TrueCrypt blijkt zeer betrouwbaar encryptietool

TrueCrypt lijkt een relatief goed ontworpen stuk crypto-software, zegt Matt Green, hoogleraar Cryptografie aan de John Hopkins University in een blog. Green organiseerde het code review project. Hij was aanvankelijk uiterst kritisch over TrueCrypt, maar stelt nu dus zijn mening bij.

In het rapport staan vier kwetsbaarheden waarvan de ernstige is dat het gereedschap de Windows Crypto API gebruikt om random getallen te genereren. De functie daarvan rammelt onder bepaalde omstandigheden. Om deze zwakheid te misbruiken moet eerst de controle over de Windows-machine waar TrueCrypt op draait, worden overgenomen. Dat geldt ook voor het misbruiken van de overige drie kwetsbaarheden.

Forks dienen zich aan

Het grote probleem van TrueCrypt is de toekomst van het project. Het grotendeels geheime team achter het project kondigde bijna een jaar geleden abrupt aan te stoppen met de ontwikkeling zonder duidelijke opgaaf van reden. Ook wilde het team niet hebben dat andere crypto-specialisten op basis van de code een 'fork' zouden ontwikkelen. Desondanks zijn al enkele forks in de maak, zoals CipherShed en VeraCrypt, meldt The Register.

Het blijft de vraag waarom de ontwikkelaars hun project op zo'n mysterieuze wijze in de steek lieten, waarbij ze ook nog aangaven dat de software niet veilig was. Uit de code review blijkt daar niets van. Dit onderzoek voedt de speculaties dat het team door overheden zwaar onder druk is gezet, maar dat ze niet wilden toegeven. Het is daarom de vraag hoe sterk de teams zijn die verder bouwen op de broncode van TrueCrypt en dus hoe veilig hun forks zijn.