Nyligen gick organisationen bakom TrueCrypt ut med en varning om att deras produkt inte längre är säker och att all framtida utveckling skulle upphöra. Man uppmanade även sina användare att avaktivera TrueCrypt och använda andra alternativ.
Detta kom som en stor överraskning för deras användare då det inte kommit någon allvarligare säkerhetsvarning. Visserligen har det funnits säkerhetsvarningar för TrueCrypt tidigare, men ingen av dem har varit av det mer allvarligare slaget som exempelvis Heartbleed var för OpenSSL.
Man kan därför fråga sig vad den egentliga orsaken till det hela är – en teori är att NSA är inblandade på något vis.
Kanariefåglar som varningsystem
Gruvarbetare har sedan långt tillbaka i tiden använt sig av kanariefåglar som en sorts varningssystem för kolmonoxid, metan och andra farliga gaser när de arbetat nere i gruvorna. Fåglarna blev påverkade av gaserna mycket tidigare människor, vilket gjorde det hela till en lämplig följeslagare när man arbetade i gruvor. Så snart fågeln blev tyst eller trillade av sin pinne kunde man anta att det var en farlig gasläcka på gång.
Systemet var så tillförlitligt att det användes i brittiska gruvor ända in i slutet på 80-talet. Kanariefåglar har därefter också fått stå som ett begrepp för ett varningssystem där en utebliven företeelse är själva varningen. Exempelvis kan ett varningssystem för en elcentral representeras av en lampa – när lampan inte längre lyser är det något som inte står rätt till.
“Warrant canary”
Ett annat exempel är när amerikanska IT-företag blir anklagade för att samarbeta med NSA. På grund av rådande lagstiftning i USA får ett företag inte säga att de samarbetat med NSA, men det är helt okej att säga att de inte samarbetar med NSA när de faktiskt aldrig gjort det. Det är därför vi kan känna oss ganska trygga när Apple uttryckligen skrivet att de inte har något pågående samarbete med den organisationen.
Den dagen som den meningen i deras kommunikation uteblir är dagen då vi ska vara oroliga. Här har kanariefåglar kommit till användning och bildat begreppet “warrant canary”, där en utebliven förnekelse till samarbete med NSA är en varning om att så inte längre är fallet.
Är TrueCrypt utsatt?
Nu undrar du säkert vad allt detta har att göra med TrueCrypt?
Diskkrypteringsprogrammet har varit ett av de mest använda på både Windows och Mac, samt att det även finns appar för iOS och Android som ger samma funktionalitet. Detta är ett utmärkt verktyg om du vill skydda data på din hårddisk, något som många statliga organisationer inte ser på med blida ögon.
TrueCrypt används dagligen av tusentals användare, allt från advokater, stora företag och privatpersoner som vill hålla sin data och kommunikation hemlig.
En del har spekulerat i att TrueCrypts avveckling handlar om just en en “warrant canary”.
Organisationen bakom TrueCrypt ska då ha fått en order från NSA om att plantera in en bakdörr i mjukvaran för verktyget. Eftersom lagstiftningen är sådan att de inte kan gå ut och berätta det, och samtidigt är det svårt för dem att hålla emot de påtryckningar som organisation som NSA kan utsätta dem för, så återstår bara alternativet att de lägger ner verksamheten och uppmanar användarna att byta krypteringslösning.
NSA har tidigare anklagats för att ha manipulerat TrueCrypt, antingen i form av dess källkod eller de färdiga binärerna som användare installerar på sina datorer. Detta resulterade i en community-driven kampanj för att granska hela projektet, något som delvis blev klart i januari i år utan att några allvarligare brister kunde påvisas.
Det ska sägas att allt detta bara är spekulationer, och troligtvis kommer vi inte någonsin få en bekräftelse på hur det verkligen ligger till. Det kan dock vara bra att byta krypteringslösning om du idag är en användare av TrueCrypt. Instruktioner om hur du går tillväga för att göra detta hittar du på deras hemsida.