Инициатива по аудиту Truecrypt на предмет наличия бэкдора

18 октября 2013 года

Wikinews-logo-ru.svg

Несколько исследователей безопасности выступили с инициативой проведения аудита Truecrypt, популярного открытого приложения для шифрования дисковых разделов, число загрузок которого с сайта проекта превысило 28 млн. Несмотря на то, что используемые в программе методы шифрования явно не были скомпрометированы, а код программы открыт и доступен для аудита, некоторые из исследователей подозрительно относятся к данному приложению.

Во-первых, авторы приложения остаются анонимными, никто не знает, кто действительно разрабатывает Truecrypt. Во-вторых, нет никаких гарантий, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений. Более того, выявлены факты, которые свидетельствуют о расхождении поведения сборки для Windows со сборкой для Linux и вариантом, собранным из исходных текстов. В частности, при использовании Windows-сборки последние 65024 байта заголовка шифрованного раздела заполняются шифрованными случайными значениями, в то время как в Linux-сборке данная область заполняется шифрованными нулями.

Неясно, что именно скрывается за случайным набором данных и почему поведение разных сборок отличается. Недавние разоблачения деятельности АНБ по обеспечению доступа к шифрованным коммуникациям подогрели интерес к подтверждению или опровержению безопасности Truecrypt. В качестве неподтверждённого домысла упоминается возможность сохранения в данной области ключей шифрования, дополнительно зашифрованных с использованием известного только создателям сборки ключа, или использование указанного блока в качестве кода для активации бэкдора.

В рамках инициативы по проведению аудита Truecrypt планируется убедиться в безопасности бинарных сборок программы, провести профессиональный анализ криптостойкости используемых методов и сформировать независимые эталонные сборки для Windows, OS X, Ubuntu, RHEL, CentOS, Debian и Fedora. Кроме того, планируется провести юридический анализ открытой лицензии TrueCrypt v3.0, некоторые спорные формулировки в которой помешали включению пакетов с TrueCrypt в состав дистрибутивов Ubuntu, Debian, RedHat, CentOS и Fedora. Для финансирования инициативы в рамках краудфандинга уже удалось собрать 36 тысяч долларов.

 

ИсточникиПравить


Эта статья содержит материалы из статьи «Инициатива по аудиту Truecrypt на предмет наличия бэкдора», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Инициатива по аудиту Truecrypt на предмет наличия бэкдора