¿Podría Truecrypt esconder un backdoor? ¿Es seguro? ¡Vamos a auditarlo! #IsTrueCryptAuditedYet

Truecrypt es gratuito y uno de los programas de cifrado más usados en la actualidad. Sin embargo, a pesar de ser de código abierto y de no haber recibido ninguna actualización en casi dos años, todavía no se han analizado exhaustivamente sus 108817 líneas de código (la mayoría C, C++ y XML).

Pero, ¿por qué revisarlo a conciencia ahora? 


Principalmente porque no hace mucho se filtró que la NSA y la GCHQ (las agencias de espionaje de EE.UU. y Gran Bretaña respectivamente) llevan años dedicando mucho esfuerzo a comprometer varias tecnologías de cifrado. Teniendo en cuenta que funciona bajo Windows, Linux y Mac OS y que como comentamos es una de las herramientas de cifrado más extendidas del mundo, Truecrypt se posiciona como un claro y jugoso objetivo... 

¿Podrían existir fallos o vulnerabilidades que ya estén siendo explotadas en secreto? O peor aún, ¿ha podido algún organismo intervenir en el desarrollo del código para ocultar un backdoor?

'Is TrueCrypt audited yet?' es una iniciativa que pretende contestar a esas preguntas mediante la realización de una completa auditoría con financiación
colectiva o crowdfunding. El proyecto surgió a mediados de octubre y a través de las plataformas FundFill y IndieGoGo ya han recaudado ¡más de $50.000!. 

Sus objetivos principales son:

- implementar versiones deterministas/reproducibles con el fin de estar seguros de que los binarios no han sido manipulados.
- llevar a cabo una completa auditoría profesional de código fuente llevada a cabo por una empresa de evaluación de la seguridad de que esté capacitada para revisar y analizar software criptográfico.
- implementar también un pequeño programa de recompensas abierto para compensar a todos aquellos que reporten bugs en el software.
- hacer una revisión legal de la licencia de software, y ver si hay alguna manera de permitir que TrueCrypt se incluya en las distribuciones de Linux más populares.

Sus fundadores Matthew Green y Kenneth White comentan "No esperamos hacer todo esto con una sola persona. El balance exacto de los pagos de nuestro fondo de recogida está aún por determinar, pero se formalizará pronto. Queremos especialistas y expertos, y también queremos a gente que done su tiempo siempre que sea posible".

"El problema con TrueCrypt es el mismo problema que tenemos con cualquier otro software de seguridad popular en la era post 5 de septiembre: no sabemos en qué más confiar" Green explicó en el blog. "Pero, francamente, hay otras cosas que me preocupan sobre TrueCrypt. El más grande es que nadie sabe quién lo escribió".

No sé vosotros, pero yo estoy deseando ver los resultados...

Fuentes:
TrueCrypt to go through a crowdfunded, public security audit
Is your encryption truly secure? TrueCrypt audit effort smashes fundraising goals
Security Researchers Want To Fully Audit Truecrypt
Let's audit Truecrypt!


Actualización (06/04/2015):
Ya tenemos los resultados y son buenas noticias: el informe de la auditoría concluye que no hay backdoors de la NSA en Truecrypt:
- https://opencryptoaudit.org/reports/TrueCrypt_Phase_II_NCC_OCAP_final.pdf
- https://threatpost.com/truecrypt-audit-stirs-back-to-life/111162
- http://news.hitb.org/content/truecrypt-security-audit-good-news-so-why-all-glum-faces

3 comentarios :

  1. Otra de los motivos para auditarlo, es el secretismo que existe respecto a su o sus desarrolladores. Quien puede asegurar que no se un organismo de inteligencia el que lo creo. Ya han metido mano en otros sofwars como cundo un desarrollador(fbi) metio backdoor en OpenBSD. En fin con todo lo de la NSA, hoy en dia la paranoia ya no es algo por lo que sentirse raro, jeje.

    ResponderEliminar
  2. Perdon por los 'horrores' de ortografia en el anterior comentario. Son fruto de solo haber dormido 3 horas, por lo que estoy medio sonambulo XD

    ResponderEliminar
  3. jejej no te preocupes @anonimo y gracias por tus comentarios!

    ResponderEliminar