TrueCrypt backdoor blijkt vals alarm

  • Bron (c) 2011, VirusAlert

Een aanpassing in een oude versie van versleutelingssoftware TrueCrypt blijkt geen backdoor te zijn. Gisteren waarschuwde het Amerikaanse beveiligingsbedrijf 16 Systems dat TrueCrypt 5.1a, dat oorspronkelijk in maart 2008 verscheen, in juli van dat jaar door een ander bestand werd vervangen, zonder dat de ontwikkelaars dit rapporteerden. Die erkennen nu dat TrueCrypt 4.3a en 5.1a inderdaad herpakt en opnieuw zijn uitgegeven op de dag dat versie 6.0 verscheen. Dat zou met verschillende licentieproblemen te maken hebben.

De binaire bestanden, truecrypt.exe en de driver truecrypt.sys, werden niet aangepast, wat via de ingebedde x.509 handtekeningen en de bijbehorende ‘timestamps’ te verifiëren is. De timestamps zouden ook door de Verisign notary server getekend zijn.

Aanpassing
De verklaring is afkomstig van een beheerder van het TrueCrypt-forum. Die laat verder weten dat alleen het zichzelf uitpakkende installatiebestand wegens aanpassingen aan de licentie was aangepast. Daarnaast werd het installatieprogramma van versie 6.0 gebruikt, in plaats van 5.1a, wat de ontdekte verschillen zou verklaren. Dit installatieprogramma is open source.

“Aangezien overbodige versies door slechts een paar mensen worden gedownload, werd de aanpassing niet als belangrijk genoeg beschouwd om in de versiegeschiedenis te vermelden. Dit blijkt nu een fout te zijn, dus is er een verklarende tekst aan de online versie van de versiegeschiedenis toegevoegd”, aldus de forumbeheerder.