Слухи о том, что NSA внедрила бэкдор в TrueCrypt, и может получать доступ к зашифрованным файлам пользователей, начали появляться еще в 2013 году, однако независимая проверка от NCC Group для Open Crypto Audit Project, показала, что скрытых «черных ходов» в программе не существует.
Результаты этой проверки в определенном смысле не являются практичными, поскольку развитие TrueCrypt было прекращено еще в 2014 году, и следовательно пользователи, покинувшие утилиту на волне слухов о возможной небезопасности, вряд ли вернутся к ней.
Однако у TrueCrypt есть несколько форков, например VeraCrypt, использующих тот же исходный код, как уже известно не содержащий бэкдоров. В этом смысле результаты проверки имеют ценность для пользователей. Также они вселяют небольшую уверенность в том, что внедрение бэкдоров в программы с открытым исходным кодом менее вероятно, поскольку их могут проверить опытные специалисты, и секретные методы шпионажа при этом будут раскрыты. Последнее невыгодно потенциальным заинтересованным лицам, поскольку обнаруженные методы шпионажа после этого будет сложнее применять даже в ПО с закрытым кодом.
Несмотря на отсутствие бэкдоров, проверка все-таки обнаружила четыре уязвимости в TrueCrypt. По стандартам Open Crypto Audit Project они не являются критическими, но все же снижают защищенность программы.
Наибольшей проблемой TrueCrypt по мнению NCC Group является использование Windows API для генерирования случайных чисел при создания главного пароля в программе. Если этот API даст сбой, то генерирование чисел будет происходить неслучайным образом, что открывает путь к предсказыванию результатов работы алгоритмов шифрования.