Наш блог
Ответы на ваши вопросы
Ответы на ваши вопросы

Анализ двоичного кода TrueCrypt

TrueCrypt является самым популярным мультиплатформенным ПО для шифрования данных с открытым исходным кодом, полувишим очень широкое признание и обладающим множеством функций для множества мыслимых и немыслимых сценариев. Проблема состоит в том, что это ПО никогда не было тщательно проверено и, следовательно, неизвестно, содержит ли оно закладки или недостатки криптоалгоритмов.

С тех пор, как Эдвард Сноуден показал всю мощь АНБ и их влияние на ландшафт криптографического программного обеспечения, сообщества начали сомневаться в доверии к TrueCrypt, особенно потому, что оказалась даже достаточно трудным собрать программное обеспечение из прилагаемого исходного кода.

Новая инициатива, получившая название "IsTrueCryptAuditedYet?" образовалась недавно с целью аудита TrueCrypt и доказательства его надежности или ненадежности.

Для начала, многие уважаемые источники сообщали, что они никогда не были в состоянии получить действительные двоичные файлы из исходного кода, предоставляемого на сайте проекта. Но 21 октября, студент Института информационных инженерных систем Конкордия, Ксавье де Карне опубликовал обстоятельную статью о своем опыты компиляции TrueCrypt. Эта работа не только обладает адемическим качеством, но и доказывает, что двоичные файлы на сайте TrueCrypt являются действительно подлинными и не содержат больше кода, чем в исходных текстах.

Вопрос заслуживают ли доверия сами алгоритмы TrueCrypt выходил за рамки данного исследования. Эту задачу должен решить проект "IsTrueCryptAuditedYet?".

Из источника:

Given this analysis, we can conclude that I compiled TrueCrypt from the official sources and matched the official binaries, and everyone who is able to gather the prerequisites for compiling TrueCrypt the same way as I did, is able to prove the same thing.

Before reaching this interesting result though, I was suspicious like many other people. I first compiled TrueCrypt with Visual Studio 2010 SP1 with all updates, and I got significantly different binaries, whose disassembled versions also differed a lot. I then switched to Visual Studio 2008 SP1 with all updates, but I got again significant changes, although less than compared to the build from VS2010. I had to be careful at reproducing the environment of the developers as close as possible, which made me reinstall VS2008 with SP1 but only with the post-SP1 updates released before TrueCrypt 7.1a was released. This means I omitted one available update. Only then, I could achieve an identical build and prove to myself that TrueCrypt is not backdoored by the developers in a way that is not visible from the sources. People should not take this conclusion for granted and are encouraged to reproduce this result by themselves.

Роман Кузнецов @ 29.10.2013

Другие статьи

.