La esperada revisión al código del servicio de cifrado Truecrypt se finalizó al fin con una buena noticia, se encontró que no hay puertas traseras o backdoors de forma deliberada en la pieza de código "relativamente bien diseñada".

El experto en criptografía, Matthew Green, reveló la noticia en una publicación de su blog la semana pasada. Menciona que el grupo NCC Crypto Services no encontró "evidencia deliberada de puertas traseras o alguna falla severa en el código que resultase en software inseguro para la mayoría de las instalaciones".

Green continúa: "No significa que Truecrypt es perfecto. Los auditores encontraron algunos defectos y faltas de atención al momento de programar, dejando un par de problemas que podrían, bajo circunstancias adecuadas, causar que Truecrypt ofrezca menos seguridad y confianza de lo que nos gustaría."

Uno de los principales problemas se relaciona con la versión del generador de números aleatorios (RNG) de la versión Windows, responsable de generar todas las llaves de cifrado, algo de vital importancia.

Una API en el software que no funcione correctamente podría fallar al inicializar y continuar generando llaves incluso cuando debería detenerse, advirtió Green.

Otro problema encontrado por los auditores se relaciona con el código AES de Truecrypt y su habilidad para resistir los ataques hacia el tiempo de almacenamiento de caché.

La importancia de esta revisión radica en que la plataforma Truecrypt, después de haber sido abandonada súbitamente por sus desarrolladores el año pasado, puede ser utilizada para generar nuevas versiones en el futuro.

Poco tiempo después de que el servicio original fuera dado de baja por sus desarrolladores anónimos, quienes declararon que "podía tener problemas de seguridad irreparables", un nuevo grupo con base en Suiza dijo ser capaz de coordinar esfuerzos para dejar a las versiones ya existentes disponibles nuevamente y utilizar el código para seguir desarrollándolo en el futuro.

"Truecrypt es realmente una pieza única, la pérdida de los desarrolladores originales fue resentida por la comunidad, quienes perdieron la posibilidad de cifrar sus discos de forma completa para proteger sus datos", concluyó Green.

"Con suerte, el código será adoptado por otros. Creemos que esta revisión brindará confianza adicional al código para quienes comenzarán de nuevo a desarrollarlo".