Все мы помним эту странную историю с TrueCrypt — программой для шифрования данных. Авторы неожиданно для всех покинули своё детище. При этом на последок выпустили странную ограниченную версию своего программного продукта.
В 2013 году был начат сбор средств для аудита TrueCrypt. Разработчики оставили её как раз между первой и второй фазой аудита. Довольно быстро появились альтернативы в лице VeraCrypt и CipherShed.
До сегодняшнего момента аудит TrueCrypt не был завершён (была завершена только первая фаза). Команда исследований приняла решение продолжить аудит TrueCrypt 7.1a даже не смотря на тот факт, что в настоящее время разработчики покинули проект.
Вчера (2 апреля 2015 года) была завершена вторая фаза анализа TrueCrypt. Исследователи выгрузили конечный отчёт — PDF документ — на официальный сайт, с которого его можно скачать.
Всего было выявлено четыре уязвимости:
- Смешение ключевых файлов не является cryptographically sound (низкий уровень).
- Неидентифицируемый зашифрованный текст в заголовках тома (неопределённый уровень).
- CryptAcquireContext может незаметно останавливаться в необычных сценариях (высокий уровень).
- Реализация AES восприимчива к атаке на синхронизацию кэша (высокий уровень).
В отчёте детально разобрана каждая уязвимость, что должно помочь проектам, которые используют код TrueCrypt, устранить выявленные проблемы в следующих обновлениях.
Осталось ещё заметить, что проводился аудит не всего кода, а только функционала в довольно узкой сфере. Команда сконцентрировалась на важных частях TrueCrypt, в основном это были реализация и использование криптографии.
Следует напомнить, что первый аудит также выявил некие уязвимости. Но практически все они были отметены разработчиками TrueCrypt. Была частично признана только одна из уязвимостей. Нужно понимать, что совсем ничего не предъявить команда аудиторов не могла — были собраны значительные средства на аудит и за них нужно было как-то отчитываться. Я веду к тому, что сейчас, когда авторы TrueCrypt не могут оппонировать, трудно понять, что из вышеназванного является действительной уязвимостью, а что просто высосано из пальца для отчёта. Наверное, нужно опять собирать средства, чтобы провести аудит аудита.
На сайте, посвященном информационной безопасности — http://vadmin.ucoz.ru/publ/#, появилась информация о уязвимости TrueCrypt.
Описание уязвимости: если установить LibreOffice и открыть запароленный word-файл из подключенного контейнера TrueCrypt, то он сохраняется в списке открытых документов LibreOffice (этот список не отключается). В последующем после отключения контейнера TrueCrypt этот word-файл можно элементарно открыть из окна LibreOffice, введя пароль, даже если запароленный контейнер TrueCrypt находится на запароленном диске BitLocker, и если диск BitLocker отключен.
Иное дело, если секретный word-файл находится в виртуальном контейнере vhd — тогда после отключения контейнера vhd секретный word-файл исчезает из списка сохраненных документов LibreOffice.