Поправьте, если я ошибаюсь, но ни один из этих вопросов серьёзно пока не прорабатывался; в лучшем случае причастные лица лишь констатируют наличие проблем. Так что дорога Google и Facebook за облака, может быть, и будет благодарной, но точно не быстрой и не простой.
Первый этап аудита TrueCrypt завершён с неожиданными результатами
Андрей Васильков
Опубликовано 15 апреля 2014
Бесплатная кросс-платформенная утилита TrueCrypt остаётся самым популярным средством шифрования. Её используют известные правозащитники, интернет-активисты и десятки миллионов рядовых пользователей по всему миру. В последнее время внимание к ней усилилось из-за проводимой экспертной оценки, которая уже дала первые результаты.
Созданная неизвестно кем программа TrueCrypt успешно развивается вот уже девять лет. На первый взгляд, это типичный проект с открытым исходным кодом, но у него до сих пор нет официального репозитория исходников (например, на GitHub).
Настораживает и то, что результат самостоятельной компиляции часто отличается от выложенного на сайте готового исполняемого файла. Объясняется это тем, что детали процесса нигде не указаны, а вариантов довольно много.
Об этих особенностях TrueCrypt «Компьютерра» уже писала ранее. Дополнительные вопросы вызывает странная лицензия программы, которая во многом похожа на GPL, но не является полностью свободной. Это препятствует включению TrueCrypt в дистрибутивы Linux и повышает общую настороженность.
Открытый код — необходимое, но недостаточное условие обеспечения безопасности. Недавно обнаруженная уязвимость Heartbleed лишний раз подтверждает это.
Сама TrueCrypt тоже успела подмочить репутацию: в версии 5.1 была обнаружена некорректная работа с драйвером диска, которая приводила к записи данных в открытом виде при использовании режима hibernate.
Седьмую версию TrueCrypt проверяла команда разработчиков защищённой модификации ОС Ubuntu, но это была преимущественно теоретическая работа с оценкой программы в специфической среде.
С тех пор программа сильно изменилась, а её полноценного анализа так никто и не провёл. Поэтому программист Кеннет Уайт (Kenneth White) и криптограф профессор Мэттью Грин (Matthew Green) выступили с общественной инициативой первого полномасштабного аудита TrueCrypt.
В середине октября они начали сбор средств на двух краудфандинговых платформах — IndieGoGo и FundFill. Конечная цель была указана как получение $25 тыс. на привлечение специалистов по аудиту. Среди них должны были быть юристы, программисты и независимые криптографы (очень желательно — за пределами США). Планировалось изучить правовой статус лицензии, проанализировать исходный код программы и убедиться в отсутствии уязвимостей.
Инициатива True Crypt Audit получила широкий резонанс и привлекла гораздо больше пожертвований, чем рассчитывали её организаторы. Всего они собрали около $63 тыс. и 33,71 биткойна (что на момент публикации статьи составляло более $14 тыс.). Итого на аудит поступило втрое больше изначально требуемой суммы.