Наш партнер GENESIS HACKSPACE

Хакспейс: Клуб — физическое место, где собираются увлеченные техникой, IT, электроникой, роботами и физикой люди. Первая сеть бесплатных хакспейсов в г.Тверь и области.

Все мы помним эту странную историю с TrueCrypt — программой для шифрования данных. Авторы неожиданно для всех покинули своё детище. При этом на последок выпустили странную ограниченную версию своего программного продукта.

В 2013 году был начат сбор средств для аудита TrueCrypt. Разработчики оставили её как раз между первой и второй фазой аудита. Довольно быстро появились альтернативы в лице VeraCrypt и CipherShed.

До сегодняшнего момента аудит TrueCrypt не был завершён (была завершена только первая фаза). Команда исследований приняла решение продолжить аудит TrueCrypt 7.1a даже не смотря на тот факт, что в настоящее время разработчики покинули проект.

Вчера (2 апреля 2015 года) была завершена вторая фаза анализа TrueCrypt. Исследователи выгрузили конечный отчёт — PDF документ — на официальный сайт, с которого его можно скачать.

Всего было выявлено четыре уязвимости:

  • Смешение ключевых файлов не является cryptographically sound (низкий уровень).
  • Неидентифицируемый зашифрованный текст в заголовках тома (неопределённый уровень).
  • CryptAcquireContext может незаметно останавливаться в необычных сценариях (высокий уровень).
  • Реализация AES восприимчива к атаке на синхронизацию кэша (высокий уровень).

В отчёте детально разобрана каждая уязвимость, что должно помочь проектам, которые используют код TrueCrypt, устранить выявленные проблемы в следующих обновлениях.

Осталось ещё заметить, что проводился аудит не всего кода, а только функционала в довольно узкой сфере. Команда сконцентрировалась на важных частях TrueCrypt, в основном это были реализация и использование криптографии.

Следует напомнить, что первый аудит также выявил некие уязвимости. Но практически все они были отметены разработчиками TrueCrypt. Была частично признана только одна из уязвимостей. Нужно понимать, что совсем ничего не предъявить команда аудиторов не могла — были собраны значительные средства на аудит и за них нужно было как-то отчитываться. Я веду к тому, что сейчас, когда авторы TrueCrypt не могут оппонировать, трудно понять, что из вышеназванного является действительной уязвимостью, а что просто высосано из пальца для отчёта. Наверное, нужно опять собирать средства, чтобы провести аудит аудита.

Похожие темы

Как установить VeraCrypt на Linux Что такое VeraCrypt? VeraCrypt — это полный аналог TrueCrypt, но с ещё более сильной защитой. Некоторые подробности о проекте можно почита...
Используйте TestCrypt для восстановления повреждён... Одной из наиболее плохих вещей, которые могут случиться с шифрованием — это повреждение данных. Проблема здесь в том, что повреждение может ст...
Новая финальная версия VeraCrypt 1.0f... Отличный подарок всем нам на этот Новый Год сделали разработчики из IDRIX. Они выпустили финальную версию VeraCrypt 1.0f с внушительным списком изме...
Открываем контейнеры TrueCrypt, VeraCrypt и CyberS... ...всех времён и народов Есль ли программы для шифрования на Андроид? Да, много. Есть ли среди них хорошие программы — да, несколько....
Инструкция по использованию VeraCrypt... А партизан говорит: не грузи. Ничего они меня не повяжут, я же смотри как зашифровался. (Дмитрий Гайдук - "Про войну") Что такое VeraCrypt VeraCr...