim do suporte ao Windows XP, o que leva os usuários do Vista/7/8 a utilizarem o Bitlocker, ferramenta nativa de criptografia da Microsoft.

Essa noticia ainda não foi bem assimilada pelo mercado colocando o tema no top list da semana, estando em andamento na reddit NetSec[2] e na lista full disclosure[3] interessantes threads sobre o assunto. Existem diversas questões[4][5][6][7] sem resposta principalmente devido o total anonimato dos desenvolvedores. Recentemente o código fonte do Truecrypt passou por uma auditoria[8] independente devido a desconfiança gerada por esse anonimato e para tirar dúvidas sobre um possível backdoor da NSA.

A solução recomendada no site da ferramenta causa uma certa desconfiança após a publicação[9][10] que a Microsoft vende informações de seus usuários para a FBI e que o Bitlocker armazena as chaves de recuperação em plaintext no MS One Drive, seu uso não é recomendado por se tratar de um software proprietário não passível de auditoria.

Um movimento a favor da criação de um fork[11] vem ganhando força mas só o tempo mostrará se isso realmente ocorrerá, outra iniciativa é o Truecrypt.ch[12] com o intuito de assumir o desennvolvimento da ferramenta.

Alternativas ao Truecrypt

Veja uma lista de ferramentas OpenSource que podem ser utilizadas para substituir o Truecrypt:

EncFS – http://www.arg0.net/encfs

DiskCryptor – https://diskcryptor.net/wiki/Main_Page

AES Crypt – http://www.aescrypt.com/

AxCrypt – http://www.axantum.com/axCrypt/

Referências

[1] http://truecrypt.sourceforge.net

[2] http://www.reddit.com/r/netsec/comments/26pz9b/truecrypt_development_has_ended_052814/

[3] http://seclists.org/fulldisclosure/2014/May/158

[4] https://www.schneier.com/blog/archives/2014/05/truecrypt_wtf.html

[5] http://arstechnica.com/security/2014/05/truecrypt-is-not-secure-official-sourceforge-page-abruptly-warns/

[6] http://boingboing.net/2014/05/29/mysterious-announcement-from-t.html

[7] http://threatpost.com/of-truecrypt-and-warrant-canaries/106355

[8] http://istruecryptauditedyet.com/

[9] http://thehackernews.com/2014/03/microsoft-sells-your-information-to-fbi.html

[10] http://www.redeszone.net/2014/03/21/microsoft-vende-la-informacion-de-sus-usuarios-al-fbi/

[11] https://github.com/DrWhax/truecrypt-archive

[12] http://truecrypt.ch/