Bye bye TrueCrypt!

Há algum tempo venho desincentivando que amigos e colegas utilizem o TrueCrypt. Na edição da CryptoParty Brasil, em novembro do ano passado, fui contra termos uma oficina de TrueCrypt ou mesmo de sua recomendação, e a oficina de criptografia de disco abordou dm-crypt e luks. Meu principal argumento era baseado na auditoria do projeto. Enquanto não for auditado, ele não é confiável. Você pode ler mais sobre o TrueCrypt nesses links: Is TrueCrypt audited yet?, os motivos da auditoria, a análise da primeira parte do relatório e os desenvolvedores do Tails não recomendam o uso do TrueCrypt.

E, nesta quarta-feira (28), sem nenhuma declaração ou mais informações, apareceu a seguinte mensagem no site oficial do trueCrypt:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms (click here for more information). You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.

Eles passaram a recomendar que os usuários utilizem o software da Microsoft para criptografia, o bitlocker. A mesma empresa que cooperou e entregou os dados para a NSA.

Há muitas teorias circulando e a principal é de que o site do TrueCrypt foi falsificado após o SourceForge ter sido hackeado.

Uma outra teoria aponta de que isso na verdade é um tipo de "declaração canária" dos desenvolvedores. Uma declaração canária é:

"Um mecanismo para testar condições inseguras, originalmente para o uso de canários em minas de carvão para detectar gases tóxicos ou desabamentos. Se o canário morresse, era hora de sair da mina. Recentemente, o termo têm sido utilizado por alguns provedores de serviço online para uma declaração afirmativa, atualizada regularmente, que o provedor não foi alvo de determinados processos legais. Se a declaração não for atualizada num determinado período de tempo, os usuários podem inferir que a declaração canária não é mais verdadeira." Canary Statement do Coletivo Riseup

Pelo twitter, o WikiLeaks analisou que

(1/4) Truecrypt has released an update saying that it is insecure and development has been terminated http://truecrypt.sf.net

(2/4) the style of the announcement is very odd; however we believe it is likely to be legitimate and not a simple defacement

(3/4) the new executable contains the same message and is cryptographically signed. We believe that there is either a power conflict.

(4/4) in the dev team or psychological issues, coersion of some form, or a hacker with access to site and keys.

Se faltava algum incentivo ou motivo para deixar de usar, agora é uma boa hora. O TAILS vem com o Luks e há um tutorial explicando passo a passo na página deles.

Veja também, alternativas ao TrueCrypt: Replace TrueCrypt.