Программа защиты личных данных TrueCrypt подверглась проверке на критические ошибки

Фото: gagilas/ CC BY 2.0/ http://www.imcreator.com/images/magical-network
Фото: gagilas/ CC BY 2.0/ http://www.imcreator.com/images/magical-network
В 2013 году сооб­ще­ство поль­зо­ва­те­лей ини­ци­и­ро­ва­ло про­ве­де­ние неза­ви­си­мо­го ауди­та попу­ляр­ной про­грам­мы для шиф­ро­ва­ния TrueCrypt. 14 апре­ля 2014 года пер­вый этап ауди­та был завер­шен, и теперь его резуль­та­ты доступ­ны всем жела­ю­щим. Серьез­ных оши­бок в рабо­те про­грам­мы обна­ру­же­но не было, одна­ко каче­ство кода ауди­то­ры назва­ли не очень высо­ким.

TrueCrypt – одна из самых попу­ляр­ных крип­то­гра­фи­че­ских про­грамм, соглас­но ста­ти­сти­ке, на офи­ци­аль­ном сай­те ее ска­ча­ли поряд­ка 30 мил­ли­о­нов раз. Несмот­ря на дол­гую 10-лет­нюю исто­рию про­грам­мы, за все вре­мя не про­во­ди­лось ни одно­го неза­ви­си­мо­го ауди­та ее кода. У TrueCrypt нет офи­ци­аль­но­го репо­зи­то­рия на GitHub и ясной понят­ной лицен­зии. Недав­ние заяв­ле­ния Эдвар­да Сно­уде­на о про­слуш­ке Интер­не­та Агент­ством наци­о­наль­ной без­опас­но­сти США вызва­ли еще боль­ше вопро­сов к защи­щен­но­сти TrueCrypt.

Поль­зо­ва­те­ли реши­ли сами спон­си­ро­вать про­ве­де­ние про­вер­ки. Сбор средств ини­ци­и­ро­вал про­грам­мист и спе­ци­а­лист по био­тех­но­ло­ги­ям Кен­нет Уайт и про­фес­сор Уни­вер­си­те­та Джо­на Хоп­кин­са Мэтью Грин. Кра­уд­фандин­го­вая кам­па­ния про­во­ди­лась на двух пло­щад­ках – FindFill и IndieGoGo, собран­ных 60 тысяч дол­ла­ров долж­но хва­тить не толь­ко на про­ве­де­ние ауди­та, но и на созда­ние пуб­лич­но­го репо­зи­то­рия кода, под­го­тов­ку лицен­зии. Ини­ци­а­ти­ву под­дер­жа­ла коман­да раз­ра­бот­чи­ков TrueCrypt.

14 апре­ля 2014 года пер­вый этап ауди­та был завер­шен. В ходе про­вер­ки было обна­ру­же­но 11 оши­бок кода: 4 – сред­ней сте­пе­ни, 4 – низ­кой и 3 не пред­став­ля­ю­щих ника­кой угро­зы. Кри­ти­че­ских оши­бок обна­ру­же­но не было. Пол­ные дан­ные доступ­ны в 32-стра­нич­ном отче­те PDF, в кото­ром для боль­шей нагляд­но­сти пред­став­ле­на диа­грам­ма, ран­жи­ру­ю­щая ошиб­ки кода по сте­пе­ни угро­зы и лег­ко­сти экс­плу­а­та­ции.

Несмот­ря на отсут­ствие рис­ков без­опас­но­сти TrueCrypt, ауди­то­ры отме­ти­ли не очень высо­кое каче­ство кода: исполь­зо­ва­ние уста­рев­ших функ­ций, отсут­ствие еди­но­об­ра­зия в типах пере­мен­ных, недо­ста­ток ком­мен­та­ри­ев и др.

Ска­чать отчет с резуль­та­та­ми пер­во­го эта­па ауди­та про­грам­мы TrueCrypt.