Het onderzoek naar de cryptografische werking van het encryptieprogramma TrueCrypt heeft enige vertraging opgelopen, maar zal binnenkort toch echt beginnen, zo hebben de initiatiefnemers laten weten. Eind 2013 besloten cryptografieprofessor Matthew Green en wetenschapper Kenn White een crowdfunding-iniatief te starten. De twee wilden via de website IsTrueCryptAuditedYet? 25.000 dollar ophalen om de cryptografische werking van TrueCrypt te controleren en een audit te laten uitvoeren. In totaal werden er 62.104 dollar en 32,6 Bitcoins opgehaald.

Ondanks de populariteit van TrueCrypt, waarmee het mogelijk is om bestanden en harde schijven te versleutelen, waren de broncode en cryptografische werking van de software nog nooit geaudit. Vorig jaar januari besloot beveiligingsbedrijf iSEC Partners de audit van de TrueCrypt-bootloader en Windows-kerneldriver uit te voeren. In april werd het auditrapport gepresenteerd. Hoewel er verschillende problemen werden gevonden, ontdekten de onderzoekers geen backdoors. Het tweede deel van de audit zou zich op de cryptografische werking van het encryptieprogramma richten.

Planning

Zes weken na het verschijnen van het eerste auditrapport trokken de TrueCrypt-ontwikkelaars de stekker uit het project. Een dag later lieten Green en White echter weten dat de crypto-audit gewoon door zou gaan, maar vervolgens bleef het angstvallig stil. Volgens Green gooide het plotselinge verdwijnen van TrueCrypt de plannen enigszins in de war. Zo werd er nagedacht of het geld niet beter aan verschillende TrueCrypt-opvolgers kon worden besteed.

Uiteindelijk werd er een "Plan B" opgesteld dat binnen het budget paste en ook zin heeft. Als onderdeel van dit plan werd er een aantal weken geleden een contract met het net gelanceerde Cryptography Services van de NCC Group gesloten. Hierbij zal de originele TrueCrypt 7.1a worden geaudit. Deze versie vormt ook de basis voor verschillende opvolgers.

Green meldt nu dat de audit binnenkort zal plaatsvinden. Daarnaast laten de initiatiefnemers van het auditplan weten dat ze zelf ook naar delen van de code kijken, waaronder de Random Number Generator (RNG) van TrueCrypt en andere delen van de cryptografische implementatie. "Dit zal hopelijk het werk van NCC/iSEC aanvullen en iets meer vertrouwen in de implementatie geven", aldus Green. Hij merkt op dat het wat langer heeft geduurd dan gepland, maar de resultaten er echt zullen komen. Resultaten waarvan hij hoopt dat ze "heel saai" zullen zijn.