По статистике с официального сайта, программа для работы с зашифрованными разделами и файлами TrueCrypt была скачана почти тридцать миллионов раз. Это один из самых, если не самый массовый криптографический инструмент, доступный простому смертному и в то же время обладающий богатыми и глубокими возможностями.
В следующем году TrueCrypt исполнится десять лет. Несмотря на столь солидный возраст, за всё это время так и не был проведён формальный независимый аудит кода программы. Как и во многих других проектах Open Source разработчики постоянно работают над новым функционалом и исправлением ошибок, но не находят времени, денег и возможностей для подобных мероприятий. У TrueCrypt есть и другие проблемы — не совсем ясная и понятная лицензия, нет официального репозитория кода на Гитхабе или другой подобной площадке, не формализован процесс компиляции и сборки, из-за чего нельзя гарантировать идентичность работы программы на разных платформах.
Всё это, а так же откровения Эдварда Сноудена о тотальной слежке и закладках АНБ в криптографическом софте, которые бросают тень в том числе и на TrueCrypt, вдохновило Кеннета Уайта, программиста и специалиста по биотехнологиям, и Мэтью Грина, профессора Университета Джона Хопкинса и криптолога, начать краудфандинговую кампанию, цель которой — провести полный аудит кода TrueCrypt, привести в порядок его лицензию, разработать и документировать стандартный алгоритм сборки бинарников на всех платформах и создать публичный репозиторий кода. Идею поддержала и команда разработчиков TrueCrypt.
Сбор средств ведётся на двух краудфандинговых площадках — FundFill и IndieGoGo, причем FundFill принимает не только платёжные карты, но и биткоины. На момент написания статьи на обеих площадках было собрано 62 953 доллара. Кроме того, создан сайт проекта с подробным описанием целей, методов аудита и текущими новостями кампании.
Предварительный план приведения TrueCrypt в порядок состоит из четырёх пунктов:
- Пересмотр лицензии. TrueCrypt публикуется под старой, нестандартной и, возможно не совсем свободной и открытой лицензией. Профессиональные юристы проанализируют и отредактируют её.
- Стандартизация бинарников. Большинство пользователей скачивают TrueCrypt в скомпилированном виде. Необходимо разработать стандартную процедуру сборки на всех платформах, которая гарантирует корректную работу TrueCrypt в любом окружении, подобную той, которую использует Tor.
- Премии за найденные баги. Если будет собрано достаточно средств, будет создан фонд, из которого будут выплачиваться вознаграждения за найденные уязвимости.
- Профессиональный аудит. Весь код будет исследован специалистами одной из авторитетных компаний, имеющих опыт в аудите безопасности криптографического ПО.
TrueCrypt содержит больше 70 000 строк кода на Ассемблере, С и C++. Кампания на IndieGoGo завершается 13 декабря. Если всё пойдёт по плану, аудит кода будет окончен в феврале следующего года.
Автор: ilya42