TrueCryptコード監査が完了しました

Open Crypto Audit Projectサイトでは、人気のあるオープン暗号化ツールTrueCryptのコード監査の第2ステージが完了したことを発表しました。 実際、コード監査は完了しており、OCAPの担当者は結論を出した最終文書のみを作成できます。



監査によると、TrueCrypt 7.1aにはブックマークはありません。 監査人は、通常の条件下ではデータの侵害につながらなかった潜在的に悪い場所を4つだけ指摘しました。

1. ボリュームヘッダーの暗号化されたデータの認証の欠如
2. 鍵ファイルのミキシングは暗号的に堅牢ではありません
3. AES実装はタイムアタックに対して脆弱である可能性があります
4. CryptAcquireContextはエラーメッセージなしで初期化されない場合があります

opencryptoaudit.org/reports/TrueCrypt_Phase_II_NCC_OCAP_final.pdf-監査の第2ラウンドの結果。

blog.cryptographyengineering.com/2015/04/truecrypt-report.html-OCAPメンバーの1人であるMatthew Greenの調査結果。