Sul sito di Truecrypt, popolare software libero usato da oltre un decenno per cifrare potentemente il contenuto dei dischi per tenerlo al riparo da occhi indiscreti, è comparso un annuncio talmente sorprendente che molti hanno sospettato la burla o l'intrusione: “ATTENZIONE: Usare TrueCrypt non è sicuro, perché può contenere problemi di sicurezza non risolti”.

L'annuncio prosegue dicendo che lo sviluppo del software è terminato e che gli utenti dovrebbero migrare verso altri prodotti. L'unica giustificazione fornita per questa decisione repentina è che i sistemi operativi supportati da TrueCrypt ora offrono un proprio sistema di cifratura dei dischi.

Ad aumentare il mistero contribuiscono lo stile molto dilettantesco dell'annuncio (tipico dei comunicati fatti da intrusi) e il fatto che viene offerta una nuova versione di TrueCrypt, la 7.2, che a quanto pare è in grado soltanto di decifrare i dischi cifrati (se si ha la chiave) ma non di crearne di nuovi. Sembrebbe una versione mirata per aiutare gli utenti a migrare, appunto, verso altri prodotti, ma a questo punto la fiducia è vicina allo zero.

C'è chi ipotizza che TrueCrypt sia stato chiuso su pressioni governative o commerciali e che per motivi legali non possa dichiararlo apertamente (come è successo al provider Lavabit dopo le rivelazioni di Snowden). Probabilmente è una coincidenza, ma l'annuncio usa un inglese un po' stentato (“Using TrueCrypt is not secure as it may contain unfixed security issues”) in cui alcune lettere iniziali formano la sigla NSA, per cui si potrebbe leggere come “Using TrueCrypt is NSA”, ossia “Usare TrueCrypt è NSA”. Enigmatico e inquietante, ma scegliendo opportunamente le iniziali si può tirar fuori di tutto. Tecnicamente, però, la cosa non ha molto senso.

Un'altra possibilità è che l'esame approfondito del codice di TrueCrypt abbia trovato delle falle molto gravi che hanno spinto a rinunciare al suo sviluppo, ma la prima fase di quest'esame non ha rivelato nulla.

Più semplicemente, come suggerisce l'analisi di Ars Technica, può darsi che gli sviluppatori (che lavoravano sotto strettissimo anonimato) si siano semplicemente stufati di lavorare a un progetto gratuito. Questa sembra la spiegazione più attendibile al momento, anche perché gli sviluppatori hanno pubblicato alcuni commenti in questo senso.

L'altra ipotesi circolante è che il sito che ospita TrueCrypt, ossia SourceForge, sia stato violato e che l'annuncio sia stato scritto dagli aggressori, ma SourceForge dice di non aver avuto segnalazioni di violazioni.

In un modo o nell'altro, come scrive Naked Security, il danno è fatto: se l'annuncio è autentico, il progetto è terminato, per una ragione o per l'altra; se è falso, l'affidabilità del progetto è stata compromessa irrimediabilmente. TrueCrypt diventa così un'altra vittima illustre del clima di paranoia creato dall'NSA e dalle sue attività d'intrusione nei software e nell'hardware degli utenti comuni.