Сообщество собрало больше 60 000 долларов на открытый независимый аудит TrueCrypt

По статистике с официального сайта, программа для работы с зашифрованными разделами и файлами TrueCrypt ^[1] была скачана почти тридцать миллионов раз. Это один из самых, если не самый массовый криптографический инструмент, доступный простому смертному и в то же время обладающий богатыми и глубокими возможностями.

В следующем году TrueCrypt исполнится десять лет. Несмотря на столь солидный возраст, за всё это время так и не был проведён формальный независимый аудит кода программы. Как и во многих других проектах Open Source разработчики постоянно работают над новым функционалом и исправлением ошибок, но не находят времени, денег и возможностей для подобных мероприятий. У TrueCrypt есть и другие проблемы — не совсем ясная и понятная лицензия, нет официального репозитория кода на Гитхабе или другой подобной площадке, не формализован процесс компиляции и сборки, из-за чего нельзя гарантировать идентичность работы программы на разных платформах.

Всё это, а так же откровения Эдварда Сноудена о тотальной слежке и закладках АНБ в криптографическом софте, которые бросают тень в том числе и на TrueCrypt, вдохновило Кеннета Уайта, программиста и специалиста по биотехнологиям, и Мэтью Грина, профессора Университета Джона Хопкинса и криптолога, начать краудфандинговую кампанию, цель которой — провести полный аудит кода TrueCrypt, привести в порядок его лицензию, разработать и документировать стандартный алгоритм сборки бинарников на всех платформах и создать публичный репозиторий кода. Идею поддержала и команда разработчиков TrueCrypt.

Сбор средств ведётся на двух краудфандинговых площадках — FundFill ^[2] и IndieGoGo ^[3], причем FundFill принимает не только платёжные карты, но и биткоины. На момент написания статьи на обеих площадках было собрано 62 953 доллара. Кроме того, создан сайт проекта ^[4] с подробным описанием целей, методов аудита и текущими новостями кампании.

Предварительный план приведения TrueCrypt в порядок состоит из четырёх пунктов:

1. Пересмотр лицензии. TrueCrypt публикуется под старой, нестандартной и, возможно не совсем свободной и открытой лицензией. Профессиональные юристы проанализируют и отредактируют её.
2. Стандартизация бинарников. Большинство пользователей скачивают TrueCrypt в скомпилированном виде. Необходимо разработать стандартную процедуру сборки на всех платформах, которая гарантирует корректную работу TrueCrypt в любом окружении, подобную той, которую использует Tor ^[5].
3. Премии за найденные баги. Если будет собрано достаточно средств, будет создан фонд, из которого будут выплачиваться вознаграждения за найденные уязвимости.
4. Профессиональный аудит. Весь код будет исследован специалистами одной из авторитетных компаний, имеющих опыт в аудите безопасности криптографического ПО.

TrueCrypt содержит больше 70 000 строк кода на Ассемблере, С и C++. Кампания на IndieGoGo завершается 13 декабря. Если всё пойдёт по плану, аудит кода будет окончен в феврале следующего года.

Автор: ilya42

Источник ^[6]