Завершен аудит TrueCrypt: Бэкдоров и ошибок архитектуры не обнаружено

image

Теги: код, безопасность, уязвимость

Исследователи обнаружили несколько проблем, они оказались незначительными и могли нести угрозу только в специфических случаях.

Группа криптографов, проводившая аудит исходного кода программы шифрования дисков TrueCrypt, завершила свою работу. В ходе проверки эксперты не обнаружили признаков наличия специально внедренных бэкдоров или серьезных ошибок архитектуры, которые могут привести к уязвимостям.

«Согласно результатам аудита, TrueCrypt является относительно хорошо спроектированным образцом криптографического программного обеспечения», - отметил криптограф Мэттью Грин (Matthew Green) в блоге.

Пристальное внимание сообщества исследователей безопасности было приковано к продолжающемуся аудиту еще с прошлого года, когда разработчики TrueCrypt по загадочным обстоятельствам прекратили работу над проектом. На официальной странице TrueCrypt появилось сообщение, в котором создатели ПО призывали немедленно его деинсталлировать в связи с тем, что программа может содержать неисправленные бреши. В качестве альтернативы предлагалось использовать BitLocker — решение для шифрования данных от Microsoft.

На втором этапе проверки аудиторы изучили генераторы случайных чисел TrueCrypt, а также другие криптонаборы. Несмотря на то, что исследователи обнаружили несколько проблем, они оказались незначительными и могли нести угрозу безопасности только в ограниченных и очень специфических случаях.

К примеру, Windows-версия TrueCrypt основывается на Windows Crypto API, у которой в некоторых крайне редких случаях не получается корректно инициализироваться. Когда такое происходит, TrueCrypt должен выдать сообщение и прекратить генерацию ключей. Вместо этого он спокойно воспринимает сбой и продолжает генерацию.

По словам Грина, данная проблема не является концом света, поскольку вероятность такого сбоя очень мала. Более того, продолжается сбор случайных значений от системных указателей, координат курсора мыши и др. Этого должно быть вполне достаточно для надёжной защиты. Тем не менее, плохой дизайн программы нужно исправить во всех форках TrueCrypt, подчеркнул криптограф.

С полным аудиторским отчетом можно ознакомиться здесь .

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.