В октябре 2013 года профессор и известный криптограф Мэттью Грин (Matthew Green) опубликовал сообщение в своем блоге с призывом провести аудит TrueCrypt в рамках проекта Open Crypto Audit. Криптографическое сообщество поддержало идею, в рамках краудфандинговой кампании была собрана достаточная сумма на оплату труда профессионалов.
Много лет TrueCrypt считался одним из самых надёжных и безопасных приложений для шифрования дисков. Первые результаты аудита подтвердили его репутацию. Исследователям удалось найти всего 11 багов, из которых четырём присвоен средний статус опасности, еще четырём — низкий, а остальные три бага имеют «информационный» статус, то есть не представляют опасности. Во время первой фазы аудита изучался загрузчик TrueCrypt и драйвер ядра Windows, проводился анализ архитектуры и исходного кода, а также пентесты, в том числе с помощью фаззинга. Никаких бэкдоров или опасных уязвимостей не обнаружено.
Предполагалось, что на втором этапе аудита проверят корректность реализации в TrueCrypt различных криптошифров, генераторов случайных чисел и алгоритмов генерации ключей. Но все планы сорвались в мае 2014 года, когда анонимные разработчики TrueCrypt неожиданно объявили о закрытии проекта и даже намекнули на небезопасность использования TrueCrypt.
Эта новость породила смятение в рядах пользователей. Некоторые начали искать альтернативу TrueCrypt, другие предпочли остаться на старой версии программы (последняя версия 7.1). В то же время появилось несколько форков на основе исходного кода TrueCrypt. Аудит программы, естественно, был приостановлен в условиях неопределённости.
Однако, 18 февраля в официальном блоге Open Crypto Audit опубликована хорошая новость: вторая фаза аудита всё-таки состоится! Мэттью Грин просит прощения за задержку и уверяет, что собранные пожертвования в размере $70 000 он не потратил на курорты. Все деньги будут израсходованы по назначению, и тщательный анализ исходного кода TrueCrypt продолжится.
