forum.opennet.ru

Составление сообщения

Исходное сообщение

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено opennews, 18-Окт-13 21:01

Несколько исследователей безопасности выступили (http://blog.cryptographyengineering.com/2013/10/lets-audit-t...) с инициативой (http://istruecryptauditedyet.com/) проведения аудита Truecrypt (http://www.truecrypt.org/), популярного открытого приложения для шифрования дисковых разделов, число загрузок которого с сайта проекта превысило 28 млн. Несмотря на то, что используемые в программе методы шифрования явно не были скомпрометированы, а код программы открыт и доступен для аудита, некоторые из исследователей подозрительно относятся к данному приложению.

Во-первых, авторы приложения остаются анонимными, никто не знает кто действительно разрабатывает Truecrypt. Во-вторых, нет никаких гарантий, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений. Более того, выявлены факты, которые свидетельствуют о расхождении поведения сборки для Windows со сборкой для Linux и вариантом, собранным из исходных текстов. В частности, при использовании Windows-сборки последние 65024 байта заголовка шифрованного раздела заполняются шифрованными случайными значениями, в то время как в Linux-сборке данная область заполняется шифрованными нулями.

Не ясно, что именно скрывается за случайным набором данных и почему поведение разных сборок отличается. Недавние разоблачения (http://www.opennet.me/opennews/art.shtml?num=37846) деятельности АНБ по обеспечению доступа к шифрованным коммуникациям, подогрели интерес к подтверждению или опровержению безопасности Truecrypt. В качестве неподтверждённого домысла упоминается возможность сохранении в данной области ключей шифрования, дополнительно зашифрованных с использованием известного только создателям сборки ключа, или использование указанного блока в качестве кода для активации бэкдора.

В рамках инициативы (http://istruecryptauditedyet.com/) по проведению аудита Truecrypt планируется убедится в безопасности бинарных сборок программы, провести профессиональный анализ криптостойкости используемых методов и сформировать независимые эталонные сборки для Windows, OS X, Ubuntu, RHEL, CentOS, Debian и Fedora. Кроме того, планируется провести юридический анализ открытой лицензии TrueCrypt v3.0, некоторые спорные формулировки в которой помешали включению пакетов с TrueCrypt в состав дистрибутивов Ubuntu, Debian, RedHat, CentOS и Fedora. Для финансирования инициативы в рамках краудфандинга уже удалось собрать 36 тысяч долларов.
URL: http://threatpost.com/truecrypt-audit-could-answer-troubling...
Новость: http://www.opennet.me/opennews/art.shtml?num=38202

Исходное сообщение
"Инициатива по аудиту Truecrypt на предмет наличия бэкдора" Отправлено opennews, 18-Окт-13 21:01
Несколько исследователей безопасности выступили (http://blog.cryptographyengineering.com/2013/10/lets-audit-t...) с инициативой (http://istruecryptauditedyet.com/) проведения аудита Truecrypt (http://www.truecrypt.org/), популярного открытого приложения для шифрования дисковых разделов, число загрузок которого с сайта проекта превысило 28 млн. Несмотря на то, что используемые в программе методы шифрования явно не были скомпрометированы, а код программы открыт и доступен для аудита, некоторые из исследователей подозрительно относятся к данному приложению. Во-первых, авторы приложения остаются анонимными, никто не знает кто действительно разрабатывает Truecrypt. Во-вторых, нет никаких гарантий, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений. Более того, выявлены факты, которые свидетельствуют о расхождении поведения сборки для Windows со сборкой для Linux и вариантом, собранным из исходных текстов. В частности, при использовании Windows-сборки последние 65024 байта заголовка шифрованного раздела заполняются шифрованными случайными значениями, в то время как в Linux-сборке данная область заполняется шифрованными нулями. Не ясно, что именно скрывается за случайным набором данных и почему поведение разных сборок отличается. Недавние разоблачения (http://www.opennet.me/opennews/art.shtml?num=37846) деятельности АНБ по обеспечению доступа к шифрованным коммуникациям, подогрели интерес к подтверждению или опровержению безопасности Truecrypt. В качестве неподтверждённого домысла упоминается возможность сохранении в данной области ключей шифрования, дополнительно зашифрованных с использованием известного только создателям сборки ключа, или использование указанного блока в качестве кода для активации бэкдора. В рамках инициативы (http://istruecryptauditedyet.com/) по проведению аудита Truecrypt планируется убедится в безопасности бинарных сборок программы, провести профессиональный анализ криптостойкости используемых методов и сформировать независимые эталонные сборки для Windows, OS X, Ubuntu, RHEL, CentOS, Debian и Fedora. Кроме того, планируется провести юридический анализ открытой лицензии TrueCrypt v3.0, некоторые спорные формулировки в которой помешали включению пакетов с TrueCrypt в состав дистрибутивов Ubuntu, Debian, RedHat, CentOS и Fedora. Для финансирования инициативы в рамках краудфандинга уже удалось собрать 36 тысяч долларов. URL: http://threatpost.com/truecrypt-audit-could-answer-troubling... Новость: http://www.opennet.me/opennews/art.shtml?num=38202

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Несколько исследователей безопасности выступили (http://blog.cryptographyengineering.com/2013/10/lets-audit-truecrypt.html) 
> с инициативой (http://istruecryptauditedyet.com/) проведения аудита Truecrypt (http://www.truecrypt.org/), 
> популярного открытого приложения для шифрования дисковых разделов, число загрузок которого 
> с сайта проекта превысило 28 млн. Несмотря на то, что используемые 
> в программе методы шифрования явно не были скомпрометированы, а код программы 
> открыт и доступен для аудита, некоторые из исследователей подозрительно относятся к 
> данному приложению.

> Во-первых, авторы приложения остаются анонимными, никто не знает кто действительно разрабатывает 
> Truecrypt.  Во-вторых, нет никаких гарантий, что бинарные сборки, которые составляют 
> основную массу загрузок, не содержат закладок и собраны на основании публично 
> доступного исходного кода без внесения скрытых изменений. Более того, выявлены факты, 
> которые свидетельствуют о расхождении поведения сборки для Windows со сборкой для 
> Linux и вариантом, собранным из исходных текстов. В частности, при использовании 
> Windows-сборки последние 65024 байта заголовка шифрованного раздела заполняются шифрованными 
> случайными значениями, в то время как в Linux-сборке данная область заполняется 
> шифрованными нулями.

> Не ясно, что именно скрывается за случайным набором данных и почему поведение 
> разных сборок отличается. Недавние разоблачения (http://www.opennet.me/opennews/art.shtml?num=37846) 
> деятельности АНБ по обеспечению доступа к шифрованным коммуникациям, подогрели интерес 
> к подтверждению или опровержению безопасности Truecrypt. В качестве неподтверждённого 
> домысла упоминается возможность сохранении в данной области ключей шифрования, дополнительно 
> зашифрованных с использованием известного только создателям сборки ключа, или использование 
> указанного блока в качестве кода для активации бэкдора.

> В рамках инициативы (http://istruecryptauditedyet.com/) по проведению аудита Truecrypt 
> планируется убедится в безопасности бинарных сборок программы, провести профессиональный 
> анализ криптостойкости используемых методов и сформировать независимые эталонные сборки 
> для Windows, OS X, Ubuntu, RHEL, CentOS, Debian и Fedora. Кроме 
> того, планируется провести юридический анализ открытой лицензии TrueCrypt v3.0, некоторые 
> спорные формулировки в которой помешали включению пакетов с TrueCrypt в состав 
> дистрибутивов Ubuntu, Debian, RedHat, CentOS и Fedora. Для финансирования инициативы в 
> рамках краудфандинга уже удалось собрать 36 тысяч долларов.

> URL: http://threatpost.com/truecrypt-audit-could-answer-troubling-questions/102615 
 
> Новость: http://www.opennet.me/opennews/art.shtml?num=38202

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру