Security audit Truecrypt

Truecrypt merupakan sebuah aplikasi opensource yang dapat melakukan enkripsi terhadap file, folder bahkan harddisk. Truecrypt sempat menjadi aplikasi enkripsi yang sangat populer. Bahkan Edward Snowden pun menggunakan aplikasi ini. Pada bulan Mei 2014 developer aplikasi ini mengumumkan proyek truecrypt dihentikan. Bahkan pada webnya, developer menyarankan pengguna untuk meninggalkan truecrypt, karena aplikasi ini tidak lagi aman Hal ini dikarenakan telah ditemukan beberapa metoda yang dapat digunakan untuk membongkar enkripsi yang digunakan aplikasi ini. Bahkan ada pula isu bahwa NSA telah memasang backdoor pada truecrypt, sehingga mereka dapat dengan mudah membongkar file yang telah dienkrip dengan truecrypt. Baru-baru ini telah dilakukan security audit terhadap Truecrypt. Security audit Truecrypt ini dilakukan oleh perusahaan konsultan keamanan NCC.

security audit truecrypt
truecrypt

Security Audit ini dilakukan untuk menguji apakah Truecrypt aman atau tidak? NCC melakukan pengujian source code review dll . Hasil pengujian menyimpulkan bahwa ditemukan 4 celah keamanan pada aplikasi ini. Hanya saja menurut peneliti Matthew Green yang memimpin audit ini, celah keamanan yg ditemukan tersebut tidaklah berbahaya dan dapat diperbaiki. Selanjutnya peneliti yang juga merupakan Professor Cryptography pada Johns Hopkins University menambahkan tidak ditemukan adanya backdoor pada aplikasi ini. Sehingga beliau menyatakan walaupun ada beberapa celah keamanan pada Truecrypt, aplikasi ini masih aman untuk digunakan. Menurut beliau beberapa teknik yang dilakukan penyerang untuk membongkar aplikasi ini membutuhkan akses langsung terhadap komputer user. Berikut kutipan pernyataan dari Matthew Green:

The TL;DR is that based on this audit, Truecrypt appears to be a relatively well-designed piece of crypto software. The NCC audit found no evidence of deliberate backdoors, or any severe design flaws that will make the software insecure in most instances.

That doesn’t mean Truecrypt is perfect. The auditors did find a few glitches and some incautious programming — leading to a couple of issues that could, in the right circumstances, cause Truecrypt to give less assurance than we’d like it to.

Hasil audit ini tentunya menjadi kabar gembira bagi para pengguna Truecrypt. Hanya saja memang perlu diingat tidak ada sistem kriptography yang sempurna dan tidak dapat dibongkar. Sehingga kita harus bijak dan hati-hati dalam menggunakannya.

Laporan lengkap hasil audit dapat dilihat pada link berikut:

https://opencryptoaudit.org/reports/TrueCrypt_Phase_II_NCC_OCAP_final.pdf

https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_TrueCrypt_Security_Assessment.pdf

Truecrypt dapat diunduh pada link berikut:

truecrypt.sourceforge.net

Tulisan lainnya tentang tema ini

http://it.slashdot.org/story/15/04/03/1223216/truecrypt-audit-no-nsa-backdoors

http://betanews.com/2015/04/03/truecrypt-doesnt-contain-nsa-backdoors/

http://www.theregister.co.uk/2015/04/02/truecrypt_security_audit/

http://blog.cryptographyengineering.com/2015/04/truecrypt-report.html

http://arstechnica.com/security/2015/04/truecrypt-security-audit-is-good-news-so-why-all-the-glum-faces/

2 thoughts on “Security audit Truecrypt”

Silahkan tuliskan tanggapan, kritik maupun saran