id: Гость   вход   регистрация
текущее время 03:36 17/12/2017
Владелец: SATtva (создано 03/04/2015 11:28), редакция от 03/04/2015 11:28 (автор: SATtva) Печать
Категории: софт, инфобезопасность, защита дисков, truecrypt, ошибки и баги, уязвимости, исходные тексты
http://www.pgpru.com/Новости/2015/ОпубликованОкончательныйОтчётПоРезультатамАудитаTrueCrypt
создать
просмотр
редакции
ссылки

03.04 // Опубликован окончательный отчёт по результатам аудита TrueCrypt


Проект Open Crypto Audit представил отчёт по результатам проведённого аудита кода TrueCrypt. Вкратце, результаты следующие.


Аудит не выявил каких-либо критических уязвимостей в приложении и криптографической реализации либо бэкдоров в них. В то же время, в отчёте отмечен ряд допущенных разработчиками отступлений от общепринятых подходов в реализации приложений подобного типа, которые в определённых редких случаях способны привести к опасным последствиям.


В частности, реализованный в Windows-версии TrueCrypt генератор случайных чисел одним из источников энтропии использует ГПСЧ Windows Crypto API, который в некоторых ситуациях может не инициализироваться должным образом. Код TrueCrypt в этом случае вместо генерации исключения молча игнорирует такое событие и продолжает генерировать ключи. Тем не менее, программа использует и альтернативные источники энтропии (такие как движения мыши и нажатия на клавиши), что должно в большинстве случаев сгладить опасность ситуации, однако, с точки зрения реализации, этот нюанс весьма иллюстративен. Помимо этого у авторов отчёта есть сомнения в надёжности защиты реализации AES от cache timing attacks, однако противник сможет эксплуатировать эти недостатки только если приложение исполняется в недоверенном окружении.


Источник: http://blog.cryptographyengine.....ruecrypt-report.html


 
Много комментариев (47) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3