Pull to refresh

Сообщество собрало больше 60 000 долларов на открытый независимый аудит TrueCrypt

CryptographyOpen source
По статистике с официального сайта, программа для работы с зашифрованными разделами и файлами TrueCrypt была скачана почти тридцать миллионов раз. Это один из самых, если не самый массовый криптографический инструмент, доступный простому смертному и в то же время обладающий богатыми и глубокими возможностями.

В следующем году TrueCrypt исполнится десять лет. Несмотря на столь солидный возраст, за всё это время так и не был проведён формальный независимый аудит кода программы. Как и во многих других проектах Open Source разработчики постоянно работают над новым функционалом и исправлением ошибок, но не находят времени, денег и возможностей для подобных мероприятий. У TrueCrypt есть и другие проблемы — не совсем ясная и понятная лицензия, нет официального репозитория кода на Гитхабе или другой подобной площадке, не формализован процесс компиляции и сборки, из-за чего нельзя гарантировать идентичность работы программы на разных платформах.

Всё это, а так же откровения Эдварда Сноудена о тотальной слежке и закладках АНБ в криптографическом софте, которые бросают тень в том числе и на TrueCrypt, вдохновило Кеннета Уайта, программиста и специалиста по биотехнологиям, и Мэтью Грина, профессора Университета Джонса Хопкинса и криптолога, начать краудфандинговую кампанию, цель которой — провести полный аудит кода TrueCrypt, привести в порядок его лицензию, разработать и документировать стандартный алгоритм сборки бинарников на всех платформах и создать публичный репозиторий кода. Идею поддержала и команда разработчиков TrueCrypt.

Сбор средств ведётся на двух краудфандинговых площадках — FundFill и IndieGoGo, причем FundFill принимает не только платёжные карты, но и биткоины. На момент написания статьи на обеих площадках было собрано 62 953 доллара. Кроме того, создан сайт проекта с подробным описанием целей, методов аудита и текущими новостями кампании.

Предварительный план приведения TrueCrypt в порядок состоит из четырёх пунктов:

  1. Пересмотр лицензии. TrueCrypt публикуется под старой, нестандартной и, возможно не совсем свободной и открытой лицензией. Профессиональные юристы проанализируют и отредактируют её.
  2. Стандартизация бинарников. Большинство пользователей скачивают TrueCrypt в скомпилированном виде. Необходимо разработать стандартную процедуру сборки на всех платформах, которая гарантирует корректную работу TrueCrypt в любом окружении, подобную той, которую использует Tor.
  3. Премии за найденные баги. Если будет собрано достаточно средств, будет создан фонд, из которого будут выплачиваться вознаграждения за найденные уязвимости.
  4. Профессиональный аудит. Весь код будет исследован специалистами одной из авторитетных компаний, имеющих опыт в аудите безопасности криптографического ПО.

TrueCrypt содержит больше 70 000 строк кода на Ассемблере, С и C++. Кампания на IndieGoGo завершается 13 декабря. Если всё пойдёт по плану, аудит кода будет окончен в феврале следующего года.

Tags:truecrypt#IsTrueCryptAuditedYetкриптоанализаудит кода
Hubs: Cryptography Open source
Total votes 116: ↑115 and ↓1 +114
Views42K

Comments 36

Only those users with full accounts are able to leave comments. Log in, please.
Technical Lead, Open Source
from 8,000 $Cube.jsRemote job
Системный инженер (аудит ПО)
from 40,000 to 70,000 ₽ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫВолгоградRemote job
React professional
from 200,000 ₽SDTRemote job
Программист 1С
from 70,000 to 120,000 ₽Сима-лендRemote job
Python/Django разработчик
from 150,000 ₽BazarakiRemote job