Завершен аудит TrueCrypt: Бэкдоров и ошибок архитектуры не обнаружено

код безопасность уязвимость
Завершен аудит TrueCrypt: Бэкдоров и ошибок архитектуры не обнаружено
код безопасность уязвимость

Исследователи обнаружили несколько проблем, они оказались незначительными и могли нести угрозу только в специфических случаях.

Группа криптографов, проводившая аудит исходного кода программы шифрования дисков TrueCrypt, завершила свою работу. В ходе проверки эксперты не обнаружили признаков наличия специально внедренных бэкдоров или серьезных ошибок архитектуры, которые могут привести к уязвимостям.

«Согласно результатам аудита, TrueCrypt является относительно хорошо спроектированным образцом криптографического программного обеспечения», - отметил криптограф Мэттью Грин (Matthew Green) в блоге.

Пристальное внимание сообщества исследователей безопасности было приковано к продолжающемуся аудиту еще с прошлого года, когда разработчики TrueCrypt по загадочным обстоятельствам прекратили работу над проектом. На официальной странице TrueCrypt появилось сообщение, в котором создатели ПО призывали немедленно его деинсталлировать в связи с тем, что программа может содержать неисправленные бреши. В качестве альтернативы предлагалось использовать BitLocker — решение для шифрования данных от Microsoft.

На втором этапе проверки аудиторы изучили генераторы случайных чисел TrueCrypt, а также другие криптонаборы. Несмотря на то, что исследователи обнаружили несколько проблем, они оказались незначительными и могли нести угрозу безопасности только в ограниченных и очень специфических случаях.

К примеру, Windows-версия TrueCrypt основывается на Windows Crypto API, у которой в некоторых крайне редких случаях не получается корректно инициализироваться. Когда такое происходит, TrueCrypt должен выдать сообщение и прекратить генерацию ключей. Вместо этого он спокойно воспринимает сбой и продолжает генерацию.

По словам Грина, данная проблема не является концом света, поскольку вероятность такого сбоя очень мала. Более того, продолжается сбор случайных значений от системных указателей, координат курсора мыши и др. Этого должно быть вполне достаточно для надёжной защиты. Тем не менее, плохой дизайн программы нужно исправить во всех форках TrueCrypt, подчеркнул криптограф.

С полным аудиторским отчетом можно ознакомиться здесь .

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Новости по теме

Интегрируем threat intelligence в систему защиты информации с новой версией PT Threat Analyzer

БеКон 2024 – конференция по безопасности контейнерных сред

Gentoo возвращается к истокам: дистрибутив Linux отказывается от сгенерированного кода

Брешь в YubiKey Manager или как Microsoft Edge спасает пользователей от взлома

Обновите Netcat CMS: хакеры могут создавать учетные записи админов

Минцифры РФ анонсировало создание консорциума по кибербезопасности ИИ

Конец мукам пересертификации: ФСТЭК идет навстречу ИТ-компаниям

Правительство США в ловушке: зависимость от Microsoft парализует нацбезопасность страны

Открыта дверь в будущее: первая успешная передача квантовой информации