Инициатива по аудиту Truecrypt на предмет наличия бэкдора
Во-первых, авторы приложения остаются анонимными, никто не знает, кто действительно разрабатывает Truecrypt. Во-вторых, нет никаких гарантий, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений. Более того, выявлены факты, которые свидетельствуют о расхождении поведения сборки для Windows со сборкой для Linux и вариантом, собранным из исходных текстов. В частности, при использовании Windows-сборки последние 65024 байта заголовка шифрованного раздела заполняются шифрованными случайными значениями, в то время как в Linux-сборке данная область заполняется шифрованными нулями.
Неясно, что именно скрывается за случайным набором данных и почему поведение разных сборок отличается. Недавние разоблачения деятельности АНБ по обеспечению доступа к шифрованным коммуникациям подогрели интерес к подтверждению или опровержению безопасности Truecrypt. В качестве неподтверждённого домысла упоминается возможность сохранения в данной области ключей шифрования, дополнительно зашифрованных с использованием известного только создателям сборки ключа, или использование указанного блока в качестве кода для активации бэкдора.
В рамках инициативы по проведению аудита Truecrypt планируется убедиться в безопасности бинарных сборок программы, провести профессиональный анализ криптостойкости используемых методов и сформировать независимые эталонные сборки для Windows, OS X, Ubuntu, RHEL, CentOS, Debian и Fedora. Кроме того, планируется провести юридический анализ открытой лицензии TrueCrypt v3.0, некоторые спорные формулировки в которой помешали включению пакетов с TrueCrypt в состав дистрибутивов Ubuntu, Debian, RedHat, CentOS и Fedora. Для финансирования инициативы в рамках краудфандинга уже удалось собрать 36 тысяч долларов.
Источник: http://www.opennet.ru/opennews/art.shtml?num=38202
|
|
0 | Tweet | Нравится |
|
