Mystisk farvel til Truecrypt

Truecrypt er ett av de mest brukte krypteringsverktøyene som ikke koster penger. De ukjente utviklerene som står bak den populære åpne programvaren har uten forvarsel bestemt seg for å legge ned.

Truecrypt anbefales av mange sikkerhetseksperter, inkludert Norsis.

- Truecrypt er ikke trygt

Beskjeden om at Truecrypt ikke lenger utvikles, og vil legges ned, ble lagt ut over natten. Helt uten varsel er forsiden til prosjektets hjemmesider på Sourceforge erstattet med en melding som sier

"Advarsel: bruk av Truecrypt er ikke sikkert ettersom det kan inneholde sikkerhetsfeil. Denne nettsiden eksisterer kun for å bistå med å migrere data som er kryptert med Truecrypt.

Utviklingen av Truecrypt endte 5/2014 etter Microsoft terminerte støtte av Windows XP. Windows 8/7/Vista og senere tilbyr integrert støtte for krypterte disker og virtuelle diskavtrykk. Denne typen integrert støtte er også tilgjengelig på andre plattformer. Du bør migrere data kryptert av Truecrypt til krypterte disker eller virtuelle diskavtrykk som er støttet på din plattform."

Den nye nettsiden for Truecrypt er dessuten ikke spesielt forseggjort, og oppfordrer Truecrypt-brukere til å bytte til Microsofts Bitlocker.

Endret kildekode, filer

Det er ikke bare nettsidene som er endret. Det er nemlig også kildekode og binære filer. For å kjøre spikeren ekstra dypt inn i kista, vil Truecrypt ikke lenger krypterer data - nå kan du bare dekryptere.

Installasjonspakker og binære filer er forøvrig signert på riktig måte med korrekte sertifikater, og det er ingenting annet enn den overraskende beslutningen om å stenge ned sjappa som tyder på at det har skjedd noe skummelt. Bortsett fra at kildekode for eldre versjoner enn den som for øyeblikket er tilgjengelig for nedlasting er fjernet fra nett, selvsagt.

Computerworlds søsterpublikasjon PC World rapporterte riktignok at sikkerhetseksperter skulle sette i gang en omfattende gjennomgang av koden til Truecrypt i fjor på grunn av frykt for at amerikanske NSA hadde kompromittert koden - og sneket inn en bakdør. Den gangen var det også bekymring over at det var svært vanskelig å bygge de samme binære filene ut i fra kildekoden som de som var inkludert i installasjonspakken.

Konspirasjon og (u)sikkerhet

Hele tilbaketrekkingen av Truecrypt fremstår som et arbeid utført i mistenkelig hastverk og med en solid dose hemmelighetskremmeri. Dersom du er fan av konspirasjonsteorier er det nok å gripe fatt i her.

Sikkerhetsforsker Jake Williams sier for eksempel til Forbes at han har hatt mistanke om at det faktisk er en regjering som står bak Truecrypt, og viser blant annet til den svært kompliserte kildekoden, inkludert en haug med avhengigheter til andre biblioteker, og at systemet er veldig vanskelig å bygge fra kode - spesielt på Windows-plattformen. Han mener kompleksiteten i koden kan skjule innebygde sikkerhetshull og bakdører.

- Det er en fin måte å dekke over hva som faktisk ligger i de binære pakkene (som 99.9 prosent av WIndows-brukere bruker) som kan finnes eller ikke finnes i kildekoden, påpeker Williams.

Sikkerhetsekspert Per Thorsheim sier han er både fascinert og skuffet over det som har skjedd. Han forstår også godt hvordan måten Truecrypt har kastet inn håndkledet på skaper usikkerhet.

- At man dropper utviklingen på et open source-prosjekt, det kan jeg forstå, men at de til de grader skal kaste det ned i møkka, det forstår jeg ikke, sier Thorsheim.

Han sier også at han ikke helt kjøper argumentene om at det er en hemmelig tjeneste, for eksempel NSA, som faktisk står bak Truecrypt, og viser til Matthew Green, mannen som tok initiativ til den uavhengige kodegjennomgangen som har pågått siden i fjor.

Green har nemlig sagt at han ikke har funnet noe skummelt i kildekoden, men påpeker vanskeligheten med kodeompleksitet og lisens for utviklere som ønsker å ta Truecrypt-koden og lage sin egen variant.

Det blir også spennende å følge diskusjonen om et trygt og godt revidert alternativ til Truecrypt, som allerede er i full gang.

- Uten Truecrypt, så har vi en småalvorlig mangel på verktøy om du vil bruke open source, påpeker Thorsheim.

Noen alternativer

Det finnes noen alternativer til Truecrypt som det kan være lurt å ta en kikk på.

På Windows er det en mulighet til å bruke Bitlocker, som Truecrypt selv anbefaler - og forenkler migreringsprosessen med oppskrift på sine hjemmesider. Bitlocker er riktignok og dessverre kun tilgjengelig på Windows 7 Pro og Ultimate, i tillegg til Windows 8.1 Pro og Windows 8.1 Enterprise.

For Mac-brukere er Filevault et opplagt alternativ. Denne løsningen er tilgjengelig fra OS X 10.3 og opp.

På GNU/LInux kan man ta en kikk på Realcrypt, som er basert på Truecrypt. Denne løsningen ser ikke ut til å være berørt av Truecrypts mystiske nedleggelse. Et annet alternativ er Encfs, åpen kildekode under GPL.