Luego de la desaparición súbita de TrueCrypt en circunstancias misteriosas, quienes lo teníamos como el estándar de las herramientas de cifrado de archivos nos quedamos un poco a la deriva por algún rato. Luego de que el software, recomendado por figuras como Edward Snowden y que se había convertido en el blanco de diversos programas de espionaje, fuera dado de baja en su página web y reemplazado con una advertencia que conminaba a los usuarios a no emplearlo, fueron surgiendo **guías y consejos para encontrar un reemplazo viable en otras herramientas. Sin embargo, muchos de quienes usábamos TrueCrypt no conseguimos adaptarnos ni sentirnos conformes con ninguna de ellas.
Mounir Idrassi, un consultor de seguridad residente en Francia, ha liberado una bifurcación o fork del código de TrueCrypt denominado VeraCrypt**, a raíz de una auditoría que llevó a cabo en 2012 donde encontró algunos problemas menores de seguridad en el software. Decidió entonces dedicarse a mejorar la seguridad de TrueCrypt, específicamente lo que el denominaba su "debilidad" contra ataques de fuerza bruta. Según Idrassi, la manera en la que TrueCrypt transformaba una contraseña para derivar una llave no era suficientemente compleja.
¿Podría VeraCrypt ser mejor que TrueCrypt?
En un contenedor estándar, TrueCrypt usaba 2.000 iteraciones para la transformación de la contraseña. VeraCrypt usa 655.331 iteraciones del mismo algoritmo (PBKDF2-RIPEMD160) y 500.000 de SHA-2 y Whirlpool.
Esto significa que, como consecuencia, VeraCrypt es ligeramente más lento en abrir particiones cifradas, pero en contraprestación, hace que éstas sean de 10 a 300 veces más difíciles de violentar por fuerza bruta. Además de esto, alega que se han corregido debilidades en la API y en los drivers, y que el código ha pasado por herramientas de análisis para corregir otros defectos.
VeraCrypt luce muy similar en apariencia e interfaz a TrueCrypt, pero su formato de almacenamiento es incompatible con éste, lo que significa que no podrás migrar tus archivos directamente, aunque se dice que están trabajando en una herramienta de conversión que estaría liberada pronto. No obstante, Idrassi señaló que el cambio de formato podría considerarse una ventaja, ya que las agencias gubernamentales han desarrollado infraestructura suficiente para realizar análisis forenses de volúmenes de TrueCrypt. En consecuencia, cambiar el formato y añadir complejidad representa un obstáculo añadido frente a las agencias de seguridad.
Al responder sobre la conspiración detrás de la desaparición de TrueCrypt, Idrassi señala que lo más probable es que haya sido simplemente abandonado, diciendo que "los desarrolladores deben haber estado en sus 40 en 1995", es decir, que actualmente estarían en sus 60, y "probablemente cansados o retirados"
Si bien el foco de los desarrolladores hasta el momento ha estado en el tema de la seguridad, señalan que el siguiente paso será añadir nuevas características, como compatibilidad con UEFI y capacidad para esteganografía (la tecnogía que permite ocultar información en archivos de imágenes, por ejemplo). VeraCrypt es código abierto, y está disponible para Windows, Linux y MacOSX en descarga libre.