Το TrueCrypt ήταν ένα από τα πιο διαδεδομένα προγράμματα κρυπτογράφησης αρχείων (και ολόκληρων δίσκων) με φανατικούς χρήστες (συμπεριλαμβανομένου και του Edward Snowden), αλλά και φανατικούς εχθρούς (κυρίως μυστικές υπηρεσίες). Η ανάπτυξη του ξεκίνησε το 2004 από ανώνυμους προγραμματιστές, οι οποίοι το 2014 έθεσαν τέλος στο πρόγραμμα με ένα μυστηριώδες τρόπο.
Το TrueCrypt ξεκίνησε τον Φεβρουάριο του 2004, βασιζόμενο στο E4M (Encryption for Masses), από ανώνυμους προγραμματιστές. Σύντομα όμως η διανομή του σταμάτησε εξαιτίας νομικών αντιδικιών ανάμεσα στον δημιουργό του E4M Paul Le Roux και της πρώην εταιρεία του SecurStar. Τον Ιούνιο του 2004 κυκλοφόρησε η δεύτερη έκδοση του λογισμικού. Ο ιδιοκτήτης της ψηφιακής υπογραφής που είχε χρησιμοποιηθεί για αυτή την έκδοση, διέφερε από αυτόν της πρώτης, που σήμαινε πως είτε άλλαξαν προγραμματιστές, είτε χρησιμοποιούσαν νέα (κρυπτογραφικά) κλειδιά για την δημιουργία της υπογραφής.
Ένα ιδιαίτερο χαρακτηριστικό του TrueCrypt ήταν η δυνατότητα "εύλογης άρνησης" (plausible deniability): οι χρήστες μπορούσαν κρυπτογραφήσουν αρχεία με δύο κωδικούς, έναν πραγματικό και ένα ψεύτικο. Ο πραγματικός κωδικός ξεκλείδωνε πράγματι τα αρχεία του χρήστη. Ο ψεύτικος κωδικός "ψευτο-" ξεκλείδωνε τα αρχεία και εμφάνιζε ως αποκρυπτογραφημένη απάντηση, αληθοφανή, αθώα αρχεία. Η δυνατότητα αυτή ήταν ιδιαίτερα αγαπητή σε ακτιβιστές των οποίων οι υπολογιστές γινόντουσαν συχνά αντικείμενο κατάσχεσης στα αεροδρόμια.
Τον Οκτώβριο του 2013 ξεκίνησε από τους Kenneth White και Matthew Green μια προσπάθεια για ένα ενδελεχή έλεγχο (audit) της ασφάλειας του TrueCrypt. Η πρώτη φάση ολοκληρώθηκε τον Απρίλιο του 2014 και προς μεγάλη χαρά των χρηστών του προγράμματος, σύμφωνα με την σχετική αναφορά [1], δεν βρέθηκε κάποιο σημαντικό σφάλμα
Και τότε το απροσδόκητο συνέβη. Στις 28 Μαΐου 2014, η αρχική σελίδα του επίσημου site του προγράμματος (truecrypt.org) αντικαταστάθηκε από μια λιτή ανακοίνωση που ενημέρωνε του χρήστες πως το TrueCrypt δεν είναι πλέον ασφαλές. Συνιστούσε μάλιστα την αντικατάσταση του με το πρόγραμμα bitlocker της Microsoft το οποίο έρχεται προ-εγκατεστημένο με τα Windows 8. Στο site υπήρχε επίσης η έκδοση 7.2 του προγράμματος, η οποία υποστήριζε μόνο την διαδικασία αποκρυπτογράφησης.
Οι φήμες άρχισαν να οργιάζουν. Τι πραγματικά έγινε; Ήταν η σελίδα πραγματική; Σύντομα επιβεβαιώθηκε πως η έκδοση 7.2 έφερε την σωστή ψηφιακή υπογραφή. Φαινόταν πως όντως το τέλος για το TrueCrypt είχε φτάσει. Γιατί όμως; Ποιοι ήταν πίσω από την ομάδα; Ίσως είναι κάτι που δεν θα μάθουμε ποτέ
Παραπομπές:
- Open Crypto Audit Project TrueCrypt, [Online], τελευταία πρόσβαση 18 Ιουλ. 2014
