Video: CRIPTARE i dati | Cosa significa e come si fa (Novembre 2024)
Se si utilizza TrueCrypt per crittografare i dati, è necessario passare a un software di crittografia diverso per proteggere i file e persino interi dischi rigidi.
Il software TrueCrypt open source e disponibile gratuitamente è stato popolare negli ultimi dieci anni perché è stato percepito come indipendente dai principali fornitori. I creatori del software non sono stati identificati pubblicamente. Edward Snowden avrebbe usato TrueCrypt e l'esperto di sicurezza Bruce Schneier era un altro noto sostenitore del software. Lo strumento ha reso semplice trasformare un'unità flash o un disco rigido in un volume crittografato, proteggendo tutti i dati memorizzati su di esso da occhi indiscreti.
I misteriosi creatori hanno chiuso bruscamente TrueCrypt mercoledì, sostenendo che non era sicuro da usare. "ATTENZIONE: l'utilizzo di TrustCrypt non è sicuro in quanto potrebbe contenere problemi di sicurezza non risolti", leggi il testo sulla pagina SourceForge di TrueCrypt. "Dovresti migrare tutti i dati crittografati da TrueCrypt su dischi crittografati o immagini di dischi virtuali supportati sulla tua piattaforma", dice il messaggio.
"È ora di iniziare a cercare un modo alternativo per crittografare i file e il disco rigido", ha scritto il consulente di sicurezza indipendente Graham Cluley.
Consenso: non una bufala
Inizialmente, c'erano dubbi sul fatto che alcuni malintenzionati avessero deturpato il sito, ma sta diventando sempre più chiaro che non si tratta di una bufala. Il sito SourceForge ora offre una versione aggiornata di TrueCrypt (firmata digitalmente dagli sviluppatori, quindi non si tratta di un hack) che fa apparire un avviso durante il processo di installazione per informare gli utenti che dovrebbero usare BitLocker o qualche altro strumento.
"Penso sia improbabile che un hacker sconosciuto abbia identificato gli sviluppatori TrueCrypt, rubato la chiave di firma e violato il loro sito", ha affermato Matthew Green, professore specializzato in crittografia alla Johns Hopkins University.
Cosa fare dopo
Il sito, oltre all'avviso popup sul software, contiene istruzioni sul trasferimento di file crittografati TrueCrypt al servizio BitLocker di Microsoft, integrato in Microsoft Vista Ultimate ed Enterprise, Windows 7 Ultimate ed Enterprise e Windows 8 Pro ed Enterprise. TrueCrypt versione 7.2 consente agli utenti di decrittografare i propri file ma non consente loro di creare nuovi volumi crittografati.
Mentre BitLocker è l'alternativa ovvia, ci sono altre opzioni da guardare. Schneier disse a The Register che stava tornando al PGPDisk di Symantec per crittografare i suoi dati. Symantec Drive Encrpytion ($ 110 per una licenza per singolo utente) utilizza PGP, che è un noto metodo di crittografia. Esistono altri strumenti gratuiti per Windows, come DiskCryptor. L'esperto di sicurezza Grugq ha messo insieme un elenco di alternative TrueCrypt lo scorso anno, che è ancora utile.
Johannes Ullrich del SANS Institute ha raccomandato agli utenti di Mac OS X di utilizzare FileVault 2, integrato in OS X 10.7 (Lion) e versioni successive. FileVault utilizza il codice XTS-AES a 128 bit, che è lo stesso utilizzato dall'NSA. Gli utenti Linux dovrebbero attenersi all'installazione Linux Unified Key Setup (LUKS) integrata, ha affermato Ullrich. Se usi Ubuntu, il programma di installazione del sistema operativo ha la possibilità di attivare la crittografia del disco completo fin dall'inizio.
Tuttavia, gli utenti avranno bisogno di uno strumento diverso per le unità portatili che si spostano tra diversi sistemi operativi. "Mi viene in mente PGP / GnuPG", ha dichiarato Ullrich sul diario dei gestori di InfoSec.
La società tedesca Steganos offre agli utenti una versione precedente del loro strumento di crittografia (la versione 15 è la più recente, ma l'offerta è per la versione 14) gratuitamente, il che non è proprio l'ideale.
Vulnerabilità sconosciute
Il fatto che TrueCrypt possa avere vulnerabilità di sicurezza è sconcertante considerando che un controllo indipendente per il software è attualmente in corso e non sono stati segnalati tali rapporti. I sostenitori hanno raccolto $ 70.000 per l'audit a causa delle preoccupazioni che la National Security Agency ha la capacità di decodificare quantità significative di dati crittografati. La prima fase dell'indagine che ha esaminato il bootloader TrueCrypt è stata rilasciata proprio il mese scorso. "Non ha trovato prove di backdoor o difetti intenzionali". La prossima fase, che avrebbe esaminato la crittografia utilizzata dal software, era prevista per il completamento quest'estate.
Green, che era una delle persone coinvolte nell'audit, ha dichiarato di non avere avvertito in anticipo di ciò che gli sviluppatori di TrueCrypt avevano pianificato. "L'ultima volta che ho sentito da TrueCrypt:" Non vediamo l'ora di vedere i risultati della fase 2 del tuo audit. Che tu sia di nuovo per tutti i tuoi sforzi! "", Ha pubblicato su Twitter. L'audit dovrebbe continuare nonostante l'arresto.
È possibile che i creatori del software abbiano deciso di interrompere lo sviluppo perché lo strumento è così vecchio. Lo sviluppo "è terminato nel 5/2014 dopo che Microsoft ha terminato il supporto di Windows XP", ha affermato il messaggio su SourceForge. "Windows 8/7 / Vista e versioni successive offrivano supporto integrato per dischi crittografati e immagini di dischi virtuali." Con la crittografia integrata in molti sistemi operativi per impostazione predefinita, gli sviluppatori potrebbero aver ritenuto che il software non fosse più necessario.
Per rendere le cose ancora più oscure, sembra che sia stato aggiunto un biglietto il 19 maggio per rimuovere TrueCrypt dal sistema operativo sicuro Tails (anche un altro preferito di Snowden). In ogni caso, è chiaro che nessuno dovrebbe usare il software a questo punto, ha avvertito Cluley.
"Che sia una bufala, un hack o un'autentica fine vita per TrueCrypt, è chiaro che nessun utente consapevole della sicurezza si sentirà a proprio agio nel fidarsi del software dopo questa debacle", ha scritto Cluley.