TrueCrypt, del culebrón a la saga heroica

El cifrado de datos es uno de esos temas que consiguen adormecer a la audiencia en alrededor de 90 segundos. Las notas sobre encriptación se pasan por alto con un dejo de desdén. Cosa de hackers, no me interesa. No te interesa hasta que perdés el smartphone o te roban la notebook. Ahí te das cuenta de dos cosas. Primero, que el valor del hardware es insignificante en comparación con la información personal que tenías en el dispositivo. Segundo, que nunca le habías puesto contraseña al equipo. Ni hablemos de cifrar el disco.

Cierto, si alguien se queda con tu smartphone, tablet o notebook no será, en general, para mirar tus fotos o robarte contraseñas (sobre qué hacer si te roban el celular, ver aquí ). Más bien, el malviviente tiende a explorar las posibilidades de convertir el equipo en dinero. Pero de todas formas a nadie le gusta arriesgarse a que su vida digital quede expuesta. Nunca, ni una vez, las víctimas de un hurto me han dicho: "Oh, no hay problema, sólo lo quieren vender." Por el contrario, entraban en pánico ante la posibilidad de que los despojaran de sus cuentas de mail, Facebook, Twitter y así.

En total, el cifrado de parte o todo el espacio de almacenamiento de un dispositivo digital sigue siendo una medida tan fundamental como poco practicada. Por eso, en gran medida, la muerte súbita de TrueCrypt, el 28 de mayo, pasó casi inadvertida. Este software, cuyos desarrolladores mantienen sus identidades en secreto, es el estándar de encriptación de código fuente abierto. Tanto, que hasta Amazon lo utiliza en su servicio de almacenamiento en la nube, llamado S3 (por Simple Storage Service ).

Tras las revelaciones de Edward Snowden sobre el espionaje de agencias de inteligencia estadounidenses, la importancia de TrueCrypt aumentó todavía más, a la vez que el escándalo, inevitablemente, terminó por salpicarlo. ¿Por qué? Porque aunque TrueCrypt es de código fuente abierto, revisar sus más de 100.000 líneas de programación cuesta dinero. Mucho dinero. Se condujo, por lo tanto, una colecta para pagar una auditoría –que se llamó Open Crypt Audit Project–, cuya primera fase concluyó con buenas noticias. No encontraron evidencia de fallas graves ni de rutinas maliciosas en la versión 7.1a.

Pero antes de que termináramos de brindar, el sitio de TrueCrypt cambió su portada, anunció que el desarrollo del software había terminado como consecuencia del fin del soporte de Windows XP, y publicó un extenso tutorial para mudar los volúmenes cifrados por TrueCrypt a Bitlocker, la aplicación de Microsoft para esta clase de menesteres. El sitio de TrueCrypt ofrecía, además, una nueva versión, la 7.2, al tiempo que advertía que era riesgoso usarla. Para colmo, la extensión para navegación segura WOT (para Firefox y Chrome), aconsejaba no entrar en el sitio. Todo muy raro.

Se habló de un ataque informático. De una excusa para dar de baja el software. Etcétera. Daba para toda clase de teorías conspirativas. Al cierre de esta edición, ninguna de las personas con las que hablé tenía claro qué ocurrió. Según Gibson Research, uno de los programadores de TrueCrypt les dijo que "ya no había interés en mantener el proyecto". En total, fuera de que la versión 7.1a está, prima facie, libre de espionaje, todo lo demás constituye un misterio.

Como resultado, los usuarios de Windows tuvieron que salir a buscar alternativas. Estaba en eso cuando me topé con varias cosas interesantes.

De Francia con más iteraciones

La primera es que existe un fork (un derivado) de TrueCrypt que goza de buena salud. Se llama VeraCrypt, y el dato me lo pasó Maximiliano Miranda , en Twitter, junto con el link al proyecto, que está hospedado en CodePlex , la plataforma para desarrollos de código fuente abierto de Microsoft.

Le mandé un mail a la empresa francesa que lo desarrolló, Idrix , y enseguida me respondió Mounir Idrassi, su fundador. Le pregunté cuánto afectaba la desaparición de TrueCrypt a su software. Me dijo: "VeraCrypt está basado en la versión 7.1a de TrueCrypt, con mejoras en el algoritmo de derivación de claves, porque la implementación de TrueCrypt no es lo suficientemente robusta en ese aspecto frente a los avances actuales en las técnicas de ataque. Hasta la fecha, no se han descubierto ni puertas traseras ni vulnerabilidades en la versión 7.1a de TrueCrypt, y lo que ocurrió el 28 de mayo es más un anuncio de fin de ciclo de vida que una amenaza real de seguridad. Así que no veo que haya ningún impacto sobre VeraCrypt. Además, VeraCrypt evolucionará de forma independiente y se le añadirán nuevas funciones. Por ejemplo, SHA-512 para el cifrado de la partición del sistema operativo y soporte para tablas de particiones GPT (tabla de particiones de identificador global único)."

Mounir sostiene que él mismo realizó una auditoria de TrueCrypt en 2013, cuando inició el proyecto VeraCrypt, y descubrió ciertas vulnerabilidades. "De hecho –me dijo– la primera de las debilidades de TrueCrypt encontradas por el Open Crypt Audit Project es la que originó el nacimiento de VeraCrypt, el año pasado. Es la razón por la que definí nuevas iteraciones para la derivación de claves. También descubrí un problema en la implementación de Ripemd160 para el cifrado de particiones de sistema (usaron contadores de 16 bits en lugar de contadores de 32). Esto no fue descubierto por el Open Crypt Audit Project, pero yo ya lo corregí en VeraCrypt. Las otras vulnerabilidades en su lista deben repararse, pero ninguna es lo bastante seria para constituir una amenaza en escenarios realistas."

Le pregunté también si su software había sido sometido a alguna clase de auditoría de seguridad independiente. Me dijo que no. "Desde su nacimiento, hace un año, VeraCrypt no recibió mucha atención y ha sido usado más bien para propósitos internos de nuestra compañía y para algunas tareas específicas por entidades externas. Además, como VeraCrypt se basa en TrueCrypt, los resultados del Open Crypt Audit Project pueden aplicarse a nuestro software de forma casi directa. Por supuesto, tengo fe en que el renovado interés que atrae ahora VeraCrypt permita conseguir los fondos para hacerle una auditoría independiente."

El fork de TrueCrypt de Idrix usa la licencia pública de Microsoft. Le pregunté a Mounir por qué no había adoptado la Licencia Pública General (GPL, por sus siglas en inglés; la que usa, por ejemplo, Linux). "Esa elección –me respondió– se basó en la simplicidad de la licencia de Microsoft y en el hecho de que parece estar más cerca de la licencia original de TrueCrypt. No soy un experto en cuestiones legales, pero no estoy seguro de si la licencia original de TrueCrypt era compatible con la GPL. Quizás en el futuro personas con más conocimiento legal puedan aconsejarme en este sentido." (A propósito, no, la licencia de TrueCrypt no es compatible con la GPL.)

VeraCrypt, me contó Mounir, nació a pedido de uno de sus clientes, que quería una versión más robusta de TrueCrypt. "Es un proyecto de Idrix y el desarrollo lo hice yo, con pruebas dentro y fuera de la compañía. El código fuente se publicó para respetar la licencia de código fuente abierto y también con el fin de construir una comunidad en torno al programa. Quizá la saga de TrueCrypt nos ayude con esto."

Must not die

Bueno, precisamente: la saga de TrueCrypt está lejos de terminar. Eso fue lo segundo que supe en estos días. Dos programadores, Thomas Bruderer y Jos Doekbrijder, se proponen la resurrección del software de cifrado. Su sitio Web expone el lema TrueCrypt Must Not Die. Una gran noticia, a mi juicio.

De momento, el sitio, que los desarrolladores hospedaron en Suiza "para verse libres de presiones legales de parte de Estados Unidos", sólo ofrece la versión segura, la 7.1a, para todas las plataformas; es decir, Windows, Mac OS X y Linux.

El jueves hablé por teléfono con Doekbrijder para saber más sobre este proyecto que, de momento, lleva el nombre de TCNext ( @TrueCryptNext en Twitter).

"Lo más urgente –me dijo– es aclarar las cuestiones legales, relacionadas con la licencia, el nombre de dominio y demás. Por fortuna, tenemos abogados que nos están ayudando con eso en este momento. También estamos abocados a construir una comunidad y un equipo de desarrolladores. De hecho, nos gustaría contar con la ayuda de la gente de TI de la Argentina."

Respecto a lo que quieren lograr, si tendrá un costo, la licencia que elegirán, etcétera, me dijo: "La idea es reproducir la función de TrueCrypt, relanzarlo con un nuevo nombre (no podemos usar TrueCrypt, porque es una marca registrada) y lanzarlo con una licencia de código fuente abierto compatible con la GPL. Será, por supuesto, gratis. Todavía más importante, el equipo de desarrollo no será anónimo, como en el caso de TrueCrypt." Otra buena noticia, porque el secretismo de TrueCrypt siempre fue motivo de suspicacia.

También le pregunté por VeraCrypt, porque de cierto modo es un esfuerzo semejante. "Estoy al tanto de la existencia de VeraCrypt –me respondió–. De hecho, hay una media docena de forks de TrueCrypt. Algunos no se actualizan desde hace bastante tiempo. Un poco el plan que tenemos es el de que todos esos proyectos se unan en un sólo producto sólido, que funcione, que le brinde al público la protección que le ofrecía TrueCrypt".

Así que, mucho antes de visitar las alternativas, y como suele ocurrir con el código fuente abierto, apareció la esperanza de que este excelente software reencarne en una o más versiones robustas y transparentes. No era por completo inesperado, por el grado de popularidad de TrueCrypt. Pero sí que fue rápido: hace hoy exactamente 15 días que Bruderer y Doekbrijder anunciaban que truecrypt.ch estaba online. Es decir, tan sólo un día después de la desaparición de TrueCrypt.

Conforme a los criterios de

Conocé más