TrueCrypt – e agora?

por

O TrueCrypt, popular software de criptografia de disco, entrou em colapso, em meio a uma mensagem misteriosa no site do projeto e muitas dúvidas sobre o que aconteceu.

O TrueCrypt protege informações em laptops criando volumes encriptados ou encriptando todo o disco, evitando que pessoas não autorizadas tenham acesso aos dados em caso de roubo ou perda do equipamento. O produto sempre teve uma aura de mistério. Projeto gratuito desenvolvido de forma anônima, ganhou bastante aceitação em função do custo zero e facilidade de uso, ganhou ainda mais notoriedade quando o mundo tomou conhecimento de que foi o software utilizado pelo ex-analista da NSA Edward Snowden para transportar os dados roubados da agência.

No dia 28/05/14, o site do projeto foi substituído por uma página informando que o TrueCrypt contém falhas graves de segurança e orientando os usuários a migrarem para o BitLocker, recurso nativo do Windows Professional e Enterprise. Uma nova versão (7.2) foi colocada no ar, a qual serve apenas para desencriptar volumes protegidos pelo TrueCrypt (obs: não recomendamos a sua instalação).

Página oficial do projeto TrueCrypt

Página oficial do projeto TrueCrypt

O que teria acontecido? Será que a auditoria independente ao qual o software estava sendo submetido iria descobrir falhas graves ou backdoors no código? Será que a página do projeto foi invadida? Será que os desenvolvedores estavam sendo pressionados por algum órgão como a NSA ou FBI? Ou simplesmente os misteriosos desenvolvedores cansaram de todo o ruído e desistiram do projeto?

O que se sabe é que a versão 7.2 é assinada com a mesma chave das outras, o que reduz as chances de se tratar de uma invasão. E seja qual for a causa, a confiança no TrueCrypt foi quebrada e é hora de partir para outra alternativa.

Mas faça isto sem pânico. O contexto atual do TrueCrypt torna altamente recomendável substituir a solução, mas nada até o momento aponta para algum risco imediato. Nunca devemos esquecer que o objetivo da criptografia é não ser o elo mais fraco da segurança. Se ela oferece tanto trabalho que é mais fácil o atacante buscar outro método (como engenharia social por exemplo), ela já teve êxito.

E além das alternativas nativas no Windows e Mac, existem outras soluções comerciais que podem melhor se integrar com os mecanismos de autenticação já existentes. Quer saber mais sobre como proteger dispositivos móveis, especialmente para os usuários que viajam para fora? Leia este outro post.

Categoria : Criptografia, Laptops, Other News, Uncategorized
Tags : , , , , ,