Desarrollador(es) | Fundación TrueCrypt |
---|---|
Lanzamiento inicial | Febrero de 2004 ( 2004-02 ) | [1]
Versión final | 7.2 / 28 de mayo de 2014 ( 28-05-2014 ) [2] (Descontinuado) |
Escrito en | C , C++ , Ensamblador [3] |
Sistema operativo | Windows , macOS , Linux , [3] MorphOS [4] |
Tamaño | 3,30 MB |
Disponible en | 38 idiomas [5] |
Lista de idiomas Inglés, árabe, bielorruso, birmano, búlgaro, catalán, chino (simplificado), chino (Hong Kong), chino (Taiwán), checo, danés, holandés, estonio, euskera, finlandés, francés, georgiano, alemán, griego, húngaro, indonesio, italiano, japonés, coreano, letón, noruego (nynorsk), persa, polaco, portugués (Brasil), ruso, eslovaco, esloveno, español, sueco, turco, ucraniano, uzbeko (cirílico), vietnamita | |
Tipo | Software de cifrado de disco |
Licencia | Licencia TrueCrypt 3.1 ( software gratuito disponible en código fuente ) |
Sitio web | truecrypt.sourceforge.net |
TrueCrypt es una utilidad de software gratuito que ya no se fabrica y que se utiliza para el cifrado sobre la marcha (OTFE). Puede crear un disco virtual cifrado dentro de un archivo, cifrar una partición o cifrar todo el dispositivo de almacenamiento ( autenticación previa al arranque ).
El 28 de mayo de 2014, el sitio web de TrueCrypt anunció que el proyecto ya no recibía mantenimiento y recomendó a los usuarios que buscaran soluciones alternativas. Aunque el desarrollo de TrueCrypt ha cesado, una auditoría independiente de TrueCrypt (publicada en marzo de 2015) concluyó que no existen fallas significativas. [6] Dos proyectos se derivaron de TrueCrypt: VeraCrypt (activo) y CipherShed [7] (abandonado).
TrueCrypt se lanzó inicialmente como versión 1.0 en febrero de 2004, basada en E4M (Encryption for the Masses). Desde entonces se han realizado varias versiones y muchos otros lanzamientos menores, siendo la versión más actual la 7.1a. [1]
El lanzamiento original de TrueCrypt fue realizado por desarrolladores anónimos llamados "el equipo TrueCrypt". [8] Poco después de que se lanzara la versión 1.0 en 2004, el equipo TrueCrypt informó haber recibido un correo electrónico de Wilfried Hafner, gerente de SecurStar, una empresa de seguridad informática. [9] Según el equipo TrueCrypt, Hafner afirmó en el correo electrónico que el autor reconocido de E4M, el desarrollador Paul Le Roux , había robado el código fuente de SecurStar como empleado. [9] Se afirmó además que Le Roux distribuyó ilegalmente E4M y fue autor de una licencia ilegal que permitía a cualquiera basar trabajos derivados en el código y distribuirlo libremente. Hafner alega que todas las versiones de E4M siempre pertenecieron solo a SecurStar y que Le Roux no tenía ningún derecho a publicarlo bajo esa licencia. [9] [10]
Esto llevó al equipo TrueCrypt a detener inmediatamente el desarrollo y la distribución de TrueCrypt, lo que anunciaron en línea a través de Usenet . [9] David Tesařík, miembro del equipo TrueCrypt, declaró que Le Roux informó al equipo que había una disputa legal entre él y SecurStar, y que recibió asesoramiento legal para no comentar sobre ningún asunto del caso. Tesařík concluyó que si el equipo TrueCrypt continuaba distribuyendo TrueCrypt, Le Roux podría ser considerado responsable y verse obligado a pagar los daños consiguientes a SecurStar. Para continuar de buena fe, dijo, el equipo necesitaría verificar la validez de la licencia E4M. Sin embargo, debido a la necesidad de Le Roux de permanecer en silencio sobre el asunto, no pudo confirmar ni negar su legitimidad, lo que mantuvo el desarrollo de TrueCrypt en el limbo. [9] [11]
Posteriormente, los posibles visitantes informaron problemas para acceder al sitio web de TrueCrypt y aparecieron espejos de terceros en línea que hicieron que el código fuente y el instalador estuvieran continuamente disponibles, fuera de la sanción oficial del equipo de TrueCrypt. [12] [13]
En la sección de preguntas frecuentes de su sitio web, SecurStar mantiene sus derechos de propiedad sobre E4M y Scramdisk , otro programa de cifrado gratuito. La empresa afirma que con esos productos, SecurStar "tenía una larga tradición de software de código abierto", pero que "los competidores no tenían nada mejor que hacer que robar nuestro código fuente", lo que provocó que la empresa fabricara sus productos de código cerrado , lo que obligaba a los clientes potenciales a realizar un pedido importante y firmar un acuerdo de confidencialidad antes de que se les permitiera revisar el código para comprobar su seguridad. [14]
El propio Le Roux negó haber desarrollado TrueCrypt en una audiencia judicial en marzo de 2016, en la que también confirmó que había escrito E4M. [15]
Meses después, el 7 de junio de 2004, se publicó TrueCrypt 2.0. [1] La nueva versión contenía una firma digital diferente a la del equipo original de TrueCrypt, y los desarrolladores ahora eran conocidos como "la Fundación TrueCrypt". La licencia del software también se cambió a la Licencia Pública General de GNU (GPL) de código abierto . Sin embargo, dada la amplia gama de componentes con diferentes licencias que conforman el software y la naturaleza controvertida de la legalidad del lanzamiento del programa, unas semanas después, el 21 de junio, se publicó la versión 2.1 bajo la licencia E4M original para evitar posibles problemas relacionados con la licencia GPL. [1] [16]
La versión 2.1a del software se lanzó el 1 de octubre de 2004 en truecrypt.sourceforge.net
el subdominio . [1] En mayo de 2005, el sitio web original de TrueCrypt regresó y truecrypt.sourceforge.net
redirigió a los visitantes a truecrypt.org
.
El 28 de mayo de 2014, el sitio web oficial de TrueCrypt, truecrypt.org
, comenzó a redirigir a los visitantes a truecrypt.sourceforge.net
con un estado HTTP 301 "Movido permanentemente" , que advertía que el software puede contener problemas de seguridad sin solucionar, y que el desarrollo de TrueCrypt finalizó en mayo de 2014, luego del fin del soporte de Windows XP. El mensaje señaló que las versiones más recientes de Windows tienen soporte integrado para el cifrado de disco mediante BitLocker , y que Linux y OS X tenían soluciones integradas similares, lo que el mensaje afirma que hace que TrueCrypt sea innecesario. La página recomienda que cualquier dato cifrado por TrueCrypt se migre a otras configuraciones de cifrado y ofrece instrucciones sobre cómo migrar a BitLocker. La página del proyecto SourceForge para el software en sourceforge.net/truecrypt
se actualizó para mostrar el mismo mensaje inicial, y el estado se cambió a "inactivo". [17] La página también anunció una nueva versión del software, 7.2, que solo permite el descifrado.
Inicialmente, se cuestionó la autenticidad del anuncio y del nuevo software. [18] [19] [20] En toda la comunidad tecnológica surgieron múltiples teorías que intentaban explicar el motivo del anuncio. [21] [3]
Poco después del anuncio del fin de la vida útil de TrueCrypt, Gibson Research Corporation publicó un anuncio titulado "Sí... TrueCrypt sigue siendo seguro de usar" y un repositorio de lanzamiento final para alojar la última versión oficial no modificada 7.1a de TrueCrypt. [3] Ya no alojan el repositorio de lanzamiento final a partir de 2022.
Truecrypt.org ha sido excluido de Internet Archive Wayback Machine . [22] Su política de exclusión dice que excluyen páginas a pedido del propietario del sitio. [23]
TrueCrypt es compatible con los sistemas operativos Windows , OS X y Linux . [24] Se admiten las versiones de 32 y 64 bits de estos sistemas operativos, excepto Windows IA - 64 ( no compatible) y Mac OS X 10.6 Snow Leopard (se ejecuta como un proceso de 32 bits). [24] La versión para Windows 7, Windows Vista y Windows XP puede cifrar la partición de arranque o la unidad de arranque completa. [25]
Existe una implementación independiente y compatible [26] [27] , tcplay, para DragonFly BSD [26] y Linux . [27] [28]
El módulo Dm-crypt incluido en el kernel Linux predeterminado admite un destino TrueCrypt llamado "tcw" desde la versión 3.13 de Linux. [29] [30] [31]
Los cifrados individuales admitidos por TrueCrypt son AES , Serpent y Twofish . Además, hay cinco combinaciones diferentes de algoritmos en cascada disponibles: AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Serpent-Twofish-AES y Twofish-Serpent. [32] Las funciones hash criptográficas disponibles para su uso en TrueCrypt son RIPEMD-160 , SHA-512 y Whirlpool . [33] Las primeras versiones de TrueCrypt hasta 2007 también admitían los cifrados de bloque Blowfish , CAST-128 , TDEA e IDEA ; pero estos quedaron obsoletos debido a que tenían una seguridad de 64 bits relativamente menor y problemas de licencia de patentes. [1]
La seguridad práctica que ofrece TrueCrypt depende en su totalidad de los algoritmos de cifrado aplicados y de sus diferentes debilidades. TrueCrypt por sí solo no ofrece protección adicional contra un algoritmo de confianza débil.
TrueCrypt actualmente utiliza el modo de operación XTS . [34] Antes de esto, TrueCrypt usaba el modo LRW en las versiones 4.1 a 4.3a, y el modo CBC en las versiones 4.0 y anteriores. [1] Se cree que el modo XTS es más seguro que el modo LRW, que a su vez es más seguro que el modo CBC. [35]
Aunque solo se pueden crear nuevos volúmenes en modo XTS, TrueCrypt es compatible con versiones anteriores de volúmenes que utilizan el modo LRW y el modo CBC. [1] Las versiones posteriores generan una advertencia de seguridad al montar volúmenes en modo CBC y recomiendan que se reemplacen con nuevos volúmenes en modo XTS.
La clave de encabezado y la clave de encabezado secundaria (modo XTS) se generan utilizando PBKDF2 con una sal de 512 bits y 1000 o 2000 iteraciones, según la función hash subyacente utilizada. [36]
TrueCrypt admite un concepto llamado negación plausible , [37] al permitir que se cree un único "volumen oculto" dentro de otro volumen. [38] Además, las versiones de Windows de TrueCrypt tienen la capacidad de crear y ejecutar un sistema operativo cifrado oculto cuya existencia puede negarse . [39]
La documentación de TrueCrypt enumera muchas formas en las que las características de negación de volúmenes ocultos de TrueCrypt pueden verse comprometidas (por ejemplo, por software de terceros que puede filtrar información a través de archivos temporales, miniaturas, etc., a discos no cifrados) y posibles formas de evitarlo. [40] En un artículo publicado en 2008 y centrado en la última versión de ese momento (v5.1a) y su negación plausible, un equipo de investigadores de seguridad dirigido por Bruce Schneier afirma que Windows Vista , Microsoft Word , Google Desktop y otros almacenan información en discos no cifrados, lo que podría comprometer la negación plausible de TrueCrypt. El estudio sugirió la adición de una funcionalidad de sistema operativo oculto; esta característica se agregó en TrueCrypt 6.0. Cuando se ejecuta un sistema operativo oculto, TrueCrypt también hace que los sistemas de archivos locales no cifrados y los volúmenes TrueCrypt no ocultos sean de solo lectura para evitar fugas de datos. [39] No se evaluó la seguridad de la implementación de esta característica de TrueCrypt porque la primera versión de TrueCrypt con esta opción se había lanzado recientemente. [41]
En una versión anterior de TrueCrypt, Schneier et al. realizaron una evaluación funcional de la negación de volúmenes ocultos que encontró fugas de seguridad. [42]
Cuando se analizan, los volúmenes TrueCrypt parecen no tener encabezado y contienen datos aleatorios. [43] Los volúmenes TrueCrypt tienen tamaños que son múltiplos de 512 debido al tamaño de bloque del modo de cifrado [34] y los datos clave son 512 bytes almacenados por separado en el caso del cifrado del sistema o dos encabezados de 128 kB para contenedores que no son del sistema. [44] Las herramientas forenses pueden usar estas propiedades de tamaño de archivo, aparente falta de un encabezado y pruebas de aleatoriedad para intentar identificar volúmenes TrueCrypt. [45] Aunque estas características dan motivos para sospechar que un archivo es un volumen TrueCrypt, existen, sin embargo, algunos programas que existen con el propósito de borrar archivos de forma segura empleando un método de sobrescribir el contenido del archivo y el espacio libre en el disco, con datos puramente aleatorios (es decir, "shred" y "scrub" [46] ), creando así una duda razonable para contrarrestar las acusaciones puntuales que declaran que un archivo, hecho de datos estadísticamente aleatorios, es un archivo TrueCrypt. [37] [47]
Si una unidad de sistema, o una partición de la misma, ha sido cifrada con TrueCrypt, entonces sólo los datos de esa partición son denegables. Cuando el cargador de arranque TrueCrypt reemplaza al cargador de arranque normal, un análisis fuera de línea de la unidad puede determinar positivamente que hay un cargador de arranque TrueCrypt presente y, por lo tanto, llevar a la inferencia lógica de que también hay una partición TrueCrypt presente. Aunque existen características para ofuscar su propósito (es decir, mostrar un mensaje similar al de la BIOS para desviar la atención de un observador como, por ejemplo, "Disco que no es del sistema" o "error de disco"), estas reducen la funcionalidad del cargador de arranque TrueCrypt y no ocultan el contenido del cargador de arranque TrueCrypt del análisis fuera de línea. [48] Aquí nuevamente, el uso de un sistema operativo oculto es el método sugerido para mantener la denegabilidad. [39]
TrueCrypt admite el cifrado paralelizado [49] : 63 para sistemas multinúcleo y, bajo Microsoft Windows, operaciones de lectura/escritura en secuencia (una forma de procesamiento asincrónico) [49] : 63 para reducir el impacto en el rendimiento del cifrado y descifrado. En los procesadores más nuevos que admiten el conjunto de instrucciones AES-NI, TrueCrypt admite AES acelerado por hardware para mejorar aún más el rendimiento. [49] : 64 El impacto en el rendimiento del cifrado de disco es especialmente notable en operaciones que normalmente utilizarían acceso directo a memoria (DMA), ya que todos los datos deben pasar por la CPU para el descifrado, en lugar de copiarse directamente del disco a la RAM.
En una prueba realizada por Tom's Hardware , aunque TrueCrypt es más lento en comparación con un disco sin cifrar, se encontró que la sobrecarga del cifrado en tiempo real era similar independientemente de si se utiliza hardware de gama media o de última generación, y este impacto era "bastante aceptable". [50] En otro artículo se encontró que el costo de rendimiento era imperceptible cuando se trabajaba con "aplicaciones de escritorio populares de manera razonable", pero se señaló que "los usuarios avanzados se quejarían". [51]
La instalación de software de terceros que utiliza FlexNet Publisher o SafeCast (que se utilizan para evitar la piratería de software en productos de Adobe como Adobe Photoshop ) puede dañar el cargador de arranque TrueCrypt en particiones/unidades de Windows cifradas por TrueCrypt y hacer que la unidad no se pueda iniciar. [52] Esto se debe al diseño inadecuado de FlexNet Publisher que escribe en la primera pista de la unidad y sobrescribe cualquier cargador de arranque que no sea de Windows que exista allí. [53]
TrueCrypt es vulnerable a varios ataques conocidos que también están presentes en otras versiones de software de cifrado de discos, como BitLocker . Para evitarlos, la documentación distribuida con TrueCrypt requiere que los usuarios sigan varias precauciones de seguridad. [54] Algunos de esos ataques se detallan a continuación.
TrueCrypt almacena sus claves en la memoria RAM; en un ordenador personal normal, la memoria DRAM mantendrá su contenido durante varios segundos después de que se corte la alimentación (o durante más tiempo si se reduce la temperatura). Incluso si se produce alguna degradación en el contenido de la memoria, varios algoritmos pueden recuperar las claves de forma inteligente. Este método, conocido como ataque de arranque en frío (que se aplicaría en particular a un ordenador portátil obtenido mientras está encendido, suspendido o con la pantalla bloqueada), se ha utilizado con éxito para atacar un sistema de archivos protegido por TrueCrypt. [55]
La documentación de TrueCrypt afirma que TrueCrypt no puede proteger los datos de una computadora si un atacante accede físicamente a ellos y el usuario vuelve a utilizar TrueCrypt en la computadora comprometida (esto no se aplica a un caso común de una computadora robada, perdida o confiscada). [56] El atacante que tiene acceso físico a una computadora puede, por ejemplo, instalar un keylogger de hardware/software , un dispositivo de bus mastering que capture memoria o instalar cualquier otro hardware o software malicioso , lo que le permite capturar datos no cifrados (incluidas claves de cifrado y contraseñas) o descifrar datos cifrados utilizando contraseñas o claves de cifrado capturadas. Por lo tanto, la seguridad física es una premisa básica de un sistema seguro. Ataques como este a menudo se denominan " ataques de doncella malvada ". [57]
La documentación de TrueCrypt indica que TrueCrypt no puede proteger los datos de una computadora si tiene algún tipo de malware instalado. El malware puede registrar las pulsaciones de teclas, exponiendo así las contraseñas a un atacante. [58]
El bootkit "Stoned" , un rootkit MBR presentado por el desarrollador de software austríaco Peter Kleissner en la Conferencia de Seguridad Técnica Black Hat USA 2009, [59] [60] ha demostrado ser capaz de manipular el MBR de TrueCrypt, evadiendo efectivamente el cifrado de volumen completo de TrueCrypt . [61] [62] [63] [64] [65] Potencialmente, todo software de cifrado de disco duro se ve afectado por este tipo de ataque si el software de cifrado no se basa en tecnologías de cifrado basadas en hardware como TPM , o si el ataque se realiza con privilegios administrativos mientras el sistema operativo cifrado está en ejecución. [66] [67]
Existen dos tipos de escenarios de ataque en los que es posible aprovecharse maliciosamente de este bootkit: en el primero, se requiere que el usuario inicie el bootkit con privilegios administrativos una vez que el PC ya haya arrancado en Windows; en el segundo, de manera análoga a los keyloggers de hardware , una persona malintencionada necesita acceso físico al disco duro cifrado con TrueCrypt del usuario: en este contexto, esto es necesario para modificar el MBR de TrueCrypt del usuario con el del bootkit Stoned y luego colocar el disco duro nuevamente en el PC del usuario desprevenido, de modo que cuando el usuario inicie el PC e ingrese su contraseña TrueCrypt al arrancar, el bootkit "Stoned" lo intercepte a partir de entonces porque, a partir de ese momento, el bootkit Stoned se carga antes que el MBR de TrueCrypt en la secuencia de arranque. El primer tipo de ataque se puede prevenir como de costumbre mediante buenas prácticas de seguridad, por ejemplo, evitar ejecutar ejecutables no confiables con privilegios administrativos. El segundo puede ser neutralizado con éxito por el usuario si sospecha que el disco duro cifrado podría haber estado físicamente disponible para alguien en quien no confía, iniciando el sistema operativo cifrado con el disco de rescate de TrueCrypt en lugar de iniciarlo directamente desde el disco duro. Con el disco de rescate, el usuario puede restaurar el MBR de TrueCrypt al disco duro. [68]
La sección de preguntas frecuentes del sitio web de TrueCrypt indica que no se puede confiar en el Módulo de plataforma segura (TPM) para la seguridad, porque si el atacante tiene acceso físico o administrativo a la computadora y usted la utiliza después, la computadora podría haber sido modificada por el atacante, por ejemplo, un componente malicioso, como un registrador de pulsaciones de teclado de hardware, podría haber sido utilizado para capturar la contraseña u otra información confidencial. Dado que el TPM no impide que un atacante modifique maliciosamente la computadora, TrueCrypt no lo admitirá. [67]
En 2013, un estudiante de posgrado de la Universidad Concordia publicó un informe detallado en línea, en el que afirma que ha confirmado la integridad de los binarios distribuidos de Windows de la versión 7.1a. [69]
En octubre de 2013 se logró financiar una campaña de financiación colectiva para llevar a cabo una auditoría de seguridad independiente de TrueCrypt. Se formó una organización sin fines de lucro llamada Open Crypto Audit Project (OCAP), que se autodenomina "una iniciativa global impulsada por la comunidad que surgió de la primera auditoría pública integral y criptoanálisis del software de cifrado ampliamente utilizado TrueCrypt". [70] La organización estableció contacto con los desarrolladores de TrueCrypt, quienes acogieron con agrado la auditoría. [71] [72] La fase I de la auditoría se completó con éxito el 14 de abril de 2014, y no se encontró "ninguna evidencia de puertas traseras o código malicioso". Matthew D. Green , uno de los auditores, agregó: "Creo que es bueno que no hayamos encontrado nada súper crítico". [73]
Un día después del anuncio del fin de la vida útil de TrueCrypt, OCAP confirmó que la auditoría continuaría según lo planeado, con la Fase II prevista para comenzar en junio de 2014 y finalizar a fines de septiembre. [74] [75] La auditoría de la Fase II se retrasó, pero NCC Cryptography Services la completó el 2 de abril de 2015. Esta auditoría "no encontró evidencia de puertas traseras deliberadas ni fallas de diseño graves que hagan que el software sea inseguro en la mayoría de los casos". [76] [77] [78] La Agencia Nacional Francesa para la Seguridad de los Sistemas de Información (ANSSI) declaró que, si bien TrueCrypt 6.0 y 7.1a ya habían obtenido la certificación ANSSI, se recomienda la migración a un producto certificado alternativo como medida de precaución. [79]
Según Gibson Research Corporation , Steven Barnhart escribió a una dirección de correo electrónico de un miembro de la TrueCrypt Foundation que había utilizado en el pasado y recibió varias respuestas de "David". Según Barnhart, los puntos principales de los mensajes de correo electrónico eran que la TrueCrypt Foundation estaba "satisfecha con la auditoría, no provocó ningún problema" y que el motivo del anuncio era que "ya no hay interés [en mantener el proyecto]". [80]
Según un estudio publicado el 29 de septiembre de 2015, TrueCrypt incluye dos vulnerabilidades en el controlador que TrueCrypt instala en sistemas Windows, lo que permite a un atacante la ejecución de código arbitrario y la escalada de privilegios a través del secuestro de DLL. [81] En enero de 2016, la vulnerabilidad se corrigió en VeraCrypt , [82] pero permanece sin parchear en los instaladores sin mantenimiento de TrueCrypt.
En julio de 2008, varios discos duros protegidos con TrueCrypt fueron confiscados al banquero brasileño Daniel Dantas , sospechoso de delitos financieros. El Instituto Nacional de Criminología (INC) de Brasil intentó sin éxito durante cinco meses obtener acceso a sus archivos en los discos protegidos con TrueCrypt. Consiguieron la ayuda del FBI , que utilizó ataques de diccionario contra los discos de Dantas durante más de 12 meses, pero aún no pudieron descifrarlos. [83] [84]
En 2012, el Tribunal de Apelaciones del 11.º Circuito de los Estados Unidos dictaminó que no se podía obligar a un usuario de TrueCrypt llamado John Doe a descifrar varios de sus discos duros. [85] [86] El fallo del tribunal señaló que los examinadores forenses del FBI no podían superar el cifrado de TrueCrypt (y, por lo tanto, no podían acceder a los datos) a menos que Doe descifrara los discos o le diera al FBI la contraseña, y el tribunal luego dictaminó que el derecho de Doe a permanecer en silencio en virtud de la Quinta Enmienda impedía legalmente al Gobierno obligarlos a hacerlo. [87] [88]
El 18 de agosto de 2013, David Miranda , compañero del periodista Glenn Greenwald , fue detenido en el aeropuerto de Heathrow de Londres por la Policía Metropolitana mientras se dirigía a Río de Janeiro desde Berlín . Llevaba consigo un disco duro externo que, al parecer, contenía documentos confidenciales relacionados con las revelaciones de vigilancia global de 2013 provocadas por Edward Snowden . El contenido del disco estaba cifrado con TrueCrypt, lo que, según las autoridades, "hace que el material sea extremadamente difícil de acceder". [89] La superintendente detective Caroline Goode afirmó que el disco duro contenía alrededor de 60 gigabytes de datos, "de los cuales solo se ha accedido a 20 hasta la fecha". Además, afirmó que el proceso para decodificar el material era complejo y "hasta ahora solo se han reconstruido 75 documentos desde que se recibió inicialmente la propiedad". [89]
La colaboradora del Guardian Naomi Colvin concluyó que las declaraciones eran engañosas, afirmando que era posible que Goode ni siquiera se estuviera refiriendo a ningún material encriptado real, sino más bien a archivos eliminados reconstruidos a partir de espacio no encriptado y no asignado en el disco duro, o incluso documentos de texto sin formato de los efectos personales de Miranda . [90] Greenwald apoyó esta evaluación en una entrevista con Democracy Now!, mencionando que elgobierno del Reino Unido presentó una declaración jurada pidiendo al tribunal que les permitiera conservar la posesión de las pertenencias de Miranda. Los motivos de la solicitud fueron que no podían romper el cifrado y solo pudieron acceder a 75 de los documentos que llevaba, de los cuales Greenwald dijo que "la mayoría probablemente estaban relacionados con su trabajo escolar y uso personal". [91]
En febrero de 2014, un empleado del departamento de TI del Departamento de Bienes Raíces de Arizona , James DeSilva, fue arrestado por cargos de explotación sexual de un menor mediante el intercambio de imágenes explícitas a través de Internet . Su computadora, cifrada con TrueCrypt, fue incautada y DeSilva se negó a revelar la contraseña. Los detectives forenses de la Oficina del Sheriff del Condado de Maricopa no pudieron acceder a sus archivos almacenados. [92]
En octubre de 2013, el activista británico-finlandés Lauri Love fue arrestado por la Agencia Nacional contra el Crimen (NCA, por sus siglas en inglés) acusado de piratear una computadora de un departamento o agencia de los EE. UU. y un cargo de conspiración para hacer lo mismo. [93] [94] [95] El gobierno confiscó todos sus dispositivos electrónicos y le exigió que les proporcionara las claves necesarias para descifrar los dispositivos. Love se negó. El 10 de mayo de 2016, un juez de distrito ( tribunal de magistrados ) rechazó una solicitud de la NCA para que se obligara a Love a entregar sus claves de cifrado o contraseñas para los archivos TrueCrypt en una tarjeta SD y discos duros que estaban entre la propiedad confiscada. [96]
En la investigación del fiscal especial sobre Druking en Corea del Sur, el fiscal especial descifró algunos de los archivos cifrados por TrueCrypt adivinando la frase de contraseña . [97] [98]
El fiscal especial dijo que los volúmenes ocultos eran especialmente difíciles de manejar. Descifró algunos de los archivos encriptados probando palabras y frases que el grupo de narcotraficantes había usado en otros lugares como partes de la frase de contraseña para hacer conjeturas fundamentadas . [99] [100] [101] [102]
TrueCrypt fue lanzado como código fuente disponible , bajo la "Licencia TrueCrypt", que es exclusiva del software TrueCrypt. [103] [104] A partir de la versión 7.1a (la última versión completa del software, lanzada en febrero de 2012), la Licencia TrueCrypt era la versión 3.0. No forma parte de la panoplia de licencias de código abierto ampliamente utilizadas . La Free Software Foundation (FSF) afirma que no es una licencia de software libre . [105]
El debate sobre los términos de la licencia en la lista de correo de discusión de licencias de la Iniciativa de Código Abierto (OSI) en octubre de 2013 sugiere que la Licencia TrueCrypt ha avanzado hacia el cumplimiento de la Definición de Código Abierto, pero aún no pasaría si se propusiera la certificación como software de Código Abierto. [106] [107] Según el actual presidente de la OSI, Simon Phipps :
...no es en absoluto apropiado que [TrueCrypt] se describa a sí mismo como "de código abierto". Este uso del término "de código abierto" para describir algo que está sujeto a una licencia que no sólo no está aprobada por la OSI, sino que se sabe que está sujeta a problemas es inaceptable. ... Como dijo el director de la OSI y experto en código abierto Karl Fogel, "La solución ideal no es que eliminen las palabras 'de código abierto' de su autodescripción, sino que su software esté sujeto a una licencia de código abierto aprobada por la OSI". [106]
Como resultado de su estatus cuestionable con respecto a las restricciones de derechos de autor y otros posibles problemas legales, [108] las principales distribuciones de Linux no consideran que la licencia TrueCrypt sea gratuita : TrueCrypt no está incluido en Debian, [109] Ubuntu, [110] Fedora, [111] o openSUSE. [112]
El 28 de mayo de 2014, el anuncio de la discontinuación de TrueCrypt también se produjo con una nueva versión 7.2 del software. Entre los muchos cambios en el código fuente con respecto a la versión anterior, se encontraban cambios en la Licencia TrueCrypt, incluida la eliminación de un lenguaje específico que requería la atribución de TrueCrypt, así como un enlace al sitio web oficial que se incluiría en cualquier producto derivado, lo que dio lugar a una versión de licencia 3.1. [113]
El criptógrafo Matthew Green, que ayudó a recaudar fondos para la auditoría de TrueCrypt, observó una conexión entre la negativa de TrueCrypt a cambiar la licencia y la advertencia sobre la hora de salida. "Le prendieron fuego a todo y ahora tal vez nadie confíe en él porque pensarán que hay una gran vulnerabilidad maligna en el código". [114]
El 16 de junio de 2014, el único supuesto desarrollador de TrueCrypt que todavía respondía correos electrónicos respondió a un mensaje de Matthew Green solicitando permiso para usar la marca registrada TrueCrypt para una bifurcación publicada bajo una licencia estándar de código abierto. El permiso fue denegado, lo que llevó a que las dos bifurcaciones conocidas se llamaran VeraCrypt y CipherShed, así como una reimplementación llamada tc-play en lugar de TrueCrypt. [115] [116]
En 2007, se registró una marca comercial estadounidense de TrueCrypt bajo el nombre de Ondrej Tesarik con el nombre de empresa TrueCrypt Developers Association [117] y se registró una marca comercial en el logotipo de la "llave" bajo el nombre de David Tesarik con el nombre de empresa TrueCrypt Developers Association . [118]
En 2009, el nombre de la empresa TrueCrypt Foundation fue registrado en los EE. UU. por una persona llamada David Tesarik. [119] La organización sin fines de lucro TrueCrypt Foundation presentó su última declaración de impuestos en 2010, [120] y la empresa se disolvió en 2014. [ cita requerida ]