Стартовал первый краудфандинговый проект по аудиту кода TrueCrypt
На протяжении примерно десяти лет программа шифрования «на лету» — TrueCrypt — остается практически единственным широко доступным, мультиплатформенным и свободным инструментом с безупречной репутацией, позволяющим шифровать на компьютерах информацию практически всеми популярными алгоритмами шифрования. Уверен, если вам небезразлична безопасность личных данных, и если вы давно с вычислительной техникой «на ты», вы хоть раз да пользовались программой TrueCrypt.
Однако с TrueCrypt есть одна не особо афишируемая проблема: у программы нет одного автора или компании-разработчика, также никто и никогда не проводил полный аудит кода приложения на предмет всяческих закладок и бэкдоров. По крайней мере, до сегодняшнего дня.
В прошлом месяце несколько авторитетных криптографов обсудили проблемы современных утилит защиты информации и попытались найти аналоги TrueCrypt. Бурное обсуждение специалистов вылилось в поддерживаемую всеми идею — провести полноценную проверку всего кода программы на предмет всяческих недокументированных функций вроде закладок и бекдоров, которые могут ослабить либо нивелировать криптостойкость шифрованных контейнеров с информацией.
Был запущен проект коллективного финансирования, который обеспечил бы специалистов материальной компенсацией за потраченное на аудит кода время. К сегодняшнему дню сообщество собрало более 16 000 $. Интересно, что наибольший по размерам вклад — 10 000 $ — внесла некая фирма из Атланты, специализирующаяся на информационной безопасности.
“Мы почти собрали требуемую сумму для серьезного аудита кода", пишет Мэттью Грин, известный профессор криптографии из университета Джона Хопкинса. Сколько именно осталось собрать Грин сообщит уже на этой неделе. (Стоит отметить, что на данный момент на сервисе Indiegogo размещен проект The TrueCrypt Audit, собравший на момент написания статьи 15 170 из 25 000 $).
Мэттью Грин — один из ведущих специалистов проекта, он помог организовать сбор средств и создать сайт istruecryptauditedyet.com. Вот что пишет профессор о проблеме с TrueCrypt в своем блоге:
«Если вы еще вдруг не заметили, то на рынке высококачественного и широко доступного программного обеспечения, позволяющего шифровать информацию, большой дефицит. TrueCrypt — это большое отклонение от этого тренда. Программа прекрасная и замечательная. И очень полезная. Мои друзья-юристы, не связанные с миром техники, используют ее время от времени, это — лучший комплимент для подобного рода программных проектов.
TrueCrypt — крайне важная программа! Множество людей активно используют ее для хранения важной конфиденциальной информации. Она помогает безопасно хранить корпоративные секреты и личную персональную информацию. Даже Брюс Шнейер (знаменитый американский криптограф и специалист в области компьютерной безопасности, автор нескольких книг-бестселлеров о криптографии, прим. GB) использует ее для хранения своих данных после обзора, написанного по мотивам утекших документов АНБ. И мы должны быть на сто процентов уверенными в безопасности ПО такого уровня» — пишет Грин.
TrueCrypt «выросла» из проекта Encryption for the Masses (E4M, «шифрование для всех»), релиз которого состоялся в 1997 году. Всего через три года автор программы для шифрования «на лету», Пол ле Ру, покинул проект с открытым исходным кодом и занялся другими разработками. Инициативу подхватило сообщество разработчиков открытого ПО и выпустило первую версию утилиты TrueCrypt в феврале 2004 года.
Вокруг программы было несколько интересных случаев, когда американские гособвинители не могли получить доступ к зашифрованным данным подозреваемых. Попытки расшифровать эти данные без пароля (даже при наличии очень серьезных вычислительных мощностей) не приводили к каким-либо результатам. Тем временем подозреваемые отказывались расшифровывать свои данные и пользовались пятой поправкой американской конституции, избавляющей от принуждения к расшифровке информации (свидетельствованию против себя).