TrueCrypt-code doorstaat audit

Na de onthullingen van de pogingen van de NSA (National Security Agency) om encryptiesoftware te ondermijnen, werd ook heel wat open source software met argusogen bekeken. Beveiligingsonderzoekers Kenn White en Matthew Green startten daarom vorig jaar een project om de code van TrueCrypt te auditen.

De reden is eenvoudig: er bestaat niet veel kwalitatieve én gebruiksvriendelijke software om je bestanden te versleutelen, maar TrueCrypt is een welkome uitzondering. Zelfs voor wie helemaal niet technisch aangelegd is, is TrueCrypt echt eenvoudig te gebruiken. Bovendien bestaat het niet alleen voor Linux, maar ook voor Windows en Mac OS X.

 

Ondertussen heeft het project een eerste fase van de audit afgerond. De resultaten zijn bemoedigend: er zijn geen backdoors gevonden en ook geen kennelijk opzettelijk kwaadaardige code, al is de code wel wat slordig. Beveiligingsingenieurs Andreas Junestam en Nicolas Guigo legden de broncode van TrueCrypt onder de loep en ontdekten 11 kwetsbaarheden. Geen van die kwetsbaarheden zijn ernstig genoeg om TrueCrypt te vermijden, concluderen ze. De kritiek die ze hebben, gaat vooral over de kwaliteit van de code. Zo hebben de ontwikkelaars te weinig commentaar in de code staan, gebruiken ze onveilige of verouderde systeemfuncties, hebben heel wat variabelen inconsistente datatypes en zijn heel wat functies te lang. Een ander probleem is dat om de Windows-versie te compileren een verouderde build-omgeving vereist is. In een tweede fase volgt nog een rapport met een gedetailleerde analyse van de encryptie die TrueCrypt gebruikt. White en Green hebben overigens het Open Crypto Audit Project opgericht met de bedoeling om van nog meer opensourcesoftware de beveiliging onder de loep te leggen.

 

http://istruecryptauditedyet.com/

http://opencryptoaudit.org/

NEDLINUX FORUM

Het nederlandse linuxforum
Voor beginners en pro’s

 

 

 

 

E-mailadres



 

 

Nieuwste editie:

Linuxmag op Facebook

@linuxmagnl op Twitter

linuxmagNL Als je een tijdje met een computer werkt, dan wordt jouw downloaddirectory vanzelf een vuilnishoop waar je niet zo… https://t.co/B8ygGxybvE
linuxmagNL Ondanks dat 95 % van de datacentra op onze planeet op VMware gevirtualiseerd lijkt te zijn, is Linux ook een zeer g… https://t.co/thSrQInhIK
linuxmagNL Nog geen nieuwe Raspberry Pi, wel een nieuwe Raspbian! Raspbian Jessie is opgevolgd door een ander Disney figuur ui… https://t.co/FAQEJTPbZG