Все мы помним эту странную историю с TrueCrypt — программой для шифрования данных. Авторы неожиданно для всех покинули своё детище. При этом на последок выпустили странную ограниченную версию своего программного продукта.

В 2013 году был начат сбор средств для аудита TrueCrypt. Разработчики оставили её как раз между первой и второй фазой аудита. Довольно быстро появились альтернативы в лице VeraCrypt и CipherShed.

До сегодняшнего момента аудит TrueCrypt не был завершён (была завершена только первая фаза). Команда исследований приняла решение продолжить аудит TrueCrypt 7.1a даже не смотря на тот факт, что в настоящее время разработчики покинули проект.

Вчера (2 апреля 2015 года) была завершена вторая фаза анализа TrueCrypt. Исследователи выгрузили конечный отчёт — PDF документ — на официальный сайт, с которого его можно скачать.

Всего было выявлено четыре уязвимости:

  • Смешение ключевых файлов не является cryptographically sound (низкий уровень).
  • Неидентифицируемый зашифрованный текст в заголовках тома (неопределённый уровень).
  • CryptAcquireContext может незаметно останавливаться в необычных сценариях (высокий уровень).
  • Реализация AES восприимчива к атаке на синхронизацию кэша (высокий уровень).

В отчёте детально разобрана каждая уязвимость, что должно помочь проектам, которые используют код TrueCrypt, устранить выявленные проблемы в следующих обновлениях.

Осталось ещё заметить, что проводился аудит не всего кода, а только функционала в довольно узкой сфере. Команда сконцентрировалась на важных частях TrueCrypt, в основном это были реализация и использование криптографии.

Следует напомнить, что первый аудит также выявил некие уязвимости. Но практически все они были отметены разработчиками TrueCrypt. Была частично признана только одна из уязвимостей. Нужно понимать, что совсем ничего не предъявить команда аудиторов не могла — были собраны значительные средства на аудит и за них нужно было как-то отчитываться. Я веду к тому, что сейчас, когда авторы TrueCrypt не могут оппонировать, трудно понять, что из вышеназванного является действительной уязвимостью, а что просто высосано из пальца для отчёта. Наверное, нужно опять собирать средства, чтобы провести аудит аудита.

Похожие темы

Новости софта от 30 января 2015 года (Apache, PHP,... Apache 2.4.12 Обновился Apache — сердце большинство веб-серверов. Об этом важном событии уже писалось тут. Теперь информацию хотелось бы т...
TrueCrypt – кроссплатформенная программа для шифро... Слы, чувак, в натуре: без измен! Это всё чисто гонево, что они такие врубные, а на самом деле они, ну, ты понимаешь. Короче, надень, братишка, темны...
Как установить VeraCrypt на Linux Что такое VeraCrypt? VeraCrypt — это полный аналог TrueCrypt, но с ещё более сильной защитой. Некоторые подробности о проекте можно почита...
Новости софта от 5 января 2015 года (VeraCrypt, Mi... VeraCrypt 1.0f-1 Перед самым новым годом вышла версия VeraCrypt 1.0f. Но уже буквально вчера автор выпустил корректировочную версию, которой при...
CipherShed (наследник TrueCrypt) доступен для скач... Тема безопасности данных, а также шифрования (как одного из методов достижения этой самой безопасности) очень близка авторам codeby.net. Во времена ...