Bezpečnostný audit zdrojového kódu open source šifrovacieho softvéru TrueCrypt
Na základe poverenia Open Crypto Audit Project (OCAP) bol vykonaný vstupný (1. fáza) bezpečnostný audit zdrojového kódu populárneho open source šifrovacieho softvéru TrueCrypt. Bolo pri tom nájdených asi tucet zraniteľností, z ktorých ani jedna nemohla byť použiteľná ku vytvoreniu backdoor v TrueCrypt.
1. fáza sa zamerala hlavne na TrueCrypt bootloader a ovládače jadra systému Windows. Boli vykonané penetračné testy, vrátane fuzzing rozhrania. Audit pokračuje druhou fázou, v ktorej sa prieskum kódu zameria hlavne na formálnu krypto-analýzu: korektná implementácia rôznych sád šifrovacích algoritmov (šifier), generátorov náhodných čísel, kritických algoritmov kľúčov.
Verejná verzia 1. fázy auditu je tu.
Pozor však na to, že verzia TrueCrypt pod Windows nemôže byť skontrolovaná (napr. či neobsahuje backdoor-kód) aj preto, pretože je dostupná iba v binárnej forme, takže nie je možné urobiť takéto nezávisle porovnanie s originálnym zdrojovým kódom!
Pre pridávanie komentárov sa musíte prihlásiť.
Toto je problem s filozofiou proprietarneho softu akoje apple apps a OS Apple alebo firmware Kto moze 100% prehlasit ze vie co jeho proprietarny mobil s proprietarnou app skutocne robi alebo aku vlastne nadpracu robi jeho firmware ????
Hlavne preto moze byt a aj je apple app alebo windows app velmi zradna ....
Mám za to, že zdrojové kódy TrueCryptu jsou dostupny i pro platformu Windows? Readme.txt v nich popisuje požadavky pro úspěšný překlad na této platformě, takže analýze zdrojových kódů by snad nic bránit nemělo, nebo se pletu?
http://www.truecrypt.org/downloads2
Z důvodu nutnosti digitálního podpisu pro systémové soubory od určitých verzí Windows tak asi nelze docílit exaktní binární shodnosti (zájemce o překlad nedisponuje certifikáty autorů Truecryptu) s autory distribuovanými binárními soubory. Autoři sami upozorňují na možné rozdíly překladu vzniklými odlišností použitých verzí(update) vývojového prostředí.