ニュース

暗号化ソフト「TrueCrypt」の監査を予定通り実施

〜数カ月後には報告書を公開、危険性についても解明の見通し

 暗号化ソフトTrueCrypt開発者たちが突然プロジェクトを中止したことに関連して、TrueCryptの監査プロジェクトOpenCryptoAuditは29日、予定通り監査を継続すると正式に発表した。

 OpenCryptoAuditは昨年、すでに約7万ドルの資金をクラウドファンディングで集めていた。TrueCrypt中止騒動は監査の第2段階を計画している段階で発生してしまった。

 しかし、OpenCryptoAuditプロジェクトは29日にTwitterで正式なコメントを発表。「私たちは約束通りにTrueCrypt7.1の暗号解析を継続し、数カ月程度で最終的な監査報告書を届けたいと考えている。我々は完全に再現可能なビルドで、適切なフリーライセンスの下でのフォークを支援する可能性などを含め、幾つかのシナリオを検討している。」と説明した。

 TrueCryptの開発者たちが素性を明らかにしないこと、突然の中止発表には何らかの国家的圧力が関係しているのではないかとの臆測など、TrueCryptを使用することに不安が広がっているが、少なくとも数カ月後には「TrueCrypt7.1a」バージョンに関して、安全性に関する情報が提供されるようだ。

 現在公式サイトで公開されているバージョン「TrueCrypt7.2」からは暗号化機能が削除され、複号化機能のみが搭載されている。このため、暗号化機能を備えた前バージョン「TrueCrypt7.1」をホスティングしているサイトが様々な場所に現れている。

 これに関して、OpenCryptoAuditではマルウェアの危険性などがあることから注意を呼びかけている。そして過去のTrueCryptをアーカイブした信頼できるGithubリポジトリを紹介している。

 なお、TrueCrypt開発者たちと連絡が取れたとの情報もある。TrueCrypt開発者たちが以前使用していたメールアドレスから返信があったというものだ。返信のあったTrueCrypt開発者は、「Windows上の暗号化ソフトを開発するという当初の目的を達成し、MicrosoftのBitLockerが十分にその目的を達成できることから興味を失い、プロジェクトを中止しただけで、何ら圧力はかかっていない」と説明しているという。しかし、この返信が開発者本人から来たものだという確認は取れていない。

(青木 大我 taiga@scientist.com)