The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

15.04.2014 11:19  Аудит исходных текстов Truecrypt подтвердил безопасность проекта

Объявлено о завершении первой стадии аудита популярного открытого приложения для шифрования дисковых разделов Truecrypt и публикации результирующего отчёта. В октябре прошлого года для проведения независимого аудита Truecrypt был инициирован проект Open Crypto Audit Project (OCAP), для финансирования работы которого в рамках краудфандинга было собрано около 80 тысяч долларов. Для выполнения аудита была привлечена компания iSEC.

Нулевая стадия аудита завершилась спустя неделю и подтвердила, что официальная бинарная сборка не содержит скрытых функций и тождественна поставляемым исходным текстам. Первая стадия, подразумевающая скрупулёзное изучение исходных текстов загрузчика и Windows-драйвера растянулась на семь месяцев. На второй стадии будет выполнен анализ криптостойкости применяемых алгоритмов шифрования и корректности их реализации. В процессе проверки исходных текстов не было выявлено существенных проблем, которые могли бы негативно отразиться на безопасности Truecrypt. В том числе, не были найдены доказательства подстановки бэкдоров или преднамеренных дефектов.

При этом аудит кода позволил выявить 11 незначительных недостатков и типовых уязвимостей в драйвере, таких как утечка параметров указателей, но ни одна из проблем не могла привести к совершению реальных атак. Все выявленные недоработки отнесены экспертами к случайным ошибкам. Среди общих проблем отмечается использование небезопасных и устаревших функций, противоречивый выбор типов переменных, скудность комментариев.

В итоге, несмотря на то, что стиль программирования в Truecrypt не является идеальным и качество кода оказалось не на таком высоком уровне как могло быть, в процессе аудита не найдено ничего опасного, что потребовало бы незамедлительной реакции. На основании аудита для разработчиков Truecrypt выработаны рекомендации по улучшению качества кода и упрощению его сопровождения, а также по реорганизации процесса сборки (задействование современных открытых инструментов, предотвращающих подстановку закладок во время сборки и активирующих дополнительные методы защиты, такие как отслеживание выхода за допустимые границы буфера). Рекомендации также коснулись добавления дополнительных средств для проверки целостности заголовков шифрованных разделов.

Напомним, что процесс аудита Truecrypt был инициирован после серии разоблачений деятельности АНБ по обеспечению доступа к шифрованным коммуникациям. Подозрения наличия возможных проблем в Truecrypt были вызваны анонимностью разработчиков проекта, реальные имена которых держатся в тайне. Опасение также вызывало то, что из 30 млн загрузок Truecrypt подавляющее большинство составляли бинарные сборки, в которых могли потенциально присутствовать закладки, несмотря на доступность исходного кода, в который на этапе сборки могли вноситься скрытые изменения.

  1. Главная ссылка к новости (http://threatpost.com/so-far-s...)
  2. OpenNews: Инициатива по аудиту Truecrypt на предмет наличия бэкдора
  3. OpenNews: Аудит сборки TrueCrypt 7.1a не выявил расхождения с исходными текстами
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: truecrypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:36, 15/04/2014 [ответить] [смотреть все]
  • +5 +/
    Наивные
     
     
  • 2.75, pavlinux, 00:22, 16/04/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Тревога не бывает ложной, тревога бывает учебной!!!
     
  • 1.2, rob pike, 11:44, 15/04/2014 [ответить] [смотреть все]
  • +4 +/
    Во-первых, пока были проанализированы только загрузчик и Windows-драйвер.
    Во-вторых, только их архитектура и исходные тексты плюс проведено некоторое количество fuzzy-тестов
    В-третьих, чтобы утверждать что-то по поводу бинарной сборки, нужно сначала научиться собирать её открытым компилятором, тогда возможно будет применить diverse double-compiling (http://www.dwheeler.com/trusting-trust/)
     
     
  • 2.3, bircoph, 11:59, 15/04/2014 [^] [ответить] [смотреть все] [показать ветку]
  • –1 +/
    Чему тут учиться В генте давно собирается с помощью gcc ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.4, rob pike, 12:01, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    С виндовым кернел-драйвером?
     
     
  • 4.6, bircoph, 12:12, 15/04/2014 [^] [ответить] [смотреть все]  
  • +14 +/
    Речь идёт про truecrypt в Linux, использование windows для работы с конфиденциальными данными — безумие, потому что на уровне ядра системы есть бэкдоры и никакое шифрование не поможет.

     
     
  • 5.14, rob pike, 12:31, 15/04/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    >на уровне ядра системы есть бэкдоры

    Огласите весь список, пожалуйста.

     
     
  • 6.17, фыв, 12:33, 15/04/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Если я чего-то не знаю, этого нет?
    Слишком толсто...
     
     
  • 7.18, rob pike, 12:34, 15/04/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Никто не утверждал что их нет Утверждалось что они есть Поэтому хотелось бы ув... весь текст скрыт [показать]
     
     
  • 8.25, Fomalhaut, 13:20, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    http://www.securitylab.ru/news/387924.php
    Недостаточно?
     
     
  • 9.28, rob pike, 13:27, 15/04/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Нет, конечно АНБ помогало и другим проектам, вспомните те же S-боксы Bruce Sch... весь текст скрыт [показать]
     
     
  • 10.53, Роман, 19:06, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Погуглите или посмотрите на том же секлабе как винда самовольно в какой-то усл... весь текст скрыт [показать]
     
  • 10.79, regthy, 01:56, 16/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Да оно вообще всем готово помочь The NSA had an active role in developing SELinu... весь текст скрыт [показать]
     
  • 8.98, Аноним, 20:08, 20/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Во-первых, допустимо требовать доказательств безопасности, а никак не наоборот ... весь текст скрыт [показать]
     
  • 7.54, llirik, 19:12, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    ну собственно цитата По сведениям источников, на которые ссылается NYT, АНБ ... весь текст скрыт [показать]
     
  • 6.55, Аноним, 19:46, 15/04/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    1 автоматическое принудительное обновление ОС... весь текст скрыт [показать]
     
     
  • 7.66, Тот_Самый_Анонимус, 21:23, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Отключить ниасилил?
     
     
  • 8.73, XoRe, 23:03, 15/04/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    > Отключить ниасилил?

    В панели управления? :)

     
  • 8.80, Аноним, 05:01, 16/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Да, мы помним как он апдейтер обновлял, хотя обновления типа, отключены ... весь текст скрыт [показать]
     
  • 6.62, Аноним, 21:13, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Не думаю, что оригинальный Rob Pike согласится с вашим негодованием ... весь текст скрыт [показать]
     
     
  • 7.72, rob pike, 22:39, 15/04/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Вы путаете интерес с негодованием.
     
  • 5.26, rob pike, 13:22, 15/04/2014 [^] [ответить] [смотреть все]  
  • +4 +/
    Очевидно именно поэтому аудиту был подвергнут виндовый драйвер ... весь текст скрыт [показать]
     
     
  • 6.31, Пушистик, 13:31, 15/04/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Ух как яро ты постоянно защищаешь MS, это уже даже подозрительно становится У м... весь текст скрыт [показать]
     
     
  • 7.44, еще 1 аноним, 14:31, 15/04/2014 [^] [ответить] [смотреть все]  
  • +5 +/
    ух ты как яро ненавишь винду - аж подозрительно становится мсье знает толк в из... весь текст скрыт [показать]
     
  • 7.81, Аноним, 05:06, 16/04/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Права купил, ездить не купил В смысле, мозги у тебя не инсталлированы И какую ... весь текст скрыт [показать]
     
  • 7.89, еще 1 аноним, 10:01, 16/04/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    мыши плакал, кололись, но продолжали есть кактусы Садо-маза какая-то... весь текст скрыт [показать]
     
  • 5.65, Тот_Самый_Анонимус, 21:22, 15/04/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    как и использовать линух, ибо тот тоже разрабатывается на родине АНБ... весь текст скрыт [показать]
     
     
  • 6.84, Кэп, 07:54, 16/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Вообще разрабатывается совместно всем человечеством, код - общий.
     
     
  • 7.87, Пушистик, 09:39, 16/04/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Земля - тоже родина АНБ.
     
     
  • 8.91, dile, 23:12, 16/04/2014 [^] [ответить] [смотреть все]  
  • +/
    На самом деле они негласно сообщали о Северной Америке, вкупе со всеми государст... весь текст скрыт [показать]
     
  • 1.5, Аноним, 12:07, 15/04/2014 [ответить] [смотреть все]  
  • +/
    Если TrueCrypt такой чистый, белый и пушистый, то почему авторы анонимны?
     
     
  • 2.7, Филимон Задумчивый, 12:18, 15/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +25 +/
    Авторы анонимны как раз для того, чтобы он и дальше оставался чистым, белым и пушистым
     
     
  • 3.13, Аноним, 12:30, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Но ведь авторы анонимны для нас, обывателей А компетентные органы их найдут оч... весь текст скрыт [показать]
     
     
  • 4.20, Demo, 12:46, 15/04/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Да что вы говорите ... весь текст скрыт [показать]
     
     
  • 5.22, Аноним, 12:52, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Вы таки говорите так будто что-то скрываете :)

    З.ы.: если надо найдут ;)

     
     
  • 6.49, chinarulezzz, 16:59, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    >если надо найдут ;)

    если надо - останутся анонимными ;)

     
  • 6.52, anonymous, 18:30, 15/04/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    А вам, то бишь, скрывать нечего ... весь текст скрыт [показать]
     
  • 2.23, Sabakwaka, 12:56, 15/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Вот потому и пушистый, что до авторов дотянуться нельзя С медийными-то персонам... весь текст скрыт [показать] [показать ветку]
     
  • 2.24, Аноним, 12:57, 15/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Чтобы на них не смогли надавить?
     
  • 2.34, Аноним, 14:00, 15/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А вы с анонимного аккаунта пишите потому что на АНБ работаете ?
     
     
  • 3.36, Аноним, 14:12, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Нет, потому что обычно я на опеннете ридонли и у меня нет здесь реги..
     
  • 3.57, Аноним, 20:32, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    По-моему вот АНБ тут пишет совсем неанонимно и почти не скрывается Им то что ... весь текст скрыт [показать]
     
     
  • 4.63, John, 21:19, 15/04/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Вы very не правы. NSA не следить за opennet
     
     
  • 5.69, Аноним, 21:38, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    А ю щююр фо олл 146%?
     
  • 5.77, Elmer, 01:21, 16/04/2014 [^] [ответить] [смотреть все]  
  • +/
    > Вы very не правы. NSA не следить за opennet

    Get back to work John.

     
  • 1.8, Яйцассыром, 12:19, 15/04/2014 [ответить] [смотреть все]  
  • +8 +/
    Теперь скидываемся на аудит аудиторов
     
  • 1.9, Xasd, 12:23, 15/04/2014 [ответить] [смотреть все]  
  • +5 +/
    а аудит Cryptsetup и LUKS -- будут делать?
     
  • 1.10, Аноним, 12:23, 15/04/2014 [ответить] [смотреть все]  
  • –1 +/
    Интересно, а кто проверял криптостойкость мозгов самих проверяющих на полиграфе ... весь текст скрыт [показать]
     
     
  • 2.12, Xasd, 12:27, 15/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    больше интересно то -- как же можно на практике использовать результаты аудита ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, Аноним, 13:26, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Читай исходники К О ... весь текст скрыт [показать]
     
     
  • 4.41, Xasd, 14:20, 15/04/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    > Читай исходники.

    я?

    но как это сможет помочь? :)

     
     
  • 5.70, Аноним, 21:46, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Для развития. Новые языки изучать полезно, говорят..
     
  • 3.46, Аноним, 14:55, 15/04/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Может быть хэш-суммы помогут анонимусу?
     
  • 2.76, Куяврег, 00:22, 16/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    это как криптография вообще расшифровать можно всё, нужно только время ... весь текст скрыт [показать] [показать ветку]
     
  • 1.11, Сергей, 12:26, 15/04/2014 [ответить] [смотреть все]  
  • +/
    Скоро начнется паранойя, закладку может компилятор поставить, закладку может библиотека поставить...
     
     
  • 2.15, rob pike, 12:33, 15/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    Разумные опасения.
     
  • 2.19, NikolayV81, 12:35, 15/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Закладку можно в процессор запхнуть, особенно если это какой-нить soc всё в одно... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, Аноним, 13:29, 15/04/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Наивный Вживляют уже не первую тысячу лет Инструментом под названием идеология... весь текст скрыт [показать]
     
     
  • 4.37, Аноним, 14:15, 15/04/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Сейчас придет Мишо и покарает тебя за б-хульство!
     
  • 4.86, NikolayV81, 09:11, 16/04/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Я про безальтернативные методы ... весь текст скрыт [показать]
     
  • 3.42, Аноним, 14:21, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Не, не получится. Будут проблемы с обнаружением места внедрения.
     
  • 2.58, Аноним, 20:36, 15/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Закладку может поставить даже подменённый при скачивании deb- или rmp-пакет Сюр... весь текст скрыт [показать] [показать ветку]
     
  • 2.64, Аноним, 21:22, 15/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А вы до недавнего времени ещё в этом сомневались Не пользуйтесь проприетарными ... весь текст скрыт [показать] [показать ветку]
     
  • 1.21, Пушистик, 12:50, 15/04/2014 [ответить] [смотреть все]  
  • –4 +/
    Значит все мои секреты никто и никогда не узнает, это хорошо Полная безопасно... весь текст скрыт [показать]
     
     
  • 2.30, Аноним, 13:30, 15/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Да-да, ваша коллекция жёсткого порно в полной безопасности Спите спокойно, доро... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, Пушистик, 13:33, 15/04/2014 [^] [ответить] [смотреть все]  
  • –6 +/
    Я видео тока онлайн смотрю, и музыку также, и каринки и книги онлайн читаю.
     
     
  • 4.33, Аноним, 13:50, 15/04/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Уж лучше в жёстком порно сниматься, чем подсаживать себя на иглу всего онлайн.
     
  • 4.35, Аноним, 14:11, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Извращенство норма жизни Полностью подсадить себя на онлайн чистой воды изврацт... весь текст скрыт [показать]
     
  • 4.38, Аноним, 14:16, 15/04/2014 [^] [ответить] [смотреть все]  
  • +6 +/
    >каринки и книги онлайн читаю.

    Каринки лучше оффлайн идут, инфа 146%.

     
     
  • 5.59, Аноним, 20:43, 15/04/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Да, если смотреть картинки онлайн где-нибудь в вк, можно ненароком получить подс... весь текст скрыт [показать]
     
     
  • 6.61, Аноним, 21:04, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    А при прочтении кто-нибудь заметил, что слово работа было повторено два раза Ес... весь текст скрыт [показать]
     
  • 4.43, Пушистик, 14:21, 15/04/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Не, народ, вам не понять современное молодое поколение.
     
     
  • 5.47, rob pike, 15:12, 15/04/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Какая трагедия.
     
     
  • 6.50, chinarulezzz, 17:03, 15/04/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    > Какая трагедия.

    какая грустная на самом деле ирония :)

     
     
  • 7.51, rob pike, 17:32, 15/04/2014 [^] [ответить] [смотреть все]  
  • +/
    В чем же вы её склонны видеть Если в том что т Пайк как раз понял вкусы и чаянь... весь текст скрыт [показать]
     
  • 2.82, Аноним, 05:08, 16/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Оптимизм - это хорошо Но не в криптографии ... весь текст скрыт [показать] [показать ветку]
     
  • 1.40, Аноним, 14:20, 15/04/2014 [ответить] [смотреть все]  
  • +/
    и внесению новых ошибок ... весь текст скрыт [показать]
     
  • 1.45, Аноним, 14:33, 15/04/2014 [ответить] [смотреть все]  
  • +2 +/
    годная мысль, D-link ... весь текст скрыт [показать]
     
     
  • 2.83, Аноним, 05:08, 16/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Я думаю они немного обломаются инстальнуть винду на MIPS ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.95, Аноним, 17:30, 17/04/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Ты просто не в теме NT 4 была под MIPS ... весь текст скрыт [показать]
     
     
  • 4.97, Led, 03:16, 18/04/2014 [^] [ответить] [смотреть все]  
  • +/
    На CD-ROM... весь текст скрыт [показать]
     
  • 1.48, Анонимуз, 16:55, 15/04/2014 [ответить] [смотреть все]  
  • –1 +/
    не понимаю, так он же просто обязан пройти аудит, ведь уязвимость-то заложена NSA в самих алгоритмах шифрования, которыми трукрипт и прочие умеют шифровать.
     
  • 1.56, Аноним, 19:50, 15/04/2014 [ответить] [смотреть все]  
  • +/
    Редкая случайность, когда дырки нету.
     
     
  • 2.68, Аноним, 21:37, 15/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да, подозрительно как-то...
     
  • 1.60, Пушистик, 20:49, 15/04/2014 [ответить] [смотреть все]  
  • –1 +/
    Каждый чел, который собирается стать настоящим хакером, прежде всего должен разработать свой собственный бэкдор, так, на всякий случай.
     
     
  • 2.74, Пушистик, 23:45, 15/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Я так и знал, что слишком тонко, и вот уже в тысячный раз никто ничего, кроме ме... весь текст скрыт [показать] [показать ветку]
     
  • 1.67, Тот_Самый_Анонимус, 21:28, 15/04/2014 [ответить] [смотреть все]  
  • –2 +/
    Поклёп на трукрипт не оправдался, но последователи Буша младшего, говорившего про ОМП в Ираке, что оно точно-точно есть, продолжают твердить: не нашли не значит что нет. Вот сначала найдите, потом трындите.
     
     
  • 2.71, rob pike, 22:12, 15/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    >Буша младшего, говорившего про ОМП в Ираке, что оно точно-точно есть

    Вы сначала разберитесь с тем кто что говорил.
    Того что вы Бушу-младшему приписываете, никогда им не говорилось.

     
     
  • 3.78, regthy, 01:46, 16/04/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Не совсем понимаю какое это имеет отношение к трукрипту, но с этим давно разобра... весь текст скрыт [показать]
     
  • 1.85, forum_participant, 09:08, 16/04/2014 [ответить] [смотреть все]  
  • +/
    Подозреваю, что у них автоматическая экспертная система на основе эвристик. В команде у них есть data minir'ы. Хорошо бы такая штука была в open source и развивалась сообществом, чтобы не было такого как с heartb: баг существовал два года и нашли его гугловцы.
     
  • 1.90, Аноним, 20:43, 16/04/2014 [ответить] [смотреть все]  
  • +/
    На самом деле, анализировались лишь шаблонные уязвимости пассажи про sprintf и ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList