TrueCrypt behoort tot de meest gebruikte encryptiesoftware ter wereld, maar niemand weet wie het programma geschreven heeft en dat is reden tot zorg, aldus een cryptografieprofessor. Professor Matthew Green van de Johns Hopkins Universiteit in Baltimore wil daarom de software laten auditen.
Hiervoor lanceerde hij samen met twitteraar Kenn White de website IsTrueCryptAuditedYet?, waar Security.NL vorige week al over berichtte. In een blogposting laat Green weten waarom het auditen van TrueCrypt zo belangrijk is. Sinds de onthullingen dat de NSA actief backdoors probeert toe te voegen en encryptiealgoritmes verzwakt is het volgens Green onduidelijk welke software nog te vertrouwen is. Daarbij zou TrueCrypt een ideaal doelwit voor de NSA zijn.
"Er zijn echter andere dingen van TrueCrypt waar ik me zorgen om maak. De grootste is dat niemand weet wie het heeft geschreven. Daar krijg ik de rillingen van." Green benadrukt dat anonimiteit geen misdrijf is. "Het is mogelijk dat de TrueCrypt-ontwikkelaars magische security-elven zijn die hun bron van de eeuwige jeugd proberen te beschermen." Een andere verklaring is dat ze in een land leven waar privacyvoorvechters niet worden gewaardeerd.
Ook hekelt Green de werking van de software. Zo is er een verschil tussen de Windows- en Linuxversie. De Linuxversie vult de laatste 65.024 bytes met versleutelde zero-bytes, terwijl de Windowsversie willekeurige waardes gebruikt. Volgens een analyse van de Ubuntu Privacy Group valt niet te zeggen of het om willekeurige waardes gaat of een tweede encryptie van de meester- en XTR-sleutel met een backdoor-wachtwoord.
De analyse van de onderzoekers laat verder weten dat niet valt uit te sluiten dat de Windows-installatie aan de hand van een andere broncode is gecompileerd. Ook Green stelt dat zelfs als de TrueCrypt-broncode te vertrouwen is, dat niet hoeft te gelden voor de installatiebestanden en dat zou voor gebruikers reden tot zorg moeten zijn.
Om een audit van de software te laten plaatsvinden proberen Green en White nu via Fundfill en Indiegogo om geld in te zamelen. Inmiddels is er 4500 dollar van de beoogde 25.000 dollar opgehaald.
Deze posting is gelocked. Reageren is niet meer mogelijk.