Commotie en onzekerheid rond datakluis TrueCrypt

De site raadt bezoekers aan te migreren naar een ander encryptieplatform. Het advies geeft de volgende verklaring: "De ontwikkeling van TrueCrypt is gestaakt met ingang van 5/2014 nadat Microsoft stopte met de ondersteuning van Windows XP . Windows 8/7/Vista en latere versies bevatten geïntegreerde ondersteuning voor versleutelde schijven, net als andere platformen." Bij het bezoek van de site van TrueCrypt.org zelf vindt er een redirect plaats naar een pagina met de dezelfde waarschuwing over TrueCrypt.

Dure audit naar beveiliging net afgerond

Merkwaardig is dat een groep betrokkenen juist eind vorig jaar nog veel geld inzamelde om een beveiligingsaudit te laten doen op TrueCrypt. De reden daartoe was de behoefte om te zien of de Amerikaanse inlichtingendienst NSA wellicht ook achterdeurtjes had weten aan te brengen in deze open source software. De audit leverde geen aanwijzingen in die richting op, wat de betrouwbaarheid van de software nog eens onderstreepte.

Ars Technica vroeg Matthew Green, een hoogleraar cryptografie aan de John Hopkins University en een van de initiatiefnemers van de audit naar de melding. Hij wist echter ook nergens van en zei te proberen bevestiging te zoeken bij de doorgaans zeer gesloten groep ontwikkelaars achter TrueCrypt.

Wat de zaak verder compliceert, is dat wie nu de nieuwste versie - TrueCrypt 7.2 - downloadt, ook de waarschuwing te zien krijgt. Deze versie is met de officiële TrueCrypt private key gesigneerd. Daarmee wordt het erg onwaarschijnlijk dat de meldingen het gevolg zijn van een hacker aanval op SourceForge. Of de hackers moeten ook in bezit zijn gekomen van de Private Key van TrueCrypt, wat het gebruik van de encryptiesoftware niet minder riskant maakt.