TrueCrypt-code doorstaat audit

Na de onthullingen van de pogingen van de NSA (National Security Agency) om encryptiesoftware te ondermijnen, werd ook heel wat open source software met argusogen bekeken. Beveiligingsonderzoekers Kenn White en Matthew Green startten daarom vorig jaar een project om de code van TrueCrypt te auditen.

De reden is eenvoudig: er bestaat niet veel kwalitatieve én gebruiksvriendelijke software om je bestanden te versleutelen, maar TrueCrypt is een welkome uitzondering. Zelfs voor wie helemaal niet technisch aangelegd is, is TrueCrypt echt eenvoudig te gebruiken. Bovendien bestaat het niet alleen voor Linux, maar ook voor Windows en Mac OS X.

Ondertussen heeft het project een eerste fase van de audit afgerond. De resultaten zijn bemoedigend: er zijn geen backdoors gevonden en ook geen kennelijk opzettelijk kwaadaardige code, al is de code wel wat slordig. Beveiligingsingenieurs Andreas Junestam en Nicolas Guigo legden de broncode van TrueCrypt onder de loep en ontdekten 11 kwetsbaarheden. Geen van die kwetsbaarheden zijn ernstig genoeg om TrueCrypt te vermijden, concluderen ze. De kritiek die ze hebben, gaat vooral over de kwaliteit van de code. Zo hebben de ontwikkelaars te weinig commentaar in de code staan, gebruiken ze onveilige of verouderde systeemfuncties, hebben heel wat variabelen inconsistente datatypes en zijn heel wat functies te lang. Een ander probleem is dat om de Windows-versie te compileren een verouderde build-omgeving vereist is. In een tweede fase volgt nog een rapport met een gedetailleerde analyse van de encryptie die TrueCrypt gebruikt. White en Green hebben overigens het Open Crypto Audit Project opgericht met de bedoeling om van nog meer opensourcesoftware de beveiliging onder de loep te leggen.

http://istruecryptauditedyet.com/

http://opencryptoaudit.org/