بررسی ویژه‌ی پروژه‌ی TrueCrypt توسط دولت آلمان

بیش از یک سال است که پروژه‌ی TrueCrypt دیگر پشتیبانی نمی‌شود و دست کم یک گروه از پژوهش‌گران امنیتی از گروه Open Crypto Audit Project باهمکاری پروژه‌ی Zero گوگل در دو مرحله موفق به بررسی کامل کد این پروژه شده‌اند و اعلام کردند هیچ درپشتی در این محصول وجود ندارد.
اما به‌تازگی بخش امنیت اطلاعات دولت آلمان موسوم به BIS تصمیم گرفته است مجدداً کد محصول متن‌بازِ رمزگذاریِ دیسک را بررسی نماید تا دست‌کم دولت‌مردان آلمان برای ذخیره‌سازی برون‌خط (آفلاین) اطلاعات از این ابزار بهره ببرند.
پروژه‌ی TrueCrypt در طول سال‌هایی که معرفی شده بود، توسعه‌دهندگان گمنامی داشت که درست پس از افشاگری‌های ادوارد اسنودن، این توسعه‌دهندگان در پستی اعلام کردند که محصول TrueCrypt دارای آسیب‌پذیری‌هایی است و به همین دلیل توسعه‌ی این محصول متوقف شده است. پس از این اتفاق بزرگترین دغدغه‌ی پژوهش‌گران امنیتی بررسی این مسأله بود که آیا این توسعه‌دهندگان گمنام با دولت آمریکا و به‌خصوص NSA در ارتباط بوده‌اند و در محصول TrueCrypt یک درپشتی قرار داده شده است یا خیر.
در بررسی‌های انجام شده چندین آسیب‌پذیری که برخی از آن‌ها حتی بحرانی بودند، شناسایی شدند. البته هیچ از این آسیب‌پذیری‌ها را نمی‌توان یک درپشتی به حساب آورد. به منظور رفع آسیب‌پذیری‌های این محصول، پروژه‌ی دیگری به نام VeraCrypt توسعه پیدا کرد که هدف آن رفع آسیب‌پذیری‌های شناخته شده و ادامه‌ی به‌روز‌رسانی این محصول بود.
در بررسی‌های جدیدی که دولت آلمان آن را آغاز کرده است، هدف شناسایی آسیب‌پذیری‌های مرتبط با الگوریتم رمزنگاری است. خصوصاً در مورد تولید عدد تصادفی که می‌توان آن را کمی پیچیده‌تر کرد.
در نهایت مسئول بررسی این پروژه توسط دولت آلمان هم تأیید کرده است که آسیب‌پذیری‌ها و هر مسئله‌ی دیگری مربوط به این پروژه جدی نیست و این محصول برای کاری طراحی شده است که آن را به درستی انجام می‌دهد.
کاربرد پروژه‌ی TrueCrypt و نبود جایگزین مناسب برای این محصول به‌قدری پراهمیت بوده است که توقف پشتیبانی از آن منجر به نگرانی حتی دولت‌ها شده تا جایی که هزینه‌های زیادی برای بررسی کد این محصول پرداخت شده است.

منبع: asis