В октябре 2013 года профессор и известный криптограф Мэттью Грин (Matthew Green) опубликовал сообщение в своем блоге с призывом провести аудит TrueCrypt в рамках проекта Open Crypto Audit. Криптографическое сообщество поддержало идею, в рамках краудфандинговой кампании была собрана достаточная сумма на оплату труда профессионалов.

Много лет TrueCrypt считался одним из самых надёжных и безопасных приложений для шифрования дисков. Первые результаты аудита подтвердили его репутацию. Исследователям удалось найти всего 11 багов, из которых четырём присвоен средний статус опасности, еще четырём — низкий, а остальные три бага имеют «информационный» статус, то есть не представляют опасности. Во время первой фазы аудита изучался загрузчик TrueCrypt и драйвер ядра Windows, проводился анализ архитектуры и исходного кода, а также пентесты, в том числе с помощью фаззинга. Никаких бэкдоров или опасных уязвимостей не обнаружено.

Предполагалось, что на втором этапе аудита проверят корректность реализации в TrueCrypt различных криптошифров, генераторов случайных чисел и алгоритмов генерации ключей. Но все планы сорвались в мае 2014 года, когда анонимные разработчики TrueCrypt неожиданно объявили о закрытии проекта и даже намекнули на небезопасность использования TrueCrypt.

Эта новость породила смятение в рядах пользователей. Некоторые начали искать альтернативу TrueCrypt, другие предпочли остаться на старой версии программы (последняя версия 7.1). В то же время появилось несколько форков на основе исходного кода TrueCrypt. Аудит программы, естественно, был приостановлен в условиях неопределённости.

Однако, 18 февраля в официальном блоге Open Crypto Audit опубликована хорошая новость: вторая фаза аудита всё-таки состоится! Мэттью Грин просит прощения за задержку и уверяет, что собранные пожертвования в размере $70 000 он не потратил на курорты. Все деньги будут израсходованы по назначению, и тщательный анализ исходного кода TrueCrypt продолжится.



9 комментариев

  1. 23.02.2015 at 21:02

    Мэттью Грин это создатель ZeroCoin, который так его и не создал.

  2. http://www.abzala.com/

    24.02.2015 at 13:40

    Какой смысл проводить аудит если проект закрыт и развиваться не будет. Потратить собранные деньги?

  3. 20.03.2015 at 00:09

    Я бы за десятую от этой суммы уже 100 раз бы сделал аудит.

Оставить мнение