forum.opennet.ru

Составление сообщения

Исходное сообщение

"Аудит исходных текстов Truecrypt подтвердил безопасность про..."
Отправлено opennews, 15-Апр-14 11:36

Объявлено (https://isecpartners.github.io/news/2014/04/14/iSEC-Complete...) о завершении первой стадии аудита популярного открытого приложения для шифрования дисковых разделов Truecrypt (http://www.truecrypt.org/) и публикации результирующего отчёта (https://opencryptoaudit.org/reports/). В ноябре прошлого года для проведения независимого аудита Truecrypt был инициирован (https://www.opennet.ru/opennews/art.shtml?num=38202) проект Open Crypto Audit Project (https://opencryptoaudit.org/) (OCAP), для финансирования работы которого в рамках краудфандинга было собрано около 80 тысяч долларов. Для выполнения аудита была привлечена компания iSEC.

Нулевая стадия аудита завершилась спустя неделю и подтвердила (https://www.opennet.ru/opennews/art.shtml?num=38259), что официальная бинарная сборка не содержит скрытых функций и тождественна поставляемым исходным текстам. Первая стадия, подразумевающая скурпулёзное изучение исходных текстов и всестороннее тестирование защищённости, растянулась на семь месяцев. На второй стадии будет выполнен анализ применяемых алгоритмов шифрования. В процессе проверки исходных текстов не было выявлено существенных проблем, которые могли бы негативно отразиться на безопасности Truecrypt. В том числе, не были найдены доказательства подстановки бэкдоров или преднамеренных дефектов.

При этом аудит кода позволил выявить серию незначительных недостатков и типовых уязвимостей в ядре, таких как утечка параметров указателей, но ни одна из проблем не могла привести к совершению реальных атак. Все выявленные недоработки отнесены экспертами к случайным ошибкам. Среди общих проблем отмечается использование небезопасных и устаревших функций, противоречивый выбор типов переменных, скудность комментариев.

В итоге, несмотря на то, что стиль программирования в Truecrypt не является идеальным и качество кода оказалось не на таком высоком уровне как могло быть, в процессе аудита не найдено ничего опасного, что потребовало бы незамедилительной реакции. На основании аудита для разработчиков Truecrypt выработаны рекомендации по увеличению качества кода и упрощению его сопровождения, а также по обновлении процесса сборки и добавлению дополнительных средств для проверки целостности заголовков шифрованных разделов.
URL: http://threatpost.com/so-far-so-good-for-truecrypt-initial-a...
Новость: https://www.opennet.ru/opennews/art.shtml?num=39573

Исходное сообщение
"Аудит исходных текстов Truecrypt подтвердил безопасность про..." Отправлено opennews, 15-Апр-14 11:36
Объявлено (https://isecpartners.github.io/news/2014/04/14/iSEC-Complete...) о завершении первой стадии аудита популярного открытого приложения для шифрования дисковых разделов Truecrypt (http://www.truecrypt.org/) и публикации результирующего отчёта (https://opencryptoaudit.org/reports/). В ноябре прошлого года для проведения независимого аудита Truecrypt был инициирован (https://www.opennet.ru/opennews/art.shtml?num=38202) проект Open Crypto Audit Project (https://opencryptoaudit.org/) (OCAP), для финансирования работы которого в рамках краудфандинга было собрано около 80 тысяч долларов. Для выполнения аудита была привлечена компания iSEC. Нулевая стадия аудита завершилась спустя неделю и подтвердила (https://www.opennet.ru/opennews/art.shtml?num=38259), что официальная бинарная сборка не содержит скрытых функций и тождественна поставляемым исходным текстам. Первая стадия, подразумевающая скурпулёзное изучение исходных текстов и всестороннее тестирование защищённости, растянулась на семь месяцев. На второй стадии будет выполнен анализ применяемых алгоритмов шифрования. В процессе проверки исходных текстов не было выявлено существенных проблем, которые могли бы негативно отразиться на безопасности Truecrypt. В том числе, не были найдены доказательства подстановки бэкдоров или преднамеренных дефектов. При этом аудит кода позволил выявить серию незначительных недостатков и типовых уязвимостей в ядре, таких как утечка параметров указателей, но ни одна из проблем не могла привести к совершению реальных атак. Все выявленные недоработки отнесены экспертами к случайным ошибкам. Среди общих проблем отмечается использование небезопасных и устаревших функций, противоречивый выбор типов переменных, скудность комментариев. В итоге, несмотря на то, что стиль программирования в Truecrypt не является идеальным и качество кода оказалось не на таком высоком уровне как могло быть, в процессе аудита не найдено ничего опасного, что потребовало бы незамедилительной реакции. На основании аудита для разработчиков Truecrypt выработаны рекомендации по увеличению качества кода и упрощению его сопровождения, а также по обновлении процесса сборки и добавлению дополнительных средств для проверки целостности заголовков шифрованных разделов. URL: http://threatpost.com/so-far-so-good-for-truecrypt-initial-a... Новость: https://www.opennet.ru/opennews/art.shtml?num=39573

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Объявлено (https://isecpartners.github.io/news/2014/04/14/iSEC-Completes-Truecrypt-Audit.html) 
> о завершении первой стадии аудита  популярного открытого приложения для шифрования 
> дисковых разделов Truecrypt (http://www.truecrypt.org/) и публикации результирующего 
> отчёта (https://opencryptoaudit.org/reports/). В ноябре прошлого года для проведения 
> независимого аудита Truecrypt был инициирован (https://www.opennet.ru/opennews/art.shtml?num=38202) 
> проект  Open Crypto Audit Project (https://opencryptoaudit.org/) (OCAP), для финансирования 
> работы которого в рамках краудфандинга было собрано около 80 тысяч долларов. 
> Для выполнения аудита была привлечена компания iSEC.

> Нулевая стадия аудита завершилась спустя неделю и подтвердила (https://www.opennet.ru/opennews/art.shtml?num=38259), 
> что  официальная бинарная сборка не содержит скрытых функций и тождественна 
> поставляемым исходным текстам. Первая стадия, подразумевающая скурпулёзное изучение 
> исходных текстов и всестороннее тестирование защищённости, растянулась на семь месяцев. 
> На второй стадии будет выполнен анализ применяемых алгоритмов шифрования. В процессе 
> проверки исходных текстов не было выявлено существенных проблем, которые могли бы 
> негативно отразиться на безопасности Truecrypt. В том числе, не были найдены 
> доказательства подстановки бэкдоров или преднамеренных дефектов.

> При этом аудит кода позволил выявить серию незначительных недостатков и типовых уязвимостей 
> в ядре, таких как утечка параметров указателей, но ни одна из 
> проблем не могла привести к совершению реальных атак. Все выявленные недоработки 
> отнесены экспертами к случайным ошибкам. Среди общих проблем отмечается использование 
> небезопасных и устаревших функций, противоречивый выбор типов переменных, скудность комментариев.

> В итоге, несмотря на то, что стиль программирования в Truecrypt не является 
> идеальным и качество кода оказалось не на таком высоком уровне как 
> могло быть, в процессе аудита не найдено ничего опасного, что потребовало 
> бы незамедилительной реакции. На основании аудита для разработчиков Truecrypt выработаны 
> рекомендации по увеличению качества кода и упрощению его сопровождения, а также 
> по обновлении процесса сборки и добавлению дополнительных средств для проверки целостности 
> заголовков шифрованных разделов.

> URL: http://threatpost.com/so-far-so-good-for-truecrypt-initial-audit-phase-turns-up-no-backdoors/105433 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=39573

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру