Одитът на TrueCrypt продължава независимо от края на проекта

0
32


TrueCrypt, популярният софтуер за пълно дисково криптиране, любим на мнозина ентусиасти и специалисти по информационна защита, и един от инструментите, които бившият сътрудник на Агенцията за национална сигурност на САЩ Едуард Сноудън ползва, за да скрие действията си при изнасянето на информацията свързана с действията на Агенцията, ще бъде подложен на втора проверка за наличието на вкарани скрити „задни вратички“ от службите за сигурност, съобщава ArsTechnica.

Медията бе сред първите, които съобщиха за все още необяснимото закриване на проекта, анонсирано на страницата на програмата в Sourceforge. Само преди дни официалната страница на софтуера и тази на платформата на известното онлайн хранилище бяха заменени от съобщение, което гласеше, че програмата вече не може да се счита за сигурна и потребителите биват съветвани да използват майкрософтския инструмент за криптиране BitCrypt, който е инсталиран по подразбиране в новите операционни системи на редмъндската компания. Не е известно има ли връзка между закриването на проекта и началото на „Фаза II“ от одита на криптософтуера.

Изданието съобщава, че втората фаза от одита на TrueCrypt е планирана отдавна и идва по план. Един от организаторите на стандартната проверка съобщава пред Ars, че неочакваното съобщение няма да повлияе на проверката и тя ще се проведе, както е планирано.

„Ние вече обсъдихме ситуацията заедно с колегите ми и уверено ще спазим плановете си, независимо от обстоятелствата“, споделя Кен Райт, участник в проверката и компютърен специалист, уточнявайки, че организаторите на одита не желаят да оставят в хората някакви съмнения по отношение на вече започналата проверка. „TrueCrypt съществува вече 10 години и така и никога не е минал подробна проверка по отношение на безопасността. Хората ще продължат да го използват – за добро или лошо – и считаме, че им дължим това“, споделя Райт.

„Фаза I“ на проверката включваше одит на изходния код на програмата и софтуерната архитектура. Проверката откри уязвимости и някои характеристики, показващи немарливост при дизайна на кода, но не и доказателство за нарочно поставен бекдор от страна на АНС.

Възможността американските шпиони да са поставили скрит механизъм в софтуера не би трябвало да се изключва с оглед на практиките на Белия дом и АНС. Медията припомня случая с разкритията около RSA.. В края на миналата година стана ясно, че компанията е внесла в криптографския си пакет BSAFE генератор на случайни числа, който е бил създаден от АНС. Липсата на ентропия в работата на алгоритъма наречен Dual EC_DRBG при разпределяне на ключове е направило възможно пресичането на комуникациите, защитени с BSAFE-механизма.

Втората фаза от инспекцията на TrueCrypt ще е насочена именно към подобен тип скрити заплахи и ще включва задълбочен криптоанализ, в това число на шифриращите пакети на програмата, генераторите на случайни числа и начина, по който биват криптирани дяловете, т.е. анализът ще обърне внимание на цялостния механизъм, по който програмата шифрова данните.

Инспекцията започва от юни и ще продължи до септември, като на специален преглед ще бъде подложена версия 7.1 на програмата, която е и последната нормално работеща версия на TrueCrypt.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари