Software-auditbureau: 'Geen bewijs voor backdoors in TrueCrypt'

TrueCrypt maakt zijn reputatie tot nu toe waar. Een onafhankelijk software-auditbureau heeft de open source encryptiesoftware onder de loep genomen en meldt tot nu toe geen sporen van backdoors of andere verdachte code bevat.

De tool TrueCrypt staat bekend als één van de beste oplossingen voor het versleutelen van data. TrueCrypt maakt een versleutelde container aan op de harde schijf van de gebruiker. Ieder bestand dat in deze container wordt geplaatst wordt automatisch door TrueCrypt beveiligd. De beveiliging is dusdanig sterk opsporingsinstanties met enige regelmaat niet in staat blijken te zijn de encryptie te kraken.

Meewerken aan eigen veroordeling

Een probleem voor politie en andere instanties, aangezien verdachten in Nederland niet kunnen worden gedwongen mee te werken aan hun eigen veroordeling. Verdachten hoeven de encryptiesleutel dus niet af te staan. Data eventueel die gebruikt zou kunnen worden als bewijs kan hierdoor niet worden bemachtigd. Dat de politie zich bewust is van de kracht van TrueCrypt bleek onder andere ook uit het advies dat de politie in oktober 2013 uitgaf aan reizigers om laptops met de tool te beveiligen.

Onthullingen over grootschalige spionage van de NSA toonde echter aan dat de inlichtingendienst in allerlei beveiligingstool backdoors heeft geplaatst. Hierdoor werd ook de betrouwbaarheid van TrueCrypt in twijfel getrokken. Een groep cryptografen haalde daarom 28.000 dollar op om een security-audit uit te kunnen laten voeren van de encryptietool. 

Audit

Deze audit is uitgevoerd door iSec, een onafhankelijk software-auditbureau. Het bedrijf heeft maandag een eerste verslag vrijgegeven van zijn onderzoek naar TrueCrypt. Het onderzoek heeft zich tot nu toe gericht op de bootloader en Windows-kernel van TrueCrypt. Deze blijken nu dus beide vrij te zijn van verdachte code en backdoors. iSec gaat nu een uitgebreide analyse uitvoeren van de algoritmes die worden gebruikt om bestanden te versleutelen.