Ресурс Open Crypto Audit Project (OCAP) опубликовал вчера 32-страничный отчёт первичной проверки популярного средства для шифрования информации TrueCrypt. Необходимость такой проверки возникла после скандала, связанного с АНБ США.
Подозрения вызывала сверхпопулярность программы, анонимность разработчиков, некоторые расхождения в работе программы на разных платформах и тот факт, что подавляющее число из 30 миллионов загрузок составляли уже готовые установочные файлы, в которые и могли быть установлены «закладки» АНБ.
В октябре 2013 года для проведения аудита была проведена кампания «народного финансирования», в рамках которой было собрано порядка 80 тысяч долларов для оплаты трудов профессионалов из iSEC. Планировалась проверка готовых программ и создание эталонных сборок для платформ Windows, OS X и основных систем Linux.
Быстрая проверка была проведена за неделю и не выявила существенных проблем. Сейчас был закончен второй этап.
Было найдено 11 некритичных проблем, связанных с неаккуратностью написания кода, которые были признаны случайными. Предложены меры для улучшения качества кода и использования более современных инструментов.
На следующем этапе специалисты iSEC проверят функционирование криптошифров, работу генераторов чисел и алгоритмов для создания ключей.
0
0