Korzenie TrueCrypta

TrueCrypt od momentu pojawienia się w 2004 roku uchodził za jeden z najlepszych programów do szyfrowania danych. Jego skuteczność potwierdziły liczne przypadki, w których służby państwowe nie potrafiły odczytać plików przechowywanych np. przez dziennikarzy pracujących na informacjach z przecieków. Według informacji Edwarda Snowdena TrueCrypt był jednym z nielicznych narzędzi do szyfrowania danych, którego NSA nigdy nie zdołało złamać.

W ostatnim czasie pojawił się szereg nowych informacji, które rzucają światło na okoliczności powstania i przyczyny zawieszenia prac nad TrueCryptem, do czego doszło w 2014 roku. W wyniku dziennikarskiego śledztwa Evana Ratliffa, który w magazynie Atavist zrekonstruował życiorys handlarza bronią i narkotykami Paula Le Roux, wyszło na jaw, że gangster jest także utalentowanym programistą. Istnieją uzasadnione podejrzenia, że Paul Le Roux walnie przyczynił się do wypuszczenia na rynek TrueCrypta. Można też spekulować, że gangster dalej pilotował projekt, czy to przez samodzielny wkład, czy też poprzez finansowanie pracy tajemniczej grupy programistów rozwijających tę aplikacje przez dalszych 10 lat. Projekt został porzucony niedługo po aresztowaniu Paula Le Roux przez agencję antynarkotykową DEA w 2012 r.

TrueCrypt powstał po tym, jak Le Roux założył firmę SW Professionals zarejestrowaną w Południowej Afryce i podjął współpracę z istniejącą do dzisiaj firmą SecurStar produkującą oprogramowanie kryptograficzne. Celem kooperacji miało być stworzenie komercyjnej aplikacji do szyfrowania łączącej kod E4M (patrz ramka na stronie obok) z funkcjami programu Scramdisk – jego twórca także został ściągnięty do projektu. W ten sposób powstała aplikacja DriveCrypt. Autorem silnika szyfrującego, czyli serca całej aplikacji, był Le Roux. Współpraca nie układała się jednak najlepiej, szczególnie po tym, jak szef SecurStar Wilfried Hafner zorientował się, że Le Roux po cichu rozwija otwartoźródłowe E4M, używając do tego celu własnościowego kodu napisanego dla DriveCrypt, co było sprzeczne z zawartą umową. Paul Le Roux wyleciał z pracy i został zmuszony do porzucenia aplikacji E4M.

Szybko okazało się, że nie do końca to nastąpiło. Pojawiające się na grupach usenetowych posty, za pomocą których rekrutował programistów znających się na implementacji rozwiązań kryptograficznych, świadczą, że dalej rozwijał narzędzie do szyfrowania, tyle że bez rozgłosu. Trwało to przynajmniej do 2004 roku, gdy anonimowi programiści udostępnili za darmo aplikację do szyfrowania dysków TrueCrypt.

SecurStar nerwowo zareagował na pojawienie się TrueCrypta, który stanowił darmową konkurencję. Wilfried Hafner utrzymywał, że aplikacja zbudowana została w oparciu o rozwiązania stworzone przez Paula Le Roux dla jego firmy. Nie był jednak w stanie tego udowodnić, gdyż developerzy TrueCrypta nigdy nie ujawnili swojej tożsamości, więc nie było kogo ścigać. W kolejnych latach program był w dalszym ciągu rozwijany anonimowo i finansowany z nieznanego źródła. Mógł być nim sam Le Roux, który w międzyczasie dorobił się fortuny na działalności przestępczej.

Po oficjalnym zakończeniu prac nad oprogramowaniem kryptograficznym Le Roux zaczął rozwijać aplikacje dla kasyn internetowych, ale majątek zbił dzięki sieci szemranych internetowych aptek, które sprzedawały lekarstwa na receptę, w większości zapewne środki odurzające. Użycie sieci oraz zabezpieczonych połączeń ułatwiało zdobycie legalnych z formalnego punktu widzenia narkotyków. Jak ustaliła agencja antynarkotykowa DEA, biznes przyniósł Paulowi Le Roux przynajmniej 300 mln dolarów, które następnie zainwestował w kolejne przestępcze biznesy związane z handlem kokainą, złotem oraz przemytem broni do krajów objętych embargiem, m.in. Somalii czy Iranu. W tym czasie gangster ukrywał swoją tożsamość nie tylko za pomocą środków elektronicznych, ale także posługując się kilkoma paszportami.

Wybiegi nie uchroniły Paula Le Roux przed amerykańskim wymiarem sprawiedliwości, który przez sześć lat pracowicie rozpracowywał funkcjonowanie biznesu ze sprzedażą leków na receptę i miał gotowy akt oskarżenia. Agenci DEA zwabili Paula Le Roux jesienią 2012 roku do pułapki zastawionej w Liberii, skąd został przetransportowany do Stanów Zjednoczonych. Domniemany twórca TrueCrypta współpracuje obecnie z agentami DEA, na co zdecydował się, jak mówi, ze względu na niewesołą sytuację, w jakiej się znalazł.

Dwa lata po aresztowaniu Le Roux program został ostatecznie porzucony. Kod aplikacji został przejęty przez społeczność internetową, która zdecydowała o konieczności przeprowadzenia profesjonalnego audytu bezpieczeństwa programu. Przeprowadziła go organizacja non profit Open Crypto Audit Project, a wyniki zostały uwzględnione w pracach nad forkiem, czyli projektem bazującym na kodzie TrueCrypta. Jest on dostępny pod nazwą VeraCrypt.

Aplikacja VeraCrypt ma wszystkie funkcje TrueCrypta, a więc umożliwia tworzenie i montowanie zaszyfrowanych woluminów w plikach, a także szyfrowanie całego dysku razem z systemem operacyjnym. Za sprawą ulepszeń wprowadzonych po audycie jest bezpieczniejsza od poprzednika. Skuteczność zabezpieczeń, polega – jak informują twórcy – na wydłużeniu od 10 do 300 razy czasu niezbędnego do siłowego złamania zabezpieczeń. VeraCrypt oferuje najskuteczniejsze zabezpieczenia kryptograficzne, a oprócz AES 256-bit można korzystać z algorytmów Twofish oraz Serpent. Mimo wszystko w codziennej pracy najlepiej używać AES, którego dekodowanie w VeraCrypt jest wspierane sprzętowo przez procesory Intela i AMD.

Dane na dysku komputera nie są skutecznie chronione. Mechanizm autoryzacji w systemie blokuje możliwość dostępu osobom, które nie mają konta użytkownika, ale po podłączeniu dysku do innej maszyny można bez problemu dostać się do danych. Pliki nie są także chronione przed hakerami. Skutecznym sposobem ochrony informacji jest ich szyfrowanie, najlepiej za pomocą narzędzi z otwartym kodem źródłowym, bo specjaliści mogą bez ograniczeń sprawdzać je pod kątem skuteczności i obecności luk. Aplikacje o zamkniętym kodzie źródłowym mogą mieć wbudowane mechanizmy pozwalające np. służbom specjalnym na odszyfrowanie danych dzięki kluczowi dostarczonemu przez producenta.

Urodzony w 1972 roku w Republice Południowej Afryki twórca TrueCrypta w szkole był prymusem, a programowania nauczył się samodzielnie, dzięki komputerowi kupionemu za pieniądze zarobione na myciu samochodów. Już pod koniec lat 80-tych został aresztowany za sprzedaż pornografii w mało znanym jeszcze internecie. Odreagowywał, wypisując hejterskie komentarze, za sprawą których zyskał łatkę rasistowskiego trolla. Po wyjeździe do Wielkiej Brytanii Le Roux zaczął udzielać się na forach usenetowych, gdzie śledził dyskusje na temat zastosowania kryptografii. Szybko zrozumiał znaczenie szyfrowania informacji jako narzędzia do ochrony prywatności przed zakusami rządów. W manifeście opublikowanym w 1997 roku na stronie założonego przez siebie projektu E4M (od „Encryption for Masses”) stwierdził: „Bitwa o prywatność w realnym świecie została już dawno przegrana. Teraz, gdy skomputeryzowana jest coraz większa część ludzkiej aktywności, rządy walczą o zachowanie i rozszerzenie swoich uprawnień [do inwigilacji – red.]. Silne szyfrowanie jest mechanizmem służącym do walki z tymi naruszeniami, do zachowania praw i zagwarantowania wolności w erze informacyjnej”. Celem projektu E4M było stworzenie narzędzia, które pozwoliłoby nie tylko na skuteczne zaszyfrowanie danych na dysku komputera, ale także ukrycie tego faktu. Gotowa aplikacja pojawiła się w 1999 roku.