Pregled kode TrueCrypta za zdaj ni našel stranskih vrat
Matej Huš
16. apr 2014 ob 01:25:54
Živimo v časih, ko sta prisluškovanje in prestrezanje informacija postali nekaj vsakdanjega, varnostne ranljivosti v programski opremi pa se kar množijo. Zaupati je postalo sila nevarno, zato že dlje časa poteka pregled kode popularnega programa za šifriranje TrueCrypt. Prva faza pregleda ni odkrila resnejših varnostnih lukenj ali stranskih vrat, a kar precej manjših nedoslednosti in ranljivosti.
Kot so pokazali nedavni primeri v GnuTLS in OpenSSL odprta koda ne pomeni nič varnejše programske opreme, če kode nihče temeljito ne pregleda. Pretekli mesec smo pisali o dokazu, da objavljena koda programa TrueCrypt ustreza prevedeni različici, a je bilo treba pogledati še kodo. Projekt teče že nekaj mesecev in sedaj je končana prva faza.
Poročilo, ki so ga objavili, nas navdaja z zaupanjem. Pri analizi niso našli nobene kritične ranljivosti, štiri ranljivosti srednje pomembnosti, štiri manj nevarne ranljivosti in tri nepomembne (informational) ranljivosti. Koda, ki sestavlja bootloader in jedrni gonilnik za Windows, sicer ni najlepše napisana in ne dosega standardov varne kode. To pomeni, da nima zadosti komentarjev, da uporablja zastarele funkcije, da nekonsistentno meša tipe spremenljivk itd. Niso pa v kodi našli nobenih dokazov, da bi imela kakršnakoli stranska vrata, vse ranljivosti pa so nehotene in bodo odpravljene. Ekipa iSEC, ki je pregled izvajala, priporoča posodobitev kode za okolje Windows in dvig standarda pisanja kode v projektu TrueCrypt, da jo bo lažje pregledovati, razhroščevati in dopolnjevati.
V drugem delu projekta, ki še ni končan, bodo preverjali implementacijo šifer, generatorjev naključnih števil in šifriranih algoritmov.