
来年、TrueCryptは10歳になります。 このような立派な年齢にもかかわらず、この間ずっと、プログラムコードの正式な独立監査は実施されていません。 他の多くのオープンソースプロジェクトと同様に、開発者は常に新機能とバグ修正に取り組んでいますが、そのようなイベントの時間、お金、機会を見つけられません。 TrueCryptには他の問題もあります-明確で理解できないライセンス、Githubまたは他の同様のプラットフォームに公式のコードリポジトリがなく、コンパイルおよびアセンブリプロセスが正式化されていないため、異なるプラットフォームでプログラムのアイデンティティを保証することは不可能です。
これらすべてと、暗号化ソフトウェアにおけるNSAの完全な監視とブックマークに関するエドワードスノーデンの啓示は、TrueCryptを含む影を投げかけ、プログラマーおよびバイオテクノロジーの専門家であるケネスホワイト、およびジョンズホプキンス大学の教授で暗号学者であるマシューグリーンに影響を与えました。クラウドファンディングキャンペーンを開始します。その目的は、TrueCryptコードの完全な監査を実施し、ライセンスを整理し、すべてのプラットフォームでバイナリを組み立てるための標準アルゴリズムを開発および文書化し、公開コードリポジトリを作成することです。 このアイデアはTrueCrypt開発チームによってサポートされました。
資金調達は、2つのクラウドファンディング会場-FundFillとIndieGoGoで行われ、FundFillは支払いカードだけでなくビットコインも受け入れます。 この記事の執筆時点で、両方のサイトで62,953ドルが調達されました。 さらに、目標、監査方法、および現在のキャンペーンニュースの詳細な説明を含むプロジェクトサイトが作成されました。
TrueCryptを整理するための予備計画は、4つのポイントで構成されています。
- ライセンスの改訂。 TrueCryptは、古い非標準の公開されたライセンスで公開されています。 プロの弁護士が分析し、編集します。
- バイナリの標準化。 ほとんどのユーザーは、TrueCryptをコンパイルされた形式でダウンロードします。 すべてのプラットフォームで標準のビルド手順を開発する必要があります。これにより、Torで使用される環境と同様の環境でTrueCryptの正しい動作が保証されます。
- 見つかったバグのボーナス。 十分な資金が集められると、見つかった脆弱性に対して報酬が支払われる基金が作成されます。
- プロの監査。 すべてのコードは、暗号化ソフトウェアのセキュリティ監査の経験がある評判の良い企業の専門家によって検査されます。
TrueCryptには、アセンブラー、CおよびC ++で70,000行を超えるコードが含まれています。 IndieGoGoキャンペーンは12月13日に終了します。 すべてが計画どおりに進んだ場合、コード監査は来年2月に完了します。