O mistério em torno do TrueCrypt tem sido muito desde que o seu criador o resolveu terminar de forma abrupta e sem qualquer justificação. Muitas teorias surgiram, sem que nenhuma fosse provada.
Uma das que mais vezes se ouviu falava em problemas de segurança graves no TrueCrypt e que colocavam em causa a sua utilização. Depois de algumas avaliações não terem revelado qualquer problema, surgiu mais uma que coloca um ponto nesta situação. O TrueCrypt não é inseguro e não tem falhas de segurança.
As avaliações aos possíveis problemas de segurança do TrueCrypt surgiram logo depois desta aplicação ter sido abandonada. Não havia uma razão precisa para este passo que todos consideraram ilógico e sem sentido.
De todas as verificações feitas, por entidades independentes e com créditos firmados no mercado, o TrueCrypt era uma aplicação segura e sem problemas de segurança que impedissem que continuasse a ser desenvolvida e mantida.
Havia problemas, mas eram menores e facilmente poderiam ser resolvidos, não colocando em perigo os dados dos utilizadores e os volumes cifrados que eram criados.
Uma nova avaliação, feita pelo reconhecido Instituto Fraunhofer a pedido do governo Alemão, veio provar mais uma vez que o TrueCrypt é uma aplicação segura e que os problemas que existem não são perigosos.
O chefe da equipa que avaliou o TrueCrypt resume de forma precisa toda a informação que recolheram durante a avaliação ao código.
It does not seem apparent to many people that TrueCrypt is inherently not suitable to protect encrypted data against attackers who can repeatedly access the running system. This is because when a TrueCrypt volume is mounted its data is generally accessible through the file system, and with repeated access one can install key loggers etc. to get hold of the key material in many situations. Only when unmounted, and no key is kept in memory, can a TrueCrypt volume really be secure. In result, TrueCrypt provides good protection mostly when storing encrypted data offline. If keeping a backup stored offline on a hard drive, for example, or keeping encrypted data on a USB flash drive to be sent via a human carrier, then this can be considered relatively secure.
Tal como antes foram descobertos problemas, que até já tinham sido apresentados pela Google e pelo seu Project Zero. Estes permitem o acesso à informação que o TrueCrypt guarda, mas apenas quando estes volumes estão acessíveis no Windows, algo que acontece a muitas outras aplicações deste sistema operativo.
Um desses problemas, que é de relevância maior, está na forma como são gerados números aleatórios, que depois são usados para criar as chaves de cifra, aplicadas aos processos de cifra dos dados.
In conclusion, I would say that the TrueCrypt code base is probably alright for the most parts. The flaws we found were minor, and similar flaws can occur also in any other implementation of cryptographic functions. In that sense TrueCrypt seems not better or worse than its alternatives. Code quality could be improved, though, as there are some places that call for a refactoring and certainly for better documentation. But generally the software does what it was designed for.
Note that the original designers documented all along a threat model stating that TrueCrypt cannot actually properly protect data on a running system. This matches our findings. If such protection is desired, one cannot get around solutions that use smartcards or other hardware-based key storage such that the encryption key can be better kept a secret. Also such systems can be broken, but they raise the bar significantly.
Todos os problemas eram já conhecidos e poderiam ser resolvidos de forma simples pelos programadores do TrueCrypt, se a ferramenta fosse continuada. Mesmo sem estas correcções as versões que estão disponíveis podem ser usadas para guardar os dados de forma cifrada.
Há que ter apenas alguns cuidados na forma como se criam os volumes onde se vão guardar os dados e a forma como estes são disponibilizados no Windows.
No geral, as conclusões a que o Instituto Fraunhofer chegou depois de avaliar o código do TrueCrypt são idênticas às que já antes tinham sido obtidas.
Esta é uma aplicação segura e que pode ser usada para proteger dados sensíveis. Tem alguns problemas pontuais e que podem ser fácil e rapidamente resolvidos, bastando alguém pegar nos seus desenvolvimentos futuros.
Estas conclusões voltam a deixar a dúvida sobre as razões que levaram os seus criadores a abandonar este projecto que tantos usam para se proteger e aos seus dados.