De ontwikkelaars van de populaire encryptiesoftware TrueCrypt steunen een onlangs gestart initiatief om de cryptografische werking van het programma te controleren en tevens een security-audit uit te voeren. TrueCrypt maakt het mogelijk om computers, USB-sticks maar ook losse bestanden te versleutelen.

Het is opensource, wat voor veel gebruikers een reden is om het programma te kiezen ten opzichte van gesloten software zoals Microsoft BitLocker. De broncode van TrueCrypt is echter nog nooit geaudit. Daarnaast is onbekend wie de ontwikkelaars van de encryptiesoftware zijn, die voornamelijk in de schaduw lijken te opereren. In 2005 vond er een bijzonder interview met één van de ontwikkelaars plaats.

Initiatief

Om de software echt te controleren besloot cryptografieprofessor Matthew Green en wetenschapper Kenn White een crowdfunding-iniatief te starten. De twee wilden via de website IsTrueCryptAuditedYet? 25.000 dollar ophalen om de werking te controleren en een audit te laten uitvoeren. Het geld is inmiddels opgehaald, want met nog 49 dagen te gaan is er alleen op Indiegogo al 32.000 dollar binnengehaald, terwijl de oproep op FundFill 15.000 dollar al heeft opgeleverd.

Doordat de gestelde limiet is gehaald is er begonnen met het benaderen van erkende security-professionals, waaronder cryptografen, security-engineers en juridische experts voor advies en sturing. "Zoals we al eerder hebben aangegeven, vereist dit project zeer veel getalenteerde mensen uit de gemeenschap om succesvol te zijn", aldus de initiatiefnemers. Ook zou er met de leiders van de grote open software instellingen worden overlegd.

Contact

Daarnaast hebben Green en White deze week contact met het TrueCrypt-ontwikkelteam gehad. Het ontwikkelteam laat weten dat ze een onafhankelijke security-audit en cryptoanalyse van de code steunen. Daarnaast hebben ze gevraagd dat zowel de gemeenschap als onderzoekers niet het TrueCrypt-beveiligingsmodel moeten vergeten, en de kanttekeningen bij wat de software wel en niet garandeert te doen.