Немецкое Федеральное управление по информационной безопасности BSI (бывший криптографический отдел Федеральной разведслужбы Германии) опубликовало 88-страничный отчет с результатами полного аудита безопасности программы для шифрования разделов жесткого диска TrueCrypt. Проверка не выявила серьезных проблем, подтвердив надежность применяемых методов шифрования и отсутствие скрытых функций (закладок). Как известно, ранее проведенный проектом Open Crypto Audit Project независимый аудит также не обнаружил факторов, влияющих на безопасность тестируемого.

Что касается замечаний, сделанных экспертами OCAP и компании iSEC, то изучение имевшихся переполнений буфера показало, что эти уязвимости не проявляются во время выполнения и не могут быть эксплуатированы. Кроме того, в процессе анализа были выявлены ранее не замеченные проблемы с получением значений от генератора псевдослучайных чисел. Недостаток энтропии при инициализации генератора случайных чисел теоретически упрощает процесс подбора ключа шифрования, но данная проблема не затрагивает интерактивный режим генерации ключей, а в неинтерактивном режиме для ее проявления требуется наличие специфичных настроек доступа в Windows, что делает уязвимость неприменимой на практике.

В своем отчете немецкие криптографы пришли к выводу, что код и архитектуру TrueCrypt можно считать корректными, а выявленные ошибки - незначительными и легко устранимыми (в форке VeraCrypt они уже закрыты). Следует признать, что с учетом углубленного изучения кода и алгоритмов TrueCrypt, проведенного в разное время несколькими группами, шифратор заслуживает большего доверия, чем любой аналогичный продукт, обделенный пока вниманием экспертов по криптографии и IT-безопасности.

Дмитрий Евдокимов