Acesso de alto desempenho para armazenamento de arquivos
A primeira fase da auditoria financiados por multidão de TrueCrypt apareceu várias vulnerabilidades, mas nada particularmente errado e certamente nada que se pareça com um backdoor.
iSEC Partners, que foi contratada para realizar a auditoria do Projeto de Auditoria Abrir Crypto (OCAP), encontrou 11 vulnerabilidades no disco cheio e código-fonte do software de criptografia de arquivos, mas sem problemas "de alta gravidade". Os maiores problemas identificados foram quatro falhas de média gravidade, como detalhado em um relatório de 32 páginas sobre a auditoria [ PDF ].
Especialistas de análise de código realizou testes de difusão, bem como olhar para o Windows kernel do código fonte do driver do TrueCrypt, bootloader do aplicativo e seu driver de sistema de arquivos. iSEC encontrou várias deficiências e vulnerabilidades do kernel comuns, mas nenhum que continha "vetores de exploração imediatas". Os especialistas em segurança descobriram nenhuma evidência de backdoors ou falhas intencionais .
A próxima fase da auditoria vai colocar a tecnologia de criptografia subjacente TrueCrypt sob o microscópio. Os geradores de números aleatórios, pacotes de criptografia e algoritmos que sustentam sua criptografia serão todos dado o once-over.
O estudo foi realizado após OCAP começou uma campanha popular para arrecadar dinheiro para responder a perguntas fundamentais sobre o software de criptografia-fonte disponível. O objetivo organização era para executar uma análise pública do código, mas ele também espera resolver o status da licença do TrueCrypt, bem como produzir repetitivo, determinista constrói a tecnologia que os usuários podem confiar.
Conselho técnico da OCAP inclui os criptógrafos observou Bruce Schneier e Moxie Marlinspike. Seus diretores incluem Matthew Green, professor de ciência da computação na Universidade Johns Hopkins, e Kenneth White, um especialista em segurança de nuvem e engenheiro.
TrueCrypt é um utilitário popular que codifica e decodifica campanhas inteiras, partições ou arquivos dentro de um disco virtual. O software também pode ser utilizada para ocultar os volumes de dados nos discos.
Preocupações sobre TrueCrypt surgiram por causa da controvérsia sobre o trabalho da NSA com fornecedores de tecnologia de hardware e software em sistemas de criptografia e seus componentes subjacentes. Estes aumentou ainda mais depois de revelações sobre os esforços da agência para enfraquecer tal criptografia vazaram por desonestos sysadmin NSA Edward Snowden.
Um esforço de angariação de fundos para pagar por uma auditoria de segurança independente, profissional de TrueCrypt novembro do ano passado levantou os fundos necessários nos próximos dias.
Mais detalhes do projecto de auditoria TrueCrypt pode ser encontrada na ? IsTrueCryptAuditedYet site. ®
Nenhum comentário:
Postar um comentário