El detallado informe de 77 páginas se produjo cinco semanas después de que el equipo de seguridad de Google Project Zero reveló dos vulnerabilidades de TrueCrypt ahora desconocidas. La más grave permite a una aplicación que se ejecuté como usuario normal o dentro de un entorno limitado de seguridad de baja integridad elevar privilegios a SYSTEM o incluso de kernel. Los investigadores del Instituto Fraunhofer dijeron que también descubrieron varios errores adicionales de seguridad desconocidos en TrueCrypt.

A pesar de las vulnerabilidades, el análisis concluyó que TrueCrypt sigue siendo seguro cuando se usa como una herramienta para el cifrado de datos en reposo en comparación con los datos almacenados en la memoria de una computadora o en una unidad externa. Los investigadores dijeron que las vulnerabilidades descubiertas por Project Zero y el análisis Fraunhofer deben arreglarse, pero que no hay ninguna indicación de que puedan ser explotadas para proporcionar a los atacantes el acceso a los datos cifrados almacenados en una unidad de disco duro o en una memoria USB. De acuerdo con un resumen de Eric Bodden, profesor de la Universidad Técnica de Darmstadt que dirigió el equipo de auditoría Fraunhofer:

"No parece evidente para muchas personas que TrueCrypt es inherentemente inadecuado para proteger los datos cifrados contra atacantes que pueden acceder varias veces al sistema en funcionamiento. Esto es porque cuando un volumen de TrueCrypt es montado estos datos son generalmente accesibles a través del sistema de archivos, y con repetidos accesos se  puede instalar algún key logger, para obtener la llave del material en muchas situaciones. Únicamente cuando desmontas, y ninguna tecla se mantiene en la memoria, puede un volumen de TrueCrypt realmente estar seguro. En consecuencia, TrueCrypt ofrece una buena protección en su mayoría para el almacenamiento de datos sin conexión cifrada. Mantener una copia de seguridad almacenada sin conexión en un disco duro, por ejemplo, mantener los datos cifrados en una unidad flash USB que se enviará por vía humana, entonces esto puede ser considerado relativamente seguro."

El análisis, que se realizó bajo contrato con la Oficina Federal de Alemania para la Seguridad en Tecnologías de la Información, hace un eco en gran parte de las conclusiones alcanzadas en el mes de abril en una auditoría de seguridad independiente a TrueCrypt. También descubrió varios errores de programación, las más graves incluyeron el uso de una interfaz de programación de Windows para generar números aleatorios utilizados por las claves criptográficas. Los investigadores del Instituto Fraunhofer también encontraron debilidades en la forma en que TrueCrypt recupera los números aleatorios.

En teoría, las debilidades en la generación de números aleatorios pueden hacer que sea más fácil para los atacantes adivinar las claves secretas necesarias para descifrar los datos cifrados. "Para estar en el lado seguro es recomendable volver a cifrar los volúmenes con una versión de TrueCrypt en la que este defecto se haya solucionado", dijo Bodden. Una solución como tal nunca podría estar disponible para TrueCrypt, ya que el desarrollo del proyecto cesó abruptamente desde hace 18 meses, cuando sus desarrolladores en su mayoría anónimos dijeron que el programa ya no es de confianza.

La auditoría de seguridad de abril también descubrió varias vulnerabilidades de desbordamiento de búfer. Los investigadores del Instituto Fraunhofer dijeron que los desbordamientos no pueden ocurrir en tiempo de ejecución y "por lo tanto no pueden probablemente ser explotados." Bodden continuó:

"En conclusión, yo diría que la base del código TrueCrypt está probablemente bien para el mayor número de partes. Los defectos que encontramos eran de menor importancia, y defectos similares pueden ocurrir también en cualquier otra aplicación de funciones criptográficas. En ese sentido TrueCrypt no es mejor o peor que sus alternativas. La calidad del código se puede mejorar, sin embargo, hay algunos lugares que requieren una refactorización y ciertamente una mejor documentación. Pero en general, el software cumple con el objetivo para el cual fue diseñado.

Tenga en cuenta que los diseñadores originales documentaron todo a lo largo de un modelo de amenaza, diciendo que TrueCrypt en realidad no puede proteger adecuadamente los datos en un sistema en funcionamiento. Esto coincide con nuestros hallazgos. Si se desea tal protección, no se puede conseguir alrededor de soluciones que utilizan tarjetas inteligentes u otro almacenamiento de claves basado en hardware de manera que la clave de cifrado puede ser mejor mantenida en secreto. También este tipo de sistemas se pueden romper, pero plantean una barrara significativamente importante."

La conclusión menciona que los millones de personas que han confiado en TrueCrypt probablemente tendrán un período de gracia para continuar seguros utilizando el programa hasta que VeraCrypt u otro reemplazo de TrueCrypt esté mejor desarrollado. El estado actual de TrueCrypt, con su falta de actualizaciones y vagas pero alarmistas advertencias de los desarrolladores por medios poco convencionales. Las garantías adicionales de Fraunhofer son ganar tiempo para que los usuarios se adecuen a una alternativa cuando esté disponible.