Почти десять лет TrueCrypt считается одним из самых надежных и безопасных приложений для шифрования дисков. Проблема только в том, что никто не знает автора этой программы.
За прошедшие годы ни разу не был проведен полный аудит ее исходного кода. Специалисты по информационной безопасности предлагают сделать это сейчас, в связи с последними новостями об успешных атаках АНБ на различные криптографические стандарты и в связи с подозрениями на наличие бэкдора в Windows-версии TrueCrypt.
В понедельник 14 октября криптограф Мэттью Грин опубликовал сообщение в своем блоге с призывом провести аудит TrueCrypt, там же привел убедительные аргументы в пользу этого предложения. Грин открыл сайт IsTrueCryptAuditedYet.com и начал кампанию по сбору средств.
Криптографическое сообщество с энтузиазмом встретило идею Мэттью Грина — и уже 15 октября на краудфандинговый счет поступила жирная сумма $10 000 от ИБ-компании Ionic Security из Атланты. На эту минуту сумма пожертвований перевалила за $15 000. Так что уже можно с достаточной уверенностью сказать: аудиту TrueCrypt быть!
Все собранные средства будут распределены главными аудиторами проекта между несколькими задачами: это юридический анализ лицензии TrueCrypt, реализация детерминированных/воспроизводимых билдов, выплата вознаграждений за найденные уязвимости и профессиональный аудит безопасности исходного кода. Более подробные правила и условия аудита сейчас находятся в разработке.
Источник:
http://www.xakep.ru/
Прекраснейшая новость! Событие года в области криптографии. Давно было пора это сделать!
Только непонятно почему спецы из компаний, специализирующихся на информационной безопасности, сами не проверяют код, а заняты сбором бабла.
TrueCrypt для виндовс вроде как реабилитировали :
https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/
Именно вариант для виндовса был под подозрением, т.к. он в один из участков заголовка зашифрованного диска писал не зашифрованные нули, как линуксовская версия, а зашифрованное "нечто".
Но исследователи откомпилировали исходники заново, и получили идентичный результат...
=================
У меня только вопросик появился:
оказывается, версию TruCrypt'а для виндовса компилируют в микрософт-вижуал-си 2008. Не может ли быть такого, что микрософты не поленились, и их компилятор обрабатывает исходники именно трукрипта "особым" образом? ((-;
А могли! И не только с подачи АНБ, но и из своих денежных интересов – т.к. трукрипт позволяет прятать, в частности, установленные нелицезионные виндовсы, офисы и пр.
(Восьмёрку на GPT он пока не может шифровать – в следующей версии обещают, а так же зашифрованные CD и DVD!)