Популярную программу Truecrypt, с отрытым исходным кодом, которая предназначена для шифрования дисковых разделов Truecrypt хотят проверить на возможный бэкдор в его исходном коде.
С таким предложением выступила Is TrueCrypt Audited Yet? группа независимых аудиторов безопасности, которая уже смогла собрать более $36 тысяч пожертвований. Проект организовали Kenneth White и Matthew Green.
Эксперты отмечают, что несмотря на то, что в используемых в программе методах шифрования отсутствуют признаки компрометации, а также на то, что Truecrypt является OpenSource проектом, многие эксперты относятся к нему с подозрением.
В первую очередь экспертов смущает анонимность разработчика программы и, соответственно, они предполагают, что бинарные сборки могут содержать скрытые изменения (бэкдор).
Эксперты также выяснили, что бинарные сборки для различных ОС ведут себя по разному. Так, например при работе с Linux-версией в конце заголовка шифрованного раздела размещаются случайные шифрованные нули, а в Windows - шифрованные значения.
Кроме аудита безопасности авторы инициативы хотят провести юридический анализ лицензионного соглашения TrueCrypt v3.0, из-за особенностей которого программу не получилось добавить в состав таких Linux дистрибутивов как RedHat, Ubuntu, CentOS, Debian и Fedora.
