Revizija TrueCrypta gre dalje

Matej Huš

30. maj 2014 ob 21:22:45

Čeprav se je razvoj TrueCrypta končal na sila čuden način, je program še daleč od mrtvega kosa kode. Medtem ko se je razvijalska ekipa iz neznanih razlogov odločila opustiti svoje delo, projekt temeljitega varnostnega pregleda kode (security audit) še vedno teče.

Projekt Open Crypto Audit, ki je že lani začel pregledovati njegovo kodo, se nadaljuje. Za financiranje tega početja so nameravali zbrati 25.000 dolarjev, pa so do danes nabrali že več kot 70.000 dolarjev, kar je več kot dovolj za pregled kode. Kenn White, ki vodi organizacijo pregleda, je povedal, da se pregled nadaljuje ne glede na razvoj dogodkov.

Spomnimo, da je prva faza pregleda že končana. Pri analizi kode so namreč ugotovili, da razen nekaj površnosti resnih napak, hroščev ali očitnih stranskih vrat v njej ni. Že pred tem so bili pokazali, da je prevedena verzija enaka izvorni kodi, ki je prosto objavljena. Sedaj pa teče drugi del pregleda, ki je natančnejši. Ranljivosti je namreč mogoče pretihotapiti v algoritme za tvorjenje naključnih števil (primer Dual EC DRBG) in podobno. TrueCrypt namreč vsebuje zajetno količino matematičnih komponent, od algoritmov za tvorjenje psevdonaključnih števil, šifrirnih algoritmov itd. Pregled bo v drugi fazi pokazal, ali so mogoče pri implementaciji matematičnih metod kakšna namerna zmanjšanja entropije, ki bi jih lahko NSA ali kdo drug izrabil za nasilen odklep podatkov, ali kakšna druga skrivna stranska vrata.

Glede na ustavitev razvoja TrueCrypta, se bo varnostni pregled nanašal na zadnjo stabilno verzijo 7.1. Četudi bodo pokazali, da je TrueCrypt varen, pa ostaja prihodnost programa vprašljiva. Razvijalska ekipa je namreč povedala, da ga ne bodo več podpirali, ker da obstaja dovolj konkurenčnih rešitev (LUKS, BitLocker, FileVault, PEFS ...). Prav mogoče pa je, da se bo zgodila razvejitev (fork) v nov projekt.