O TrueCrypt foi, durante muito anos, o principal software opensource de criptografia de discos, recomendado por diversos especialistas e presente na mídia. Ele foi protagonista na saga dos HDs encriptados do Daniel Dantas, que foram enviados para o FBI e voltaram do mesmo jeito, inviolados.
Pois esta semana toda a comunidade de segurança foi supreendida com a notícia de que o produto estava descontinuado. Seu site (truecrypt.org) passou a exibir a informação de que o produto não devia mais ser usado e a instruir que seus usuários migrassem para outras soluções de criptografia, pois o TrueCrypt poderia estar vulnerável a problemas e falhas de segurança.
Muitas teorias têm surgido a respeito desse episódio. Entre elas podemos destacar:
Obsolescência: esta é a explicação oficial, limitada a uma linha de texto, no site do projeto. Com o fim do suporte ao Windows XP, o TrueCrypt também deixaria de ser suportado, uma vez que sistemas mais modernos tem ferramentas de criptografia embutidas e tornaria desnecessária uma ferramenta externa.
Invasão: O projeto teria sido alvo de invasores e seus sistemas estariam comprometidos. Essa teoria não explica o motivo de uma retirada tão abrupta, pois apesar de uma mancha na reputação, seria possível recuperar a credibilidade e consertar os problemas.
Auditoria: O projeto TrueCrypt vinha sendo auditado por empresas independentes para a verificação do código a procura de vulnerabilidades e backdoors que poderiam ter sido inseridas (de propósito ou não) ao longo dos anos.
Segundo essa teoria, a auditoria teria encontrado evidências de falhas ou códigos maliciosos no sistema. No entanto, a primeira fase desse trabalho não encontrou nenhuma evidência de problemas e o projeto estaria arrecadando fundos para iniciar a segunda fase. A própria empresa contratada para auditar o TrueCrypt foi pega de surpresa com a notícia do seu encerramento.
NSA: Assim como a agência de segurança americana fez com outros projetos (como o Lavabit), aventa-se a possibilidade de que o projeto TrueCrypt tenha sido forçado a implementar backdoors que permitissem a espionagem dos seus usuários. A única saída seria a retirada do produto do mercado para que menos usuários fossem afetados.
A trama complica ainda mais pois os autores e mantenedores do projeto são anônimos. Tudo o que temos para confiar são as declarações contidas no site oficial, e até agora as explicações são mínimas e bem pouco convincentes.
No momento, a melhor estratégia é estudar a migração dos seus dados para outras plataformas de criptografia e ficar de olho nas notícias sobre este estranho caso no panorama mundial de segurança de dados.
