r   e   k   l   a   m   a
r   e   k   l   a   m   a

TrueCrypt wyszedł obronną ręką z pierwszej fazy swojego audytu

Strona główna AktualnościOPROGRAMOWANIE

Użytkownicy TrueCrypta mogą odetchnąć z ulgą. Zainicjowany przez społeczność audyt kodu źródłowego najpopularniejszego narzędzia do szyfrowania dysków przyniósł już pierwsze wyniki. Znaleziono w nim pewne podatności, ale nic, co wyglądałoby na furtkę wprowadzoną do narzędzia przez instytucje pokroju NSA.

Przypomnijmy – w świetle rewelacji ujawnionych przez Edwarda Snowdena o instalowaniu przez NSA furtek w oprogramowaniu kryptograficznym, a jeśli to niemożliwe, to chociażby celowego osłabiania stosowanych w nich algorytmów, kwestia bezpieczeństwa TrueCrypta stała się kwestią palącą. Matthew Green, matematyk z John Hopkins University, zaproponował przeprowadzenie profesjonalnego audytu kodu tego narzędzia. Audyt taki oczywiście kosztuje, i to niemało. Zbiórka ruszyła w serwisach IndieGoGo i FundFill. W pierwszym z nich udało się w ten sposób pozyskać ponad 46 tys. dolarów (przy celu 25 tys. dolarów), w drugim ponad 16 tys. dolarów i niemal 34 bitcoiny.

Jednocześnie powołano projekt o nazwie OCAP (Open Crypt Audit Project), na czele którego, oprócz Greena weszły tak znane osobistości z branży bezpieczeństwa, jak Bruce Schneier, Moxie Marlinspike i Kenneth Wihite. Wybrali oni do przeprowadzenia audytu firmę iSEC Partners. W pierwszej fazie projektu eksperci z iSEC zajęli się fuzzingiem (automatycznym wprowadzeniu do programu niepoprawnych danych, w oczekiwaniu na jego awarię), a także analizą kodu sterownika dla jądra Windows, sterownika systemu plików i bootloadera.

r   e   k   l   a   m   a

W wyniku badania zlokalizowano 11 podatności, z których cztery uznano za średnio groźne. Na pierwszym miejscu umieszczono problem ze słabym algorytmem wyprowadzania klucza dla nagłówka wolumenu, pozostałe luki to możliwość wydobycia wrażliwych informacji ze stosów jądra, problemy z dekompresją bootladera i wykorzystywanie przez sterownik Windows funkcji memset() do kasowania wrażliwych danych, która w niektórych wypadkach może być zoptymalizowana przez kompilator. Badacze podkreślają jednak, że stworzenie exploitów dla tych podatności jest bardzo trudne, wymaga posiadania uprzywilejowanego dostępu do systemu i znajomości innych luk, by przeprowadzić udany atak. Przedstawili też krótko- i długoterminowe rozwiązania, dzięki którym odkryte podatności mogą zostać wyeliminowane z kolejnych wersji TrueCrypta.

Co najważniejsze jednak, nie wykazano obecności jakichkolwiek furtek czy celowo wprowadzonych do narzędzia błędów. To kwestia szczególnie paląca dzisiaj, w świetle niezwykle groźnej luki Heartbleed, odkrytej w bibliotece OpenSSL, której pojawienie się w kodzie wciąż wywołuje wiele wątpliwości, czy był to tylko zwykły błąd programisty.

Teraz czas na drugą fazę audytu. W jej trakcie badacze przyjrzą się samym kryptosystemom wykorzystywanym przez TrueCrypta – generatorom liczb losowych, używanym szyfrom i algorytmom. Równolegle toczyć się mają prace nad analizą licencji towarzyszącej narzędziu. Choć True Crypt jest oprogramowaniem o otwartym kodzie źródłowym, jego licencja jest dość osobliwa, nie wiadomo, czy jest kompatybilna z wolnym oprogramowaniem. Uniemożliwia to rozprowadzanie TrueCrypta wraz z linuksowymi dystrybucjami, które dziś w celu szyfrowania dysków wykorzystują przede wszystkim projekt LUKS/dm-crypt.

Warto wspomnieć, że jesienią zeszłego roku udało się w całkiem przekonujący sposób wykazać, że w pliku truecrypt.exe nie ma furtek wprowadzonych bezpośrednio do pliku wynikowego. Kolejny istotny wynik w tej kwestii może tylko wzmocnić zaufanie użytkowników, tym bardziej, że większość konkurencyjnych narzędzi do szyfrowania dysków na Windows, takich jak SafeGuard Sophosa, Bitlocker Microsoftu czy SecureDoc od WinMagic, to rozwiązania zamknięte, których nikt z zewnątrz dogłębnie nie badał.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.