Аудит исходных текстов Truecrypt подтвердил безопасность проекта

Объявлено о завершении первой стадии аудита популярного открытого приложения для шифрования дисковых разделов Truecrypt и публикации результирующего отчёта. В октябре прошлого года для проведения независимого аудита Truecrypt был инициирован проект Open Crypto Audit Project (OCAP), для финансирования работы которого в рамках краудфандинга было собрано около 80 тысяч долларов. Для выполнения аудита была привлечена компания iSEC.
Нулевая стадия аудита завершилась спустя неделю и подтвердила, что официальная бинарная сборка не содержит скрытых функций и тождественна поставляемым исходным текстам. Первая стадия, подразумевающая скурпулёзное изучение исходных текстов и всестороннее тестирование защищённости, растянулась на семь месяцев. На второй стадии будет выполнен анализ криптостойкости применяемых алгоритмов шифрования. В процессе проверки исходных текстов не было выявлено существенных проблем, которые могли бы негативно отразиться на безопасности Truecrypt. В том числе, не были найдены доказательства подстановки бэкдоров или преднамеренных дефектов.
При этом аудит кода позволил выявить серию незначительных недостатков и типовых уязвимостей в ядре, таких как утечка параметров указателей, но ни одна из проблем не могла привести к совершению реальных атак. Все выявленные недоработки отнесены экспертами к случайным ошибкам. Среди общих проблем отмечается использование небезопасных и устаревших функций, противоречивый выбор типов переменных, скудность комментариев.
В итоге, несмотря на то, что стиль программирования в Truecrypt не является идеальным и качество кода оказалось не на таком высоком уровне как могло быть, в процессе аудита не найдено ничего опасного, что потребовало бы незамедилительной реакции. На основании аудита для разработчиков Truecrypt выработаны рекомендации по увеличению качества кода и упрощению его сопровождения, а также по обновлении процесса сборки и добавлению дополнительных средств для проверки целостности заголовков шифрованных разделов.
Напомним, что процесс аудита Truecrypt был инициирован после серии разоблачений деятельности АНБ по обеспечению доступа к шифрованным коммуникациям. Подозрение возможных проблем в Truecrypt были вызваны анонимностью разработчиков проекта, реальные имена которых держатся в тайне. Опасение также вызывало то, что из 30 млн загрузок Truecrypt подавляющее большинство составляли бинарные сборки, в которых могли потенциально присутствовать закладки, несмотря на доступность исходного кода, в который на этапе сборки могли вноситься скрытые изменения.

15.04.2014, 09:14 http://pirates.in.ua/article/10074 ​

 

Аудит проводили ребята из АНБ

 

Ну и хорошо.