Beveiligingsonderzoekers van een Amerikaans beveiligingsbedrijf hebben in de Windowsversie van TrueCrypt geen backdoors of andere kwaadaardige code aangetroffen die met opzet is aangebracht, zo laten ze in een auditrapport van de populaire encryptiesoftware weten.

Vorig jaar oktober besloten cryptografieprofessor Matthew Green en wetenschapper Kenn White een crowdfunding-iniatief te starten. De twee wilden via de website IsTrueCryptAuditedYet? 25.000 dollar ophalen om de cryptografische werking van TrueCrypt te controleren en een audit te laten uitvoeren. In totaal werden er 62.104 dollar en 32,6 Bitcoins opgehaald.

Ondanks de populariteit van TrueCrypt, waarmee het mogelijk is om bestanden en harde schijven te versleutelen, waren de broncode en cryptografische werking van de software nog nooit geaudit. In januari van dit jaar besloot beveiligingsbedrijf iSEC Partners de audit van de TrueCrypt bootloader en Windows kerneldriver uit te voeren.

Onderzoek

De onderzoekers troffen in de code geen backdoors of andere kwaadaardige code aan die opzettelijk was aangebracht. Wel werden er 11 problemen in de software aangetroffen, maar het lijkt erop dat die onbedoeld in de code terecht zijn gekomen en er geen opzet in het spel is. Wel stellen de onderzoekers dat zowel de bootloader als de kerneldriver niet aan de verwachte standaarden voor veilige code voldoen.

De aangetroffen problemen zouden echter geen direct gevaar voor gebruikers vormen. "Hoewel TrueCrypt niet de meest gepolijste programmeerstijl heeft, zijn er geen direct gevaarlijke zaken te melden", aldus Tom Ritter van iSEC Partners. De audit van de code is het eerste deel van het onderzoek naar TrueCrypt. Er zal ook nog een onderzoek naar de cryptografische werking worden uitgevoerd.