Paranoid - курс от Codeby Security School

Представляем вашему вниманию курс от команды codeby - "Комплекс мер по защите персональных данных, анонимности в интернете и не только" Подробнее ...


Все мы помним эту странную историю с TrueCrypt — программой для шифрования данных. Авторы неожиданно для всех покинули своё детище. При этом на последок выпустили странную ограниченную версию своего программного продукта.

В 2013 году был начат сбор средств для аудита TrueCrypt. Разработчики оставили её как раз между первой и второй фазой аудита. Довольно быстро появились альтернативы в лице VeraCrypt и CipherShed.

До сегодняшнего момента аудит TrueCrypt не был завершён (была завершена только первая фаза). Команда исследований приняла решение продолжить аудит TrueCrypt 7.1a даже не смотря на тот факт, что в настоящее время разработчики покинули проект.

Вчера (2 апреля 2015 года) была завершена вторая фаза анализа TrueCrypt. Исследователи выгрузили конечный отчёт — PDF документ — на официальный сайт, с которого его можно скачать.

Всего было выявлено четыре уязвимости:


Codeby Security School от Сodeby

Мы запустили свою онлайн школу по информационной безопасности. Защита персональных данных, анонимность в сети интернет, настройка виртуальных машин, безопасная передача данных, анти форензика и еще много всего полезного в курсе Paranoid


  • Смешение ключевых файлов не является cryptographically sound (низкий уровень).
  • Неидентифицируемый зашифрованный текст в заголовках тома (неопределённый уровень).
  • CryptAcquireContext может незаметно останавливаться в необычных сценариях (высокий уровень).
  • Реализация AES восприимчива к атаке на синхронизацию кэша (высокий уровень).

В отчёте детально разобрана каждая уязвимость, что должно помочь проектам, которые используют код TrueCrypt, устранить выявленные проблемы в следующих обновлениях.

Осталось ещё заметить, что проводился аудит не всего кода, а только функционала в довольно узкой сфере. Команда сконцентрировалась на важных частях TrueCrypt, в основном это были реализация и использование криптографии.

Следует напомнить, что первый аудит также выявил некие уязвимости. Но практически все они были отметены разработчиками TrueCrypt. Была частично признана только одна из уязвимостей. Нужно понимать, что совсем ничего не предъявить команда аудиторов не могла — были собраны значительные средства на аудит и за них нужно было как-то отчитываться. Я веду к тому, что сейчас, когда авторы TrueCrypt не могут оппонировать, трудно понять, что из вышеназванного является действительной уязвимостью, а что просто высосано из пальца для отчёта. Наверное, нужно опять собирать средства, чтобы провести аудит аудита.


Безопасная сделка с гарантом Сodeby

Гарант является доверенным посредником между Участниками при проведении сделки.​ Услуга сайта «Проведение сделок через Гаранта» предоставляется всем зарегистрированным пользователям codeby.net Подробнее ...


Похожие темы

Новая версия VeraCrypt 1.0f BETA Новую версию VeraCrypt 1.0f BETA вы можете найти в «ночных сборках» здесь. Там представлены пакеты для всех трёх основных ОС. Бета в...
Аналоги и альтернативы TrueCrypt... Авторы TrueCrypt оставили разработку программы. Но это не значит, что пользователи остались без инструментов для шифрования. Есть три основных стратег...
Новая финальная версия VeraCrypt 1.0f... Отличный подарок всем нам на этот Новый Год сделали разработчики из IDRIX. Они выпустили финальную версию VeraCrypt 1.0f с внушительным списком изме...
TrueCrypt – кроссплатформенная программа для шифро... Слы, чувак, в натуре: без измен! Это всё чисто гонево, что они такие врубные, а на самом деле они, ну, ты понимаешь. Короче, надень, братишка, темны...
VeraCrypt — достойная альтернатива TrueCrypt... Подготовлено на основании перевода статьи "VeraCrypt a Worthy TrueCrypt Alternative". Будучи ответвлением (форком) кода TrueCrypt, VeraCrypt поднимае...