Durante alguns anos eu tenho usado o Truecrypt como minha ferramenta primária de criptografia. Mas em maio deste ano seu desenvolvimento foi abandonado em definitivo deixando orfãos milhares de usuários desta poderosa ferramenta. Não demorou muito e já surgiram duas frentes de trabalho para que o projeto não caísse no abandono.
A carta de despedida
A página oficial do projeto (http://truecrypt.org) aponta para um endereço no popular Sourceforge onde temos uma página que já inicia com um alerta de possíveis falhas de segurança e uma explicação bem superficial alegando que o seu desenvolvimento parou junto com o fim do suporte do Windows XP. Segundo o autor, uma vez que as últimas versões do Windows (Vista, 7 e 8) possuem recursos melhores de criptografia não há justificativa para manter o projeto.
A página segue com um breve tutorial para migrar do Truecrypt para o Bitlocker (ferramenta de criptografia nativa da Microsoft) e termina com um link para download da última versão do Truecrypt que estava disponível para download (a versão 7.2) e um outro link que aponta para uma página que ajuda a migrar do Truecrypt para ferramenta de criptografia nativa do Mac OS X.
CipherShed – O Novo Truecrypt
A primeira iniciativa que desponta como um futuro para o Truecrypt é o TC Next. O grupo, que não possui vínculo com o anterior, assegura que desta vez o software será 100% OSS. Mas por razões legais o projeto teve que mudar de logo e de nome. O novo nome escolhido então é este “esquisitão”, e intimidador. Mas relaxe, em princípio será o nosso mesmo, bom e velho Truecrypt.
Por isso é bom estar atento pois enquanto as coisas ainda estão se organizando há dois sites e dois repositórios distintos no Github, mas é bem provável que num futuro o primeiro site/repositório deixem de existir ou se transformem apenas em um redirecionamento para o segundo.
O código fonte já está disponível no Github para quem quiser baixar, contribuir, fazer fork etc. Note entretanto que o projeto ainda não está produzindo código, mas apenas auditando e mantendo o código antigo e quanto a isso pode ficar tranquilo, seus dados estão seguros. De acordo com as informações da página do projeto até agora não foi encontrada qualquer vulnerabilidade no código.
Enquanto o desenvolvimento não começa de verdade, eles disponibilizam para download todas as versões antigas da ferramenta. Até a versão 7.1a do Truecrypt original.
Veracrypt – Um fork promissor
O Veracrypt é um projeto paralelo que já caminha há algum tempo, baseado no Truecrypt, todas as telas do programa são idênticas a do velho programa, porém com muitas melhorias na estrutura interna. Sim, eles já possuem um código novo, nova logo, nome e tudo mais.
Apesar disso, como descrito na página inicial do site, os conteiners criptográficos (arquivo e disco físico) passam por um processo de criptografia mais pesado tornando tudo muito mais seguro do que já era.O que se é bom por um lado é ruim por outro. É mais seguro as custas de ser incompatível com os antigos.
A última versão do Veracrypt disponível para download é a 1.0d, lançada em Junho, mas devido a incompatibilidade entre os conteiners produzidos pela nova ferramenta e pela antiga se você quiser migrar do Truecrypt para o Veracrypt, antes de deletar o velho aplicativo de sua máquina você deverá instalar o Veracrypt, criar um novo conteiner e mover seus dados do conteiner antigo para o novo, ou poderá ter a desagradável de descobrir que não consegue acessar mais os seus dados.
Juntando esforços
Ambos os projetos, TC Next (ou CipherShed) e Veracrypt, decidiram juntar os esforços. e irão desenvolver código juntos. É de esperar muita novidade e mais segurança vindo por ai.
Particularmente, por hora acho que o melhor a fazer é esperar e continuar com o velho Truecrypt 7.1. Já que seu código foi auditado e é considerado seguro dá pra aguentar mais algum tempo. Isso é melhor e menos trabalhoso do que migrar tudo para o novo formato do Veracrypt e daqui há alguns dias ou semanas descobrir que teremos que migrar denovo para um outro formato que nasceu desta cooperação entre os dois projetos.
E fica a dica. Mantenha uma cópia do seu executável do Truecrypt em algum lugar seguro.