Den nyere historie af TrueCrypt-kryptering software er en mærkelig en. Først var der en crowdfunding kampagne for at få den software kontrolleret for sikkerhedsspørgsmål i 2013 efter Edward Snowden lækket klassificerede oplysninger fra National Security Agency (NSA), der starter i juni 2013.
Så i Maj 2014, en meddelelse blev offentliggjort på TrueCrypt hjemmeside, der hævder, at TrueCrypt var ikke sikker længere, og at brugerne skal finde et andet program at bruge til dette formål.
Udviklerne frigivet en endelig version af TrueCrypt, der blev brudt (ved design) i mange henseender. Den sidste kilde-koden for den fulde version af programmet blev offentliggjort af Gibson Research Corporation og alternativer såsom VeraCrypt eller CipherShed dukkede op kort tid efter.
På det tidspunkt, TrueCrypt revision var ikke komplet, da kun første fase af revisionen, som var blevet gennemført af forskere.
Den forskning sigt traf beslutningen om at fortsætte med revision af TrueCrypt 7.1 en på trods af det faktum, at de projektudviklere, der forlod projektet i mellemtiden.
I dag, fase 2 af TrueCrypt analyse har gennemført. Undersøgelser har uploadet den endelige rapport som et PDF-dokument til den officielle hjemmeside, hvorfra den kan downloades.
I alt fire sårbarheder blev opdaget:
- Keyfile blanding er ikke kryptografisk lyden (lav).
- Ikke-godkendt ciphertext i volumen overskrifter (ubestemt).
- CryptAcquireContext kan stille mislykkes i usædvanlige scenarier (høj).
- AES gennemførelse modtagelige for cache-timing-angreb (høj).
Den mest alvorlige finde vedrører brugen af Windows-API ‘ en til at generere tilfældige tal for master krypteringsnøgle materiale, blandt andre ting. Mens CS mener, at disse opkald vil lykkes i alle normale scenarier,mindst en usædvanlig scenarie vil medføre, at den opfordrer til at mislykkes, og stole på dårlige kilder af entropi; det er uklart, i hvilke situationer de kan fejle.
Derudover CS konstateret, at volumen header dekryptering bygger på forkerte oplysninger, integritet til at opdage manipulation, og at metoden til at blande entropi keyfiles var ikke kryptografisk lyd.
Endelig, CS, der er identificeret flere i prisen AES implementeringer, der kan være sårbare over for cache-timing-angreb. Den mest enkle måde at udnytte dette på ville være at bruge native kode, der potentielt leveret gennem NaCl i Chrome, men den enkleste metode til udnyttelse gennem dette angreb blev for nylig lukket. #
Rapporten fremhæver, hver svaghed i detaljer, hvilket bør bidrage til projekter, der bruger TrueCrypt kilde som deres base for at løse de problemer i fremtidige opdateringer.
Det skal bemærkes, at revisionen var snævert anvendelsesområde, og ikke en fuld code review. Holdet koncentreret om vigtige dele af TrueCrypt og her især dens kryptografiske implementeringer og brug.