Słynny program do szyfrowania – TrueCrypt – podpadł internautom, będzie audyt!

foto/audyt-programu-truecrypt.jpgPytanie padło takie „IsTrueCryptAuditedYet?” (celowo pisane razem) a odpowiedź taka „No.” – jak się okazuje w praktyce, bardzo popularny darmowy program do szyfrowania danych, wcale nie musi być bezpieczny. Po ujawnieniu, że władze USA potrafiły zakładać tzw. tylne drzwi w innych produktach, spore wątpliwości wzbudził również program TrueCrypt. Czy przypadkiem NSA (jedna z agencji rządowych w USA) nie dodało tam jakieś tylnej furtki? Liczba teorii spiskowych w sieci rośnie w tym temacie.

Sam TrueCrypt potrafi tworzyć tzw. bezpieczne magazyny (zaszyfrowane pliki, będące kontenerami na inne zasoby), szyfrować w locie dane używane przez system operacyjny, szyfrować całe partycje, dyski zewnętrze itd. Określa się go jako narzędzie o otwartym źródle oraz jasnej licencji – niestety nigdy nie weryfikowanej publicznie. Teraz ma się to zmienić i TrueCrypt Foundation pójdzie pod lupę. Tym bardziej, że eksperci mają wątpliwości, czy udostępniony skompilowany program to naprawdę to samo, co udostępnia się jako źródła.

foto/audyt-programu-truecrypt-1.jpg

Teorię spiskową o tym, że jednak TC nie jest bezpieczny, zamierzają sprawdzić w ramach audytu eksperci od kryptografii. Zbierają właśnie środki finansowe na całe zadanie – wnioskując o kwotę 25 tysięcy dolarów do społeczności internetowej. I już zebrali wymagane środki w kilka dni – czekamy więc na wyniki audytu kodu tego popularnego oprogramowania. Cały projekt można obserwować w ramach strony istruecryptauditedyet.com – stoi za nią Matthew Green, kryptograf pracujący na Uniwersytecie Johnsa Hopkinsa oraz Kenne White z Uniwersytetu Maryland w College Park.

Przy okazji mamy nowy typ zbiórek publicznych, które mają służyć weryfikacji oferowanych na rynku produktów opensource. Autorzy projektu „istruecryptauditedyet”, docelowo chcą też przekazać część zebranych środków na nagrody dla osób, które znajdą we wskazanym produkcie błędy i niejasności.

Zbiórka odbywa się pod adresem:
www.indiegogo.com/projects/the-truecrypt-audit/

(Ź) istruecryptauditedyet / blog.cryptographyengineering.com/2013/09/on-nsa.html

Komentarze