Объявлено (https://isecpartners.github.io/news/2014/04/14/iSEC-Complete...) о завершении первой стадии аудита популярного открытого приложения для шифрования дисковых разделов Truecrypt (http://www.truecrypt.org/) и публикации результирующего отчёта (https://opencryptoaudit.org/reports/). В ноябре прошлого года для проведения независимого аудита Truecrypt был инициирован (https://www.opennet.ru/opennews/art.shtml?num=38202) проект Open Crypto Audit Project (https://opencryptoaudit.org/) (OCAP), для финансирования работы которого в рамках краудфандинга было собрано около 80 тысяч долларов. Для выполнения аудита была привлечена компания iSEC.
Нулевая стадия аудита завершилась спустя неделю и подтвердила (https://www.opennet.ru/opennews/art.shtml?num=38259), что официальная бинарная сборка не содержит скрытых функций и тождественна поставляемым исходным текстам. Первая стадия, подразумевающая скурпулёзное изучение исходных текстов и всестороннее тестирование защищённости, растянулась на семь месяцев. На второй стадии будет выполнен анализ применяемых алгоритмов шифрования. В процессе проверки исходных текстов не было выявлено существенных проблем, которые могли бы негативно отразиться на безопасности Truecrypt. В том числе, не были найдены доказательства подстановки бэкдоров или преднамеренных дефектов.
При этом аудит кода позволил выявить серию незначительных недостатков и типовых уязвимостей в ядре, таких как утечка параметров указателей, но ни одна из проблем не могла привести к совершению реальных атак. Все выявленные недоработки отнесены экспертами к случайным ошибкам. Среди общих проблем отмечается использование небезопасных и устаревших функций, противоречивый выбор типов переменных, скудность комментариев.
В итоге, несмотря на то, что стиль программирования в Truecrypt не является идеальным и качество кода оказалось не на таком высоком уровне как могло быть, в процессе аудита не найдено ничего опасного, что потребовало бы незамедилительной реакции. На основании аудита для разработчиков Truecrypt выработаны рекомендации по увеличению качества кода и упрощению его сопровождения, а также по обновлении процесса сборки и добавлению дополнительных средств для проверки целостности заголовков шифрованных разделов.
URL: http://threatpost.com/so-far-so-good-for-truecrypt-initial-a...
Новость: https://www.opennet.ru/opennews/art.shtml?num=39573