De meest recente Windowsversie van de populaire encryptiesoftware TrueCrypt bevat op het eerste gezicht geen backdoor. Dat zegt de informaticastudent Xavier de Carné de Carnavalet van het Concordia Institute for Information Systems Engineering. Hij besloot de broncode van TrueCrypt zelf te compileren naar een Windowsversie.
Onlangs werd er een crowdfunding-initiatief gestart om de broncode van TrueCrypt te laten auditen. Hoewel het om opensourcesoftware gaat, blijkt dat nog nooit iemand de broncode heeft geaudit. Daarnaast is het nog altijd onbekend wie de auteur van het encryptieprogramma is. Uit eerder uitgevoerd onderzoek zou verder blijken dat het niet valt uit te sluiten dat de Windows-installatie aan de hand van een andere broncode is gecompileerd.
De Carné de Carnavalet besloot daarop de broncode van TrueCrypt 7.1a zelf te compileren. Als eerste gebruikte hij voor het compileren Visual Studio 2010 met Service Pack 1, waardoor hij een versie kreeg die afweek van het origineel. Ontevreden met het resultaat gebruikte de student vervolgens Visual Studio 2008 met SP1, maar kreeg wederom een afwijkende versie, hoewel minder dan bij Visual Studio 2010 SP1 het geval was.
Het doel was om dezelfde productieomgeving te reproduceren die door de originele ontwikkelaar of ontwikkelaars was gebruikt. Uiteindelijk bleek de gouden combinatie Visual Studio 2008 met Service Pack 1 te zijn, inclusief alle updates voordat TrueCrypt 7.1a uitkwam.
De versie die De Carné de Carnavalet met deze opstelling compileerde kwam overeen met het origineel. "Alleen toen kon ik een identieke build maken en voor mezelf bewijzen dat TrueCrypt niet door de ontwikkelaars van een backdoor is voorzien op een manier die aan de hand van de bronnen is te herleiden." De informaticastudent benadrukt dat zijn resultaten zorgen over de betrouwbaarheid van TrueCrypt in het algemeen kunnen wegnemen, maar dat een audit van de broncode echt zekerheid geeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.