03.04 // Опубликован окончательный отчёт по результатам аудита TrueCrypt
Проект Open Crypto Audit[link1] представил отчёт[link2] по результатам проведённого аудита кода TrueCrypt. Вкратце, результаты следующие.
Аудит не выявил каких-либо критических уязвимостей в приложении и криптографической реализации либо бэкдоров в них. В то же время, в отчёте отмечен ряд допущенных разработчиками отступлений от общепринятых подходов в реализации приложений подобного типа, которые в определённых редких случаях способны привести к опасным последствиям.
В частности, реализованный в Windows-версии TrueCrypt генератор случайных чисел одним из источников энтропии использует ГПСЧ Windows Crypto API, который в некоторых ситуациях может не инициализироваться должным образом. Код TrueCrypt в этом случае вместо генерации исключения молча игнорирует такое событие и продолжает генерировать ключи. Тем не менее, программа использует и альтернативные источники энтропии (такие как движения мыши и нажатия на клавиши), что должно в большинстве случаев сгладить опасность ситуации, однако, с точки зрения реализации, этот нюанс весьма иллюстративен. Помимо этого у авторов отчёта есть сомнения в надёжности защиты реализации AES от cache timing attacks, однако противник сможет эксплуатировать эти недостатки только если приложение исполняется в недоверенном окружении.
Источник: http://blog.cryptographyengine.....ruecrypt-report.html[link3]
[link2] https://opencryptoaudit.org/reports/TrueCrypt_Phase_II_NCC_OCAP_final.pdfокончательный
[link3] http://blog.cryptographyengineering.com/2015/04/truecrypt-report.html