Manu Pitkänen
3. huhtikuuta, 2015 11:33
Vajaa vuosi sitten avoimen lähdekoodin TrueCrypt-salausohjelman kehittäjät ilmoittivat yllättäen, etteivät he aio enää jatkaa ohjelman kehittämistä ja ohjeistivat nykyisiä käyttäjiä siirtymään muiden ohjelmien pariin. Kehittäjien mukaan TrueCryptin käyttö ei olisi enää turvallista.
Tieto ohjelman epäturvallisuudesta tuli yllättäen, sillä ohjelmalle tehdyn ensivaiheen tietoturva-auditoinnin perusteella siitä ei löytyisi haavoittuvuuksia. Nyt ohjelman auditoinnin toinen vaihe on valmistunut, eikä siinäkään löydetty mitään vakavia puutteita TrueCryptistä. Muutamista puutteista huolimatta TrueCryptin käyttö on useimmissa tilanteissa täysin turvallista.
Auditoinnin aikana huomattiin esimerkiksi, että TrueCryptin Windows-version käyttämä Windows Crypto -rajapinta saattaa tietyissä olosuhteissa tuottaa salausavaimia ennalta tunnettuihin arvoihin perustuen (satunnaisten sijaan). Tätä ei kuitenkaan pidetä erityisen ongelmallisena, sillä tilanteen todennäköisyys on hyvin alhainen.
Vaikka tuloksista ei olekaan enää paljoa iloa TrueCryptin kehityksen kannalta, saavat sen eri haarojen (esim. VeraCrypt) kehittäjät auditoinnista varmasti paljon irti.