Odpowiedz

Przekonujący dowód z kompilacji ze źródeł: w truecrypt.exe nie ma furtek

 
Portator
Redaktor

Liczba postów: 10.980
Post: #1
Information 

Przekonujący dowód z kompilacji ze źródeł: w truecrypt.exe nie ma furtek


TrueCrypt jest jednym z najpopularniejszych narzędzi do szyfrowania dysków i tworzenia wirtualnych, zaszyfrowanych napędów, a jednocześnie jednym z najbardziej kontrowersyjnych narzędzi tego typu. Nie wiadomo, kto jest jego autorem, nie jest też jasne, jak licencja, zgodnie z którą jest udostępniany, ma się do innych opensource'owych licencji. Co gorsza, gdy po aferze z PRISM branża zaczęła się poważnie zastanawiać nad obecnością w oprogramowaniu furtek wstawianych tam pod presją służb wywiadowczych, okazało się, że nikt nie potrafił uzyskać z dostępnego kodu źródłowego plików binarnych identycznych z tymi, które dostępne były na stronie projektu. Wątpliwości co do „szczelności” TrueCrypta zainspirowały jego użytkowników do zbiórki pieniędzy na publiczny audyt narzędzia. Od jego rozpoczęcia minęło raptem 10 dni, a już starania przyniosły ciekawe efekty.

Mimo że do zakończenia zbiórki pieniędzy zostało 50 dni, to widać, że społeczności na tej inicjatywie zależy. Choć celem miało być pozyskanie 25 tys. dolarów, to w serwisie IndieGogo zebrano już ponad 32 tys. dolarów, zaś w FundFill ponad 15 tys. dolarów i 27 bitcoinów (ok. 5 tys. dolarów po aktualnym kursie). Mimo zaś, że oficjalne prace audytorskie się jeszcze nie zaczęły, zaś strona IsTrueCryptAuditedYet.com wciąż na tytułowe pytanie odpowiada „nie”, to jednemu z badaczy, pracującemu niezależnie od inicjatywy audytu kodu, udało się osiągnąć bardzo interesujący rezultat.
Przekonujący dowód z kompilacji ze źródeł: w truecrypt.exe nie ma furtek
Jest już niemal pewne, że publicznie dostępna binarna wersja TrueCrypta 7.1a dla Windows powstała z oficjalnie dostępnych źródeł tej wersji. Kanadyjski programista Xavier de Carnavalet pokazał, jak odtworzyć proces kompilacji, tak by uzyskany plik wynikowy pasował do oficjalnej binarki. Co prawda nie udało się uzyskać stuprocentowej zgodności, ale de Carnavalet dość jasno wyjaśnia przyczyny drobnych różnic.

Sam proces kompilacji TrueCrypta na Windows nie wygląda zbyt atrakcyjnie. Należy dysponować Visual C++ 2008 SP1 Professional Edition, Visual C++ 1.52, skonfigurowanym dla Visual C++ SDK for Windows 7 oraz zestawem Windows Driver Kit 7.1.0 (wszystko to od Microsoftu), a także nagłówkami Cryptographic Token Interface od RSA, assemblerem NASM i kompresorem gzip. Konieczne jest też zainstalowanie określonych łatek dla Visual Studio, gdyż najdrobniejsze zmiany w użytych wersjach tych narzędzi prowadzą do zmian w plikach wynikowych – a to właśnie do tej pory było powodem podejrzewania obecności furtek NSA w TrueCrypcie.

Po zbudowaniu własnej wersji TrueCrypta, kanadyjski programista porównał je bajt po bajcie, by uzasadnić znalezione różnice. Wynikać one mają przede wszystkim z podpisania oficjalnych binarek certyfikatem (czego oczywiście Xavier de Carnavalet zrobić nie mógł), niemożliwości osadzenia binarki w pliku instalacyjnym bez takiej podpisanej wersji, oraz oczywiście innych czasoznaczków niż przy oryginalnej kompilacji. Po ich pominięciu, obie binarne wersje są identyczne.

Te same wyniki przyniosła inżynieria wsteczna – dezasemblacja obu binarek przeprowadzona za pomocą 64-bitowej wersji MinGW zwróciła co do bajta identyczne pliki, co oznacza, że obie wersje wykonują dokładnie te same zadania, nie ma tu miejsca na ukrycie furtki. Oczywiście paranoicy w swoich kapeluszach z aluminiowej folii mogą argumentować, że przecież w obu wypadkach użyto do kompilacji zamkniętego, własnościowego kompilatora Microsoftu, co do którego nie można mieć pewności, czy nie padł ofiarą ataku, opisanego w 1984 roku przez Kena Thompsona. Atak ten polega na zmodyfikowaniu binarki kompilatora, tak by kompilator tworzył złośliwe wersje pewnych programów, w tym złośliwe wersje siebie samego. Wykrycie takiego ataku jest bardzo trudne, ale i jego przeprowadzenie pozostaje dziś bardziej w sferze teorii.

Bardziej prawdopodobny jest scenariusz, w którym furtka do TrueCrypta została wprowadzona jawnie, do kodu źródłowego, jest jednak tak subtelna, że na pierwszy rzut oka nie można jej wykryć. Może to być np. celowo nieprawidłowa implementacja jednego z kryptograficznych algorytmów, zmniejszająca poziom trudności siłowego ataku, którą wykryć może jedynie szczegółowy audyt kryptograficzny. Czy do czegoś takiego doszło, dowiemy się już w najbliższych miesiącach. Na korzyść TrueCrypta przemawia jednak fakt, że najwyraźniej nawet FBI nie posiada hipotetycznej furtki do tego programu – przykładowo w 2010 roku śledczy tej agencji przyznali, że nie są w stanie odszyfrować zawartości dysków twardych Daniela Dantasa, bankiera aresztowanego przez brazylijską policję pod zarzutem prania brudnych pieniędzy. Wówczas to policyjni technicy, narzekając że nie mają sposobu, aby zmusić twórców TrueCrypta do pomocy w tej sprawie, przez 12 miesięcy próbowali złamać hasło siłowo, aż w końcu zrezygnowani poddali się, a Dantas został wypuszczony na wolność.

Można więc założyć, że jeśli NSA faktycznie umieściła furtkę w TrueCrypcie, to stosuje ją wyłącznie w sprawach najwyższej wagi, dotyczących obronności kraju czy szpiegostwa przemysłowego w strategicznych dziedzinach. Ujawnienie jej istnienia w sprawach relatywnie małej wagi byłoby w tej sytuacji absurdem.

Za: dobreprogramy.pl

[Obrazek: 2089620800_1406976151.png]
Windows ❼ Forum

25.10.2013 14:20

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
Odpowiedz

Podobne wątki
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
News Elektroniczny dowód osobisty pojawi się już w 2017 r. – i będzie aplikacją na smartfo Portator 2 1.612 17.06.2016 14:54
Ostatni post: izaw
News Microsoft zwiększy tempo wydawania testowych kompilacji Windows 10 Portator 0 854 31.01.2015 06:17
Ostatni post: Portator
News Mamy dowód na istnienie Cortany w Windows 9? Portator 0 656 20.09.2014 05:04
Ostatni post: Portator
News Koniec TrueCrypta? Oficjalna strona ostrzega, że TrueCrypt nie jest bezpieczny Portator 0 825 29.05.2014 05:22
Ostatni post: Portator
« Starszy wątek | Nowszy wątek »

Temat został oceniony na 0 w skali 1-5 gwiazdek.
Zebrano 1 głosów.