TrueCryptova izvorna koda ustreza prevedeni

Matej Huš

29. okt 2013 ob 11:58:31

Od programske opreme, katere izvorna koda je javno objavljena, nekako ne pričakujemo presenečenj. Glede na to, da lahko kodo pregleda vsakdo, je vanjo praktično nemogoče vtihotapiti stranska vrata, ki bi jih napadalci lahko izrabili. Znan primer je napad na Linux leta 2003, ko so neznanci v kodo neuspešno poizkusili vstaviti stranska vrata za eskalacijo privilegijo, a je analiza kode še pred njeno vključitvijo v uradne repozitorije seveda to odkrila. A ena pomembna ranljivost ostaja - ob izvorni kodi je navadno objavljena tudi prevedena koda, ki jo ljudje dejansko snamejo in namestijo. Pa sta ti dve identični?

TrueCrypt sodi med posebej občutljive programe, saj je namenjen zaščiti datotek s šifriranjem, zato v njem ne sme biti lukenj. V času, ko nas z vseh strani bombardirajo z novicami o prisluškovanju vladnih agencij, je to še posebej vroča tema. Zato so v Kanadi na eni izmed univerz preverili, ali je prevedena koda TrueCrypta na uradni spletni strani resnično nastala iz objavljene izvorne kode. Odgovor je - da.

Nemogoče je pričakovati, da bo doma prevedena datoteka imela enako kontrolno vsoto (checksum) kot uradna, saj nekaterih stvari ne moremo poustvariti. Sem sodijo ključi za podpisovanje, pa tudi ura prevajanja je različna. A če poskrbimo, da imamo naložene povsem enake verzije prevajalnikov in drugih orodij z istimi popravki, ki so bili na voljo ob pripravi uradne verzije, je rezultat pomirjujoč. Objavljene verzije programa so dejansko identične izvorni kodi. Ali je izvorna koda dejansko brez lukenj, pa je drugo vprašanje, s katerim se ukvarjajo v projektu IsTrueCryptAuditedYet?

Tisti najbolj paranoični se seveda ob tem vprašate, ali je to dovolj. To je dovolj, če zaupate prevajalniku. Glede na zadnje afere v NSA, to ni tako neumno vprašanje. A kar se razvijalcev TrueCrypta tiče, je strah odveč, saj so svoje delo opravili korektno.