TrueCrypt forsvant på mystisk vis denne uken. Måten det skjedde på har skapt store bølger i et samlet sikkerhetsmiljø.
– Det som er skummelt er at ingen fullt ut vet hva som har skjedd, sier Per Thorsheim i God Praksis til digi.no.
Etter å ha vært det foretrukne verktøyet for kryptering av filer og hele harddisker i åpen kildekode i over ti år, ble produktsidene brått fjernet onsdag.
Adressen truecrypt.org peker nå i stedet til prosjektets sider hos Sourceforge, hvor det kunngjøres at produktet ikke lenger er trygt å bruke.
Verktøyet er også trukket tilbake. En ny versjon er utgitt, men den kan bare dekryptere innhold, ikke kryptere. Det oppgis at denne er myntet på å migrere vekk.
I røde bokstaver advares det «WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues».
– Henger ikke på greip
Forklaringen som gis på nedleggelsen er det ikke mange som fester lit til. Det heter seg at utviklingen er avsluttet fordi Microsoft nylig avsluttet støtten for XP. Nyere versjoner av Windows har en integrert støtte for kryptering av disker og virtuelle disk-image, og slik støtte foreligger også til andre plattformer.
Resten av siden er en oppskrift på hvordan man tar i bruk Microsofts BitLocker-teknologi for kryptering under Windows.
– Det henger ikke på greip i det hele tatt. Hvis jeg ikke skal være altfor paranoid, så vil jeg tro TrueCrypt-utviklerne ikke gidder å fortsette mer. At de har valgt å senke skipet så det står etter, sier Thorsheim.
Ukjente bakmenn
Først trodde mange at prosjektet var hacket, kunngjøringen var så spesiell og den oppgitte årsaken virket ikke særlig troverdig.
Men endringene er signert med samme krypteringsnøkkel som TrueCrypt Foundation har brukt de siste to årene. Hvem utviklerne er har alltid vært en godt skjult hemmelighet.
De anonyme utviklerne har nå hatt to døgn på seg for å rette opp eventuelle misforståelser. Det er ingen tegn på at nedleggelsen ikke er reell.
– Alt tyder på at det er utviklerne selv som har gjort dette. Så har de også sådd ekstremt mye tvil om TrueCrypt ved å gjøre det på denne måten. Det er helt uforståelig, sier Thorsheim som selv har vært bruker av dette verktøyet.
Uavhengig granskning
TrueCrypt er lastet ned nærmere 30 millioner ganger, og fikk ekstra oppmerksomhet som et verktøy også varsleren Edward Snowden skal ha foretrukket.
I kjølvannet av de skandaløse NSA-avsløringene, basert på dokumenter Snowden lekket, ble det i oktober i fjor samlet inn 80.000 dollar fra frivillige bidragsytere for å gjennomføre en sikkerhetsrevisjon av TrueCrypt.
Oppdraget gikk til iSec Partners/NCC Group, som i sin første delrapport i februar 2014 (pdf) konkluderte med at det ikke foreligger tegn til bakdører eller annen bevisst plantet ondsinnet kode i verktøyet.
Professor i kryptografi Matthew Green ved Johns Hopkins University, delstaten Maryland er blant ekspertene i prosjektet som gransker sikkerheten i TrueCrypt.
– Ifølge Green har de fortsatt har 30.000 dollar igjen som skal gå til å fullføre rapporten, som er planlagt klar om et par måneder, sier Thorsheim.
Thorsheim kommer ikke på andre relevante diskkrypteringsløsninger i åpen kildekode som har vært mer til å stole på enn nettopp TrueCrypt.
– Står vi nå uten alternativer til proprietære krypteringsverktøy av denne typen?
– Akkurat nå, ja. Jeg ønsker ikke være overdrevent paranoid. Jeg vil ikke si at man ikke skal bruke det, men føler meg usikker på om jeg kan stole på TrueCrypt lenger.
Ifølge Per Thorsheim venter man i sikkerhetsmiljøet nå at noen forker TrueCrypt og bygger videre på løsningen.
– Samtidig har Matthew Green sagt at lisensen som TrueCrypt var utgitt under er «murky». Det er litt vanskelig å tolke hvorvidt det er lov å gjøre det. På epostlisten Full Disclosure diskuteres det nå aktivt om noen vil lage et alternativ, men uten å basere seg på TrueCrypts kildekode, sier han.
Fortsatt gjenstår mange ubesvarte spørsmål om skjebnen til TrueCrypt, hvem utgiverne er og hva deres motiver har vært i denne saken.
– Per Thorsheim, hva tenker du om tidspunktet for avviklingen av prosjektet?
– De relaterer det selv til avslutningen av supporttiden til Windows XP, men jeg sliter med å se hvor relevant det er. Heller ikke Snowden-avsløringene eller noe annet virker relevant. Granskningsrapporten fant heller ikke noe galt, så på den måten er det vanskelig å sette dette inn i en sammenheng.
– Og utviklerne av TrueCrypt får vi kanskje aldri vite hvem er?
– Jeg tror ikke de kommer til å stå frem på CNN eller i Forbes nå, nei.
