«

»

Распечатать Запись

Профессиональный аудит TrueCrypt подтвердил безопасность приложения

В прошлом году исполнилось десять лет со дня рождения русифицированной программы для шифрования разделов жесткого диска TrueCrypt, победителя профильных тестингов журнала "ComputerBild" (2010). По статистике, только с официального сайта утилиту скачали более тридцати миллионов раз, что автоматически переводит ее в ранг самых массовых криптографических инструментов личного пользования. Скрытая проблема в том, что приложение не имеет ясной и понятной лицензии, не формализован процесс компиляции и сборки, а авторы проекта хранят анонимность. Все это, вкупе с обвинениями в адрес Агентства национальной безопасности США в слежке за пользователями Сети и закладках в криптософте, сподвигло программиста Кеннета Уайта (Kenneth White) и криптолога Мэтью Грина (Matthew Green) пару лет назад начать кампанию за проведение аудита безопасности TrueCrypt v. 7.1.

/ опубликовано в IT-издании "Компьютерные Вести" 14 апреля 2015 года в рубрике "Software" /

Сбор средств велся на двух краудфандинговых площадках - FundFill и IndieGoGo, что позволило собрать более 60000$, благодаря коим был создан проект Open Crypto Audit Project (OCAP) и оплачен аудит от компании iSEC.

Первый этап проверки продолжался всего неделю и подтвердил, что официальная бинарная сборка не содержит скрытых функций и тождественна поставляемым исходным текстам. Второй этап, подразумевающий изучение исходных текстов загрузчика и Windows-драйвера, закончился в апреле прошлого года. В процессе проверки исходников не было выявлено существенных недочетов, которые могли бы отразиться на безопасности шифровальщика.

truecrypt_audit

При этом аудит 70000 строк кода на Ассемблере, С и C++ позволил обнаружить 11 незначительных ошибок: четыре - средней степени опасности, четыре - низкой и три из категории "informational". В 32-страничном отчете (вся документация доступна на сайте OCAP) найденные баги сведены в диаграмму по признакам степени риска и легкости эксплуатации, а зона наивысшей опасности, как можно догадаться, находится в левом нижнем углу скриншота.

Финальный анализ криптостойкости применяемых алгоритмов шифрования и корректности их реализации также не выявил критических проблем или фактов, указывающих на внедрение бэкдоров для получения информации с инфицированного компьютера. В целом, по состоянию на 2 апреля 2015 года (дата выхода второго отчета), TrueCrypt оценен как хорошо спроектированный и безопасный продукт, с учетом сказанного.

ciphershed

Остается надеется, что разработчики прислушаются к выводам независимой экспертизы, т.к. сейчас активно развивается форк (ответвление) ныне закрытого TrueCrypt-проекта под названием CipherShed. На последнем скриншоте – новое лицо героя аудита и моего обзора.

Дмитрий dmitry_spb Евдокимов

Постоянная ссылка на это сообщение: http://TestSoft.su/professionalnyj-audit-truecrypt-podtverdil-bezopasnost-prilozheniya/

1 комментарий

  1. bond

    Хорошая новость, пользовался TrueCrypt. Посмотрим что там будет с CipherShed…

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Вы можете использовать эти теги HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>