Инициатива по аудиту Truecrypt на предмет наличия бэкдора

Несколько исследователей безопасности выступили с инициативой проведения аудита Truecrypt, популярного открытого приложения для шифрования дисковых разделов, число загрузок которого с сайта проекта превысило 28 млн. Несмотря на то, что используемые в программе методы шифрования явно не были скомпрометированы, а код программы открыт и доступен для аудита, некоторые из исследователей подозрительно относятся к данному приложению.

Во первых, авторы приложения остаются анонимными, никто не знает кто действительно разрабатывает Truecrypt. Во вторых, нет никаких гарантий, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений. Более того, выявлены факты, которые свидетельствуют о расхождении поведения сборки для Windows со сборкой для Linux и вариантом, собранным из исходных текстов. В частности, при использовании Windows-сборки последние 65024 байта заголовка шифрованного раздела заполняются шифрованными случайными значениями, в то время как в Linux-сборке данная область заполняется шифрованными нулями.

Не ясно, что именно скрывается за случайным набором данных и почему поведение разных сборок отличается. Недавние разоблачения деятельности АНБ по обеспечению доступа к шифрованным коммуникациям, подогрели интерес к подтверждению или опровержению безопасности Truecrypt. В качестве неподтверждённого домысла упоминается возможность сохранении в данной области ключей шифрования или паролей доступа, дополнительно зашифрованных с использованием известного только создателям сборки ключа шифрования, или использование указанного блока в качестве ключа для активации бэкдора.

В рамках инициативы по проведению аудита Truecrypt планируется убедится в безопасности бинарных сборок программы, провести профессиональный анализ криптостойкости используемых методов и сформировать независимые эталонные сборки для Windows, OS X, Ubuntu, RHEL, CentOS, Debian и Fedora. Кроме того, планируется провести юридический анализ открытой лицензии TrueCrypt v3.0, некоторые спорные формулировки в которой помешали включению пакетов с TrueCrypt в состав дистрибутивов Ubuntu, Debian, RedHat, CentOS и Fedora. Для финансирования инициативы в рамках краудфандинга уже удалось собрать 36 тысяч долларов.

Источник:
http://www.opennet.ru/opennews/art.shtml?num=38202

<= Назад
Комментарии
]]> ipv6 ready Kiev LUGLinux4MeНостальгияЛичный сайт skeletora ]]>