Sono passati ormai mesi dall’abbandono degli sviluppatori del famosissimo progetto open source TrueCrypt e nella pagina ufficiale del programma continua ad essere consigliato BitLocker.
Per quanto BitLocker di Microsoft possa piacere io sono sempre dell’idea che i programmi che vengono utilizzati per proteggere i propri dati personali debbano essere open source. Questo perché da la possibilità a tutti di analizzare il codice sorgente e scovare eventuali bug o backdoor che potrebbero essere stati inseriti nel programma e potrebbero rappresentare una grave minaccia per la protezione dei nostri dati. Questo genere di cose è molto probabile che siano presenti in software di aziende private non tanto per una “svista” degli sviluppatori quanto perché potrebbe essere richiesto dalla legge (vedi ad esempio i recenti commenti dell’FBI sui telefoni che permettono di criptare i dati) .
TrueCrypt è ancora sicuro ?
Per quanto riguarda la sicurezza dell’ultima versione di Truecrypt ovvero la versione 7.1a è stata fatta un’ audit di recente (ovvero è stato analizzato il codice sorgente del software da un team di esperti in sicurezza) che nonostante la sospensione dello sviluppo è continuata ed è stata rilasciata pubblicamente e consultabile sul sito ufficiale. Da quello che si legge nel report il codice in sè non si è dimostrato all’altezza come qualità a causa della mancanza di commenti e l’utilizzo di funzioni deprecate (ovvero obsolete) ma non sono stati trovati rilevanti problemi di sicurezza poichè i problemi trovati vengono considerati di bassa e media gravità. Inoltre da quello che emerge dalle ultime righe del “Finding Summary”:
Finally, iSEC found no evidence of backdoors or otherwise intentionally malicious code in theassessed areas. The vulnerabilities described later in this document all appear to be unintentional, introduced as the result of bugs rather than malice.https://opencryptoaudit.org
Quindi non sono state trovate backdoor che permetterebbero di violare i file criptati.Il succo di tutto questo è che al momento da quello che si conosce, l’ultima versione stabile di TC ovvero la 7.1a si può considerare sicura anche se a causa della sospensione dello sviluppo del software è consigliabile trovare una valida alternativa al programma e iniziare la migrazione.
Le alternative a TrueCrypt
Dalle ceneri di TC sono nati diversi progetti che si basano sul codice sorgente di TrueCrypt ma solo 2 hanno catturato il mio interesse al momento, uno è VeraCrypt e l’atro è CipherShed, entrambi i software sono molto simili all’originale TrueCrypt con qualche piccola differenza.
Al momento però solo VeraCrypt offre una versione stabile per il download mentre CipherShed è ancora in fase di sviluppo e la prima versione stabile dovrebbe essere rilanciata presto.Quindi per adessoo VeraCrypt si può considerare l’unica vera alternativa a TrueCrypt.Nonostante le piccole differenze da quello che si legge sul sito ufficiale VeraCrypt ha una maggiore sicurezza rispetto a TC, infatti questo nuovo software è molto più resistenti agli attacchi brute-force rispetto al suo predecessore.L’unica nota negativa che al momento ho notato provando questo software ma che viene anche descritta dagli autori nella sezione FAQ:
This enhanced security adds some delay only to the opening of encrypted partitions without any performance impact to the application use phase. This is acceptable to the legitimate owner but it makes it much harder for an attacker to gain access to the encrypted data.
è il tempo di apertura dei volumi criptati più lungo rispetto a TrueCrypt che comunque non incide di molto sul proprio lavoro.
Retrocompatibilità ?
Se state leggendo questo post sicuramente avete utilizzato e utilizzate tuttora TrueCrypt e vi starete chiedendo se potete utilizzare VeraCrypt o CipherShed per montare i volumi criptati con TC.La riposta per VeraCrypt al momento è no, in quanto questo software utilizza un differente formato mentre CipherShed (anche se c’è da vedere al momento del rilascio della prima versione del software) teoricamente permette di montare i vecchi volumi di TC, anche se questa funzionalità non è detto che sia disponibile per sempre.Inoltre un’ altra domanda che vi può sorgere spontanea è posso far funzionare CipherShed e TrueCrypt oppure VeraCrypt e TrueCrypt sullo stesso PC? La risposta è si, in entrambi i casi non sono stati riscontrati problemi di compatibilità da parte degli sviluppatori.
Conclusioni
In conclusione mi sento di ripetere che l’ultima versione di TrueCrypt 7.1a nonostante non sia più stata aggiornata dal 2012 al momento può considerarsi ancora sicura quindi se avete criptato l’hard disk del vostro portatile con TC potete dormire sonni tranquilli per ora,mentre se state valutando di creare un nuovo volume vi consiglio caldamente di cambiare software non tanto per la sicurezza quanto per la compatibilità futura.Ora se dovessi scegliere uno dei 2 software di cui vi ho parlato al momento sceglierei VeraCrypt dal momento che è l’unico software che offre una versione stabile disponibile per il download e valutando gli aggiornamenti fatti risulta più sicuro dell’originale TrueCrypt. Detto questo però non c’è da dimenticare che VeraCrypt, nonostante sia molto simile a Truecrypt, non è stato ancora analizzato con un audit indipendente a differenza di TC quindi fino ad allora nonostante abbia molta fiducia in questo progetto qualche dubbio rimane e non scommetterei tutto su VeraCrypt.Se anche voi avete utilizzato Truecrypt sono curioso di sapere cosa ne pensate.
8 risposte su “Valida Alternativa A TrueCrypt”
[…] Valida Alternativa A TrueCrypt ::: Andrea M […]
[…] Valida Alternativa A TrueCrypt ::: Andrea M […]
Io utilizzo da anni Truecrypt e pur non essendo molto esperto, mi sono fatto una mia idea, in base al comportamento di chi ha fatto tutto il possibile per screditare questo programma; pare che desse molto fastidio al potere e ai servizi d’intelligence; essi non accettano l’idea che chiunque, anche il cittadino più comune, possa nascondere i propri files e dati personali in modo talmente sicuro da renderli inattaccabili persino alla CIA; ebbene questo dice tutto. Non credo che nessuna alternativa oggi disponibile sia priva di qualche backdoor apribile dai servizi segreti o dal potere giudiziario, tanto più in questi anni che l’emergenza terrorismo ha centuplicato i poteri di controllo dei governi
Ciao, anche io ho utilizzato TC per anni senza problemi e come dici tu non sono mai state trovate falle nel sistema anche dopo diversi security audit… Con il tempo però sono stati trovati vari bug che sono stati risolti dai fork derivati dal progetto originale TC .
Io utilizzo da anni Truecrypt e pur non essendo molto esperto, mi sono fatto una mia idea, in base al comportamento di chi ha fatto tutto il possibile per screditare questo programma; pare che desse molto fastidio al potere e ai servizi d’intelligence; essi non accettano l’idea che chiunque, anche il cittadino più comune, possa nascondere i propri files e dati personali in modo talmente sicuro da renderli inattaccabili persino alla CIA; ebbene questo dice tutto. Non credo che nessuna alternativa oggi disponibile sia priva di qualche backdoor apribile dai servizi segreti o dal potere giudiziario, tanto più in questi anni che l’emergenza terrorismo ha centuplicato i poteri di controllo dei governi
Ciao, anche io ho utilizzato TC per anni senza problemi e come dici tu non sono mai state trovate falle nel sistema anche dopo diversi security audit… Con il tempo però sono stati trovati vari bug che sono stati risolti dai fork derivati dal progetto originale TC .
Ciao Andrea, concordo sul fatto che serviva un programma aggiornato, e TrueCrypt non lo è più. Tuttavia di questo sappiamo tutto ormai, non segreti e dubbi che sia sicuro (a parte le piccole falle citate); per questo continuo ad usarlo, finchè girerà su windows. Per il nuovo Veracrypt invece non abbiamo ancora risposte definitive; siamo certi che non esista una “master key” che permetterebbe a qualcuno molto potente di aprire i volumi criptati? Inoltre ho notato che al momento di aprire un volume il programma sembra che cerchi di collegarsi ad internet, ma forse mi sbaglio..
Ciao Andrea, concordo sul fatto che serviva un programma aggiornato, e TrueCrypt non lo è più. Tuttavia di questo sappiamo tutto ormai, non segreti e dubbi che sia sicuro (a parte le piccole falle citate); per questo continuo ad usarlo, finchè girerà su windows. Per il nuovo Veracrypt invece non abbiamo ancora risposte definitive; siamo certi che non esista una “master key” che permetterebbe a qualcuno molto potente di aprire i volumi criptati? Inoltre ho notato che al momento di aprire un volume il programma sembra che cerchi di collegarsi ad internet, ma forse mi sbaglio..