Программа полного шифрования диска с открытым исходным кодом TrueCrypt была любимой в мире безопасности (рекомендованной Эдвардом Сноуденом и Amazon), несмотря на то, что ее разработчики оставались анонимными, а код не подвергался независимому аудиту..

В тот момент, когда эту вторую проблему решали с помощью продолжающегося аудита после финансируемого краудфандингом проекта Electronic Frontier Foundation (EFF), разработчики TrueCrypt неожиданно отключили свое программное обеспечение в крайне сомнительных обстоятельствах, порекомендовав пользователям переключиться на крайне небезопасную и с тех пор подтвержденную Документы Сноудена были скомпрометированы АНБ, BitLocker - такой странный ход, что многие считают его канарейкой с явным ордером.

Теории заговора во все более параноидальном сообществе безопасности процветали, несмотря на то, что проект Open Crypto Audit объявил, что после первой фазы аудита не было обнаружено никаких серьезных уязвимостей. С уверенностью в TrueCrypt на все время низкой, но с спросом на функции, которые она обещала, все еще высоки (никакая другая программа не предлагала всех преимуществ TrueCrypts, кроме его форков, которые сами были подозрительными), исследователи решили продолжить аудит.

На прошлой неделе были опубликованы результаты II этапа аудита, которые в целом дают TrueCrypt чистую оценку здоровья. Насколько команда аудиторов может определить (не может быть уверенности на 100%), криптографическое программное обеспечение не содержит намеренных бэкдоров или уязвимостей, которые могут быть использованы АНБ. Как главный исследователь отчета, Мэтью Грин резюмировал в своем блоге,

‘TL; DR заключается в том, что, основываясь на этом аудите, Truecrypt представляется относительно хорошо разработанным компонентом криптографического программного обеспечения. Аудит NCC не обнаружил никаких преднамеренных закулисных действий или каких-либо серьезных недостатков конструкции, которые в большинстве случаев делают программное обеспечение небезопасным ».


Команда нашла ряд проблем, которые она рекомендует исправить, но они могут быть исправлены и в любом случае не представляют серьезной угрозы для пользователей, за исключением самых неожиданных обстоятельств.,

‘Это не значит, что Truecrypt идеален. Аудиторы обнаружили несколько сбоев и неосторожное программирование, что привело к нескольким проблемам, которые могут привести к тому, что при правильных обстоятельствах Truecrypt даст меньше уверенности, чем хотелось бы..

‘Например: наиболее значимой проблемой в отчете Truecrypt является обнаружение, связанное с версией для Windows генератора случайных чисел (RNG) Truecrypt, который отвечает за генерацию ключей, которые шифруют тома Truecrypt. Это важный фрагмент кода, поскольку предсказуемый ГСЧ может означать катастрофу для безопасности всего остального в системе…

Это не конец света, так как вероятность такого отказа крайне мала. Более того, даже если Windows Crypto API не работает в вашей системе, Truecrypt по-прежнему собирает энтропию из таких источников, как системные указатели и движения мыши. Эти альтернативы, вероятно, достаточно хороши, чтобы защитить вас. Но это плохой дизайн, и его обязательно нужно исправить в любых вилках Truecrypt.

Сообщество безопасности, вероятно, теперь вздыхает с облегчением, и эти результаты, вероятно, повышают уверенность в вилках, которые были разработаны после теоретической кончины TrueCrypt. Большая проблема с такими форками заключается в том, что код TrueCrypt, хотя и доступен для аудита, не является действительно открытым исходным кодом, и поэтому любой такой форк разработан с нарушением авторских прав. Однако, чтобы это стало проблемой, первоначальные разработчики должны были бы анонимизировать себя и выдвинуть утверждение, что, учитывая усилия, которые они предприняли для защиты своей личности, большинство наблюдателей считают маловероятным. Тем не менее, будущие разработчики могут рискнуть потратить много времени и сил на разработку программного обеспечения, которое в конечном итоге может быть закрыто..

Две основные форки TrueCrypt, которые в настоящее время находятся в разработке, это VeraCrypt и CypherShed, из которых VeraCrypt обычно считается лучшим (и который утверждает, что исправил некоторые проблемы с TrueCrypt). Посмотрите это место для более глубокого взгляда на VeraCrypt.

Те, кто предпочел бы доверять уже проверенному коду, могут найти устаревшие версии программного обеспечения в репозитории окончательных выпусков TrueCrypt (у нас есть полное руководство по использованию TrueCrypt, доступное здесь), в то время как те, кто все еще подозрительно относится к TrueCrypt (вполне понятная позиция в нашем посмотреть, несмотря на новые выводы), возможно, хотел бы проверить нашу статью о 5 лучших альтернатив с открытым исходным кодом TrueCrypt.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me