Néhány éve még a Bitport is ajánlotta kisebb szervezeteknek az ingyenes TrueCrypt titkosító alkalmazást, melynek fejlesztésével tavaly májusban teljesen váratlanul felhagytak. A Snowden-üggyel terhelt környezetben egyből lábra kaptak az összeesküvés-elméletek. Főleg azok után, hogy a botrány kirobbanása után két népszerű, titkos kommunikációt biztosító szolgáltatás is felfüggesztette működését. A Lavabit üzemeltetője, Ladar Levison, és a Silent Circle közel egy időben jelentették be, hogy megszüntetik a titkosított levelezést biztosító szolgáltatásukat, mert nem tudták garantálni azt, ami a szolgáltatásuk lényege lett volna: a rendszerükön folytatott levelekhez a tartalom tulajdonosain kívül soha senki sem férhessen hozzá.

Mintegy háromnegyed évvel később, 2014 májusában a TrueCrypt fejlesztői is felhagytak a népszerű, ráadásul ingyenesen alkalmazás fejlesztésével. A magyarázat eléggé furcsa volt, így nem csoda, hogy összeesküvés-elméletek sokasága született az okokra. A fejlesztők egyébként arra hivatkoztak – mint azt a Biztonságportál összefoglalójában olvasható –, hogy a Windows XP támogatásának megszűnésével okafogyottá vált a szoftverük, mert a korszerűbb operációs rendszerek már támogatják a teljes lemezes titkosítást.

Még egy tényező volt, ami a konteógyártók malmára hajtotta a vizet. A fejlesztők ugyanis azt javasolták a TrueCryot felhasználóinak, hogy térjenek át más program használatára, mert a szoftverekben biztonsági hibák lehetnek. Ergo – vonták le a következtetés sokan – valószínűleg hátsó kapu van a rendszerben, amit a készítők nem mertek felvállalni.

Itt a nagy leleplezés: nem volt backdoor

Mostanra kiderült: nem volt backdoor a TrueCryptben, sőt nagyon is biztonságos alkalmazás volt. Hibák persze voltak benne, ám azok akár javíthatók is lennének.

A szoftver egyik, az iSEC Partners által végzett auditja egyébként épp tavaly májusban zárult. Az iSEC jelentése 11 biztonsági rést tártak fel a programban, ám azok egyike sem volt backdoor, de más kártékony célú kódokra sem utalt.

Az audit azonban – a program elterjedtsége és a fejlesztés váratlan leállítása miatt is – folytatódott. Ezt azonban már az NCC Group végezte el. A napokban közzé tett jelentés megerősítette az iSEC megállapításait: nem volt a TrueCryptben hátsó kapu. De nem csak hátsó kaput nem találtak, hanem olyan jelentős hibát sem, ami átlagos körülmények között veszélyeztetné a szoftver által védett adatokat – mondta el Matthew Green, az Open Crypto Audit Project titkosítási szakértője.

Sérülékenységek persze vannak

Az NCC talált azonban négy komolyabb hibát, köztük két magas veszélyességűt. A legkomolyabb bug a véletlenszám-generálást érintette – ezt a a Windows Crypto API hibás kezelésére vezették vissza a kutatók. Emellett az integritásellenőrzésben és az AES-titkosítás megvalósításában is találtak hibát az auditorok.

És hogy miért érdekes ez egy kifutott szoftver esetében? Nos, azért, mert a TrueCrypt erős alapjaiban az összeesküvés-elméletek ellenére sokan bíznak, és vannak leszármazottjai is, például a CipherShed. Ezek fejlesztése azonban nem halad valami gyorsan. További részleteket a Biztonságportál cikkében olvashatnak.