TrueCrypt era un'utilità di crittografia del disco gratuita e open source lanciata per la prima volta nel 2004. Il freeware è stato sospeso a maggio 2014 e non è più mantenuto.
Il software viene utilizzato per creare partizioni crittografate su dischi rigidi o creare dischi crittografati virtuali all'interno di un file. Una volta crittografati, i dati memorizzati su una partizione richiedono una password per accedere. TrueCrypt era un mezzo popolare di crittografia del disco su Mac OSX e sui sistemi operativi Windows con milioni di utenti.
Dopo che i suoi sviluppatori anonimi hanno abbandonato TrueCrypt in circostanze alquanto misteriose, le teorie hanno turbinato su potenziali difetti di sicurezza che potrebbero compromettere i dati degli utenti. Il più dannoso è venuto dal team di sicurezza di Project Zero di Google, che ha scoperto due vulnerabilità precedentemente sconosciute. Uno di questi consente a un'applicazione in esecuzione con i normali privilegi di utente di inoltrare tali privilegi a un livello amministrativo.
Contents
TrueCrypt è sicuro?
Nel 2015, il Fraunhofer Institute for Secure Information Technology ha condotto un audit formale sull'ultima versione stabile di TrueCrypt. Il rapporto di 77 pagine ha rilevato numerosi altri bug in TrueCrypt, ma alla fine ha stabilito che il software è sicuro quando utilizzato per il suo caso d'uso principale. Cioè, per crittografare i dati inattivi, ad esempio su un disco rigido esterno o un'unità USB. L'Istituto ha riconosciuto l'esistenza di bug scoperti da Google, ma non possono essere sfruttati per consentire agli aggressori di accedere a dati crittografati.
Mentre la crittografia dei dati su un'unità esterna ha chiarito tutto l'Istituto, la stessa attività sulla memoria di un computer o su un'unità montata non lo ha fatto. Se viene montata un'unità, la chiave utilizzata per crittografare i dati viene archiviata nella memoria del computer. Tale chiave può essere recuperata e utilizzata per decrittografare i dati in un secondo momento.
Tuttavia, la probabilità che un hacker sfrutti queste circostanze è piuttosto scarsa. O il contenitore crittografato deve essere montato, nel qual caso i dati decrittografati sono comunque disponibili, oppure il computer deve andare in letargo con il contenitore crittografato montato. Se qualcuno accede a un computer mentre è aperto un contenitore crittografato, il gioco è comunque finito. Altrimenti, gli utenti non devono consentire ai computer con unità crittografate e montate di ibernarsi mentre è aperto un contenitore crittografato.
Dovrei usare TrueCrypt?
Se hai un sistema precedente con una delle versioni originali di TrueCrypt installata e non lo stai utilizzando su unità montate, dovresti essere al sicuro, salvo gli scenari improbabili sopra. TrueCrypt è leggermente meno sicuro per le unità montate per i motivi sopra descritti.
Ma se non hai già TrueCrypt, scaricarlo e installarlo ora potrebbe metterti a rischio. Ricorda che il software è stato ufficialmente sospeso oltre due anni fa e da allora non è più disponibile per il download. Mentre alcuni siti Web e torrent sostengono di offrire una copia originale di TrueCrypt per il download, ci sono pochi mezzi per sapere se è stato manomesso, soprattutto se non sei un esperto di software.
Alcuni utenti puntano a copie archiviate disponibili su Github, dove il codice può essere verificato liberamente. Ma la maggior parte di questi repository non è stata verificata da esperti perché farlo è una procedura dispendiosa in termini di tempo e denaro. Open Crypto Project afferma che un repository Github, una copia di TrueCrypt 7.1, è verificato.
Sebbene non vi siano prove a sostegno di tale affermazione, alcuni utenti affermano che la sicurezza di TrueCrypt contiene backdoor per funzionari governativi.
Se hai davvero intenzione di utilizzare TrueCrypt, questa è probabilmente la soluzione migliore. Ma consigliamo di provare un'alternativa più recente. Alcuni di questi strumenti di crittografia del disco sono fork dell'originale TrueCrypt, mentre altri sono stati sviluppati separatamente.
TrueCrypt alternative
Ecco una breve suddivisione delle alternative TrueCrypt, con maggiori dettagli su ciascuna di seguito:
- veracrypt è open-source e codice verificato, migliora su TrueCrypt, funziona su Mac e PC e consente la creazione di contenitori crittografati
- Bitlocker è integrato in Windows, non è open source, crittografa solo i dischi completi e non ha alcun meccanismo di negabilità plausibile
- DiskCryptor è uno strumento solo per Windows, è open source ma non controllato, consente l'installazione del bootloader su USB o CD e funziona più velocemente di altri
- Ciphershed è un altro fork di TrueCrypt, funziona con vecchi contenitori TrueCrypt, è lento con gli aggiornamenti e funziona su Mac, PC e Linux
- FileVault 2 è integrato in Mac OSX Lion e versioni successive, consente solo la crittografia completa del disco e non è open source
- LUKS è un'opzione open source per Linux, supporta più algoritmi, ma non offre molto supporto per sistemi non Linux
1. VeraCrypt
VeraCrypt è un fork di TrueCrypt ed è ampiamente considerato il suo successore. Esegue tutte le stesse funzioni di TrueCrypt e quindi alcune. VeraCrypt aggiunge sicurezza agli algoritmi utilizzati per la crittografia del sistema e delle partizioni. Questi miglioramenti lo rendono immune ai nuovi sviluppi negli attacchi di forza bruta, secondo gli sviluppatori. Puoi trovare un elenco completo dei miglioramenti e correzioni apportati da VeraCrypt su TrueCrypt qui.
VeraCrypt utilizza 30 volte più iterazioni durante la crittografia di contenitori e partizioni rispetto a TrueCrypt. Ciò significa che l'avvio della partizione richiede un po 'più tempo e l'apertura dei contenitori, ma non influisce sull'uso dell'applicazione.
VeraCrypt è gratuito e open source, e lo sarà sempre. Il codice viene regolarmente verificato da ricercatori indipendenti. Poiché, in sostanza, è molto simile a TrueCrypt, gli audit del software originale si applicano ancora a VeraCrypt.
VeraCrypt supporta due tipi di negabilità plausibile: l'esistenza di dati crittografati è negabile perché un avversario non può provare che esistano dati non crittografati. Volumi nascosti risiede nello spazio libero dei volumi contenitore visibili, spazio che altrimenti verrebbe riempito con valori casuali se il volume nascosto non esistesse. Sistemi operativi nascosti esiste accanto a sistemi operativi visibili. Se un avversario ti costringe a consegnare una password, puoi semplicemente dargli la password per il sistema operativo visibile.
2. Bitlocker
Bitlocker è un popolare software solo per Windows utilizzato per crittografare interi volumi utilizzando l'algoritmo di crittografia AES con una chiave a 128 o 256 bit. A differenza di TrueCrypt e VeraCrypt, Bitlocker non può creare contenitori crittografati. Intere partizioni devono essere crittografate contemporaneamente.
Mentre questo approccio funziona per alcune persone, tieni presente che se lasci il computer connesso e qualcun altro lo utilizza, tutti i tuoi file saranno visibili. Windows ha un sistema di crittografia separato chiamato EFS (file system crittografato) per crittografare singoli file e cartelle, ma questi sono anche sbloccati ogni volta che l'utente ha effettuato l'accesso.
Bitlocker non è open source, il che significa che il pubblico non può ispezionarlo per le backdoor. A causa della relazione amichevole di Microsoft con l'NSA, questo potrebbe essere un affare per molti. Sono state inoltre sollevate preoccupazioni quando Microsoft ha rimosso Elephant Diffuser, una funzionalità che impedisce la modifica crittografata del disco, per motivi di prestazioni.
Bitlocker non ha un meccanismo di negabilità plausibile, anche se potresti argomentare che i contenuti del tuo disco rigido sono stati modificati a causa del diffusore Elephant mancante. Questo è un tratto, però.
Bitlocker verifica che gli aggressori non abbiano modificato il software utilizzato per avviare il computer.
3. DiskCryptor
DiskCryptor è un'altra soluzione di crittografia del disco completo solo per Windows. Rispetto alle opzioni di cui sopra, DiskCryptor ha eseguito pochissime analisi di sicurezza formali anche se è open source. Inoltre non sappiamo molto degli autori e dei loro motivi. Lo scetticismo sul fatto che il software sia veramente valido funziona in modo elevato. Allora perché è popolare?
DiskCryptor è veloce e facile da usare. Richiede molte meno risorse di elaborazione e crittografia più velocemente di TrueCrypt. DiskCryptor utilizza AES a 256 bit, Twofish, Serpent o una combinazione di algoritmi in cascata in modalità XTS per eseguire la crittografia. Il serpente è il più veloce.
DiskCryptor supporta la crittografia di dispositivi esterni inclusi dischi rigidi, unità USB, CD e DVD. Supporta diverse opzioni di avvio multiplo.
Se stai nascondendo qualcosa alla NSA, DiskCryptor probabilmente non è l'opzione migliore. Ma dovrebbe funzionare bene se il tuo computer viene rubato o un nipote ficcanaso tenta di accedere ai tuoi file.
La caratteristica plausibile di DiskCryptor consente di installare il bootloader di un computer su un'unità USB o CD. Senza il bootloader, i contenuti crittografati del disco rigido di un computer sembrano spazi vuoti con dati casuali. L'aspetto negativo di questo approccio è che devi sempre utilizzare il bootloader CD o USB per avviare il computer e decrittografare i dati.
4. CipherShed
Come VeraCrypt, CipherShed è iniziato come un fork di TrueCrypt. È disponibile per PC Windows, Mac OSX e Linux, sebbene debba essere compilato per gli ultimi due. La prima versione non alfa è stata rilasciata a febbraio di quest'anno, ma non esiste ancora alcuna versione del prodotto (v1.0 o successive).
Lo sviluppo sembra essere molto più lento di VeraCrypt, ma sta avanzando. Gli errori in TrueCrypt sono stati corretti.
Oltre ad essere più indietro nello sviluppo, CipherShed non si differenzia molto da VeraCrypt. È possibile eseguire la crittografia completa del disco o creare contenitori crittografati.
Un aspetto positivo è che CipherShed può essere utilizzato con i contenitori TrueCrypt, mentre le versioni più recenti di VeraCrypt non lo sono. La maggiore derivazione chiave di VeraCrypt (le iterazioni sopra menzionate) lo rende incompatibile con i contenitori TrueCrypt, ma probabilmente anche più sicuro.
CipherShed si affida a volumi nascosti, proprio come VeraCrypt, per una negabilità plausibile.
5. FileVault 2
FileVault 2 è la risposta di Apple a Bitlocker. Inizialmente lanciato con OSX Lion, il software solo per Mac utilizza un algoritmo AES-XTC a 128 bit per la crittografia del disco completo. La password di accesso dell'utente viene utilizzata come chiave di crittografia.
Simile a Bitlocker, FileVault 2 non ha alcuna opzione per creare contenitori crittografati. Ciò significa che una volta effettuato l'accesso al tuo Macbook, tutti i dati del disco rigido non sono crittografati e visibili fino allo spegnimento del sistema.
Un'altra somiglianza condivisa con Bitlocker: FileVault 2 non è open source. Ciò significa che non può essere verificato dal pubblico e può contenere backdoor.
6. LUKS
Per gli utenti Linux, LUKS si basa su cryptsetup e utilizza dm-crypt come back-end di crittografia del disco. Abbreviazione di Linux Unified Key Setup, LUKS specifica un formato su disco standard indipendente dalla piattaforma da utilizzare in vari strumenti.
LUKS non ha tutte le funzionalità di VeraCrypt o altre opzioni, ma offre maggiore flessibilità quando si tratta di algoritmi di crittografia.
LUKS non viaggia bene tra i sistemi operativi e funziona davvero bene solo per Linux, anche se gli utenti Windows possono accedere ai dischi crittografati LUKS usando LibreCrypt.
LUKS non supporta la negabilità plausibile.
Una nota sulla negabilità plausibile
Non scegliere il tuo software di crittografia in base al suo plausibile meccanismo di negabilità. Mentre è un bel bonus, è una difesa debole.
In termini di crittografia del disco, la negabilità plausibile significa che nessuno può provare che ci sono dati crittografati sul tuo computer perché i dati crittografati sembrano uguali a nessun dato - solo rumore casuale.
Il problema è che il rumore può sembrare un po 'troppo casuale, e un acuto esperto può individuare altri segni che un disco è stato crittografato (questo si chiama "analisi entropica"). Il dibattito sul fatto che la negabilità plausibile verrebbe effettivamente sostenuta in un tribunale o in una camera di tortura è altamente discutibile.
Utilizzare una VPN per crittografare i dati in transito
La crittografia del disco proteggerà i tuoi dati mentre sono inattivi sul tuo computer o unità esterna, ma non fornirà alcuna protezione per quei dati mentre vengono trasmessi su Internet. Per questo, avrai bisogno di una VPN.
Abbreviazione di rete privata virtuale, una VPN crittografa tutto il traffico Internet di un dispositivo e lo instrada attraverso un server in una posizione di tua scelta. Il tunnel crittografato protegge i dati in transito dal tuo ISP e da chiunque altro sulla rete locale che potrebbe ficcare il naso. Dopo aver lasciato il server VPN, non è più crittografato, ma tutto il traffico proviene dall'indirizzo IP del server anziché dal tuo. L'IP del server è in genere condiviso da dozzine o persino centinaia di utenti, rendendo la tua attività effettivamente anonima. Puoi vedere la nostra selezione dei migliori provider VPN qui.
"Volte bancarie in hotel a Toronto, Ontario" di Jason Baker concesso in licenza in base a CC BY 2.0
