Несколько исследователей безопасности выступили (http://blog.cryptographyengineering.com/2013/10/lets-audit-t...) с инициативой (http://istruecryptauditedyet.com/) проведения аудита Truecrypt (http://www.truecrypt.org/), популярного открытого приложения для шифрования дисковых разделов, число загрузок которого с сайта проекта превысило 28 млн. Несмотря на то, что используемые в программе методы шифрования явно не были скомпрометированы, а код программы открыт и доступен для аудита, некоторые из исследователей подозрительно относятся к данному приложению.
Во-первых, авторы приложения остаются анонимными, никто не знает кто действительно разрабатывает Truecrypt. Во-вторых, нет никаких гарантий, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений. Более того, выявлены факты, которые свидетельствуют о расхождении поведения сборки для Windows со сборкой для Linux и вариантом, собранным из исходных текстов. В частности, при использовании Windows-сборки последние 65024 байта заголовка шифрованного раздела заполняются шифрованными случайными значениями, в то время как в Linux-сборке данная область заполняется шифрованными нулями.
Не ясно, что именно скрывается за случайным набором данных и почему поведение разных сборок отличается. Недавние разоблачения (https://www.opennet.ru/opennews/art.shtml?num=37846) деятельности АНБ по обеспечению доступа к шифрованным коммуникациям, подогрели интерес к подтверждению или опровержению безопасности Truecrypt. В качестве неподтверждённого домысла упоминается возможность сохранении в данной области ключей шифрования, дополнительно зашифрованных с использованием известного только создателям сборки ключа, или использование указанного блока в качестве кода для активации бэкдора.
В рамках инициативы (http://istruecryptauditedyet.com/) по проведению аудита Truecrypt планируется убедится в безопасности бинарных сборок программы, провести профессиональный анализ криптостойкости используемых методов и сформировать независимые эталонные сборки для Windows, OS X, Ubuntu, RHEL, CentOS, Debian и Fedora. Кроме того, планируется провести юридический анализ открытой лицензии TrueCrypt v3.0, некоторые спорные формулировки в которой помешали включению пакетов с TrueCrypt в состав дистрибутивов Ubuntu, Debian, RedHat, CentOS и Fedora. Для финансирования инициативы в рамках краудфандинга уже удалось собрать 36 тысяч долларов.
URL: http://threatpost.com/truecrypt-audit-could-answer-troubling...
Новость: https://www.opennet.ru/opennews/art.shtml?num=38202