Przekonujący dowód z kompilacji ze źródeł: w truecrypt.exe nie ma furtek

TrueCrypt jest jednym z najpopularniejszych narzędzi doszyfrowania dysków i tworzenia wirtualnych, zaszyfrowanych napędów, ajednocześnie jednym z najbardziej kontrowersyjnych narzędzi tegotypu. Nie wiadomo, kto jest jego autorem, nie jest też jasne, jaklicencja, zgodnie z którą jest udostępniany, ma się do innychopensource'owych licencji. Co gorsza, gdy po aferze z PRISM branżazaczęła się poważnie zastanawiać nad obecnością w oprogramowaniufurtek wstawianych tam pod presją służb wywiadowczych, okazało się,że nikt nie potrafił uzyskać z dostępnego kodu źródłowego plikówbinarnych identycznych z tymi, które dostępne były na stronieprojektu. Wątpliwości co do „szczelności” TrueCryptazainspirowały jego użytkowników do zbiórki pieniędzy na publicznyaudyt narzędzia. Od jego rozpoczęcia minęło raptem 10 dni, a jużstarania przyniosły ciekawe efekty.Mimo że do zakończenia zbiórki pieniędzy zostało 50 dni, to widać,że społeczności na tej inicjatywie zależy. Choć celem miało byćpozyskanie 25 tys. dolarów, to w serwisie IndieGogo zebrano już ponad32 tys. dolarów, zaś w FundFill ponad 15 tys. dolarów i 27 bitcoinów(ok. 5 tys. dolarów po aktualnym kursie). Mimo zaś, że oficjalneprace audytorskie się jeszcze nie zaczęły, zaś stronaIsTrueCryptAuditedYet.com wciąż na tytułowe pytanie odpowiada „nie”,to jednemu z badaczy, pracującemu niezależnie od inicjatywy audytukodu, udało się osiągnąć bardzo interesujący rezultat.[img=crypto]Jest już niemal pewne, że publicznie dostępna binarna wersjaTrueCrypta 7.1a dla Windows powstała z oficjalnie dostępnych źródełtej wersji. Kanadyjski programista Xavier de Carnavalet pokazał,jak odtworzyć proces kompilacji, tak by uzyskany plik wynikowypasował do oficjalnej binarki. Co prawda nie udało się uzyskaćstuprocentowej zgodności, ale de Carnavalet dość jasno wyjaśniaprzyczyny drobnych różnic.Sam proces kompilacji TrueCrypta na Windows nie wygląda zbytatrakcyjnie. Należy dysponować Visual C++ 2008 SP1 ProfessionalEdition, Visual C++ 1.52, skonfigurowanym dla Visual C++ SDK forWindows 7 oraz zestawem Windows Driver Kit 7.1.0 (wszystko to odMicrosoftu), a także nagłówkami Cryptographic Token Interface od RSA,assemblerem NASM i kompresorem gzip. Konieczne jest teżzainstalowanie określonych łatek dla Visual Studio, gdyżnajdrobniejsze zmiany w użytych wersjach tych narzędzi prowadzą dozmian w plikach wynikowych – a to właśnie do tej pory byłopowodem podejrzewania obecności furtek NSA w TrueCrypcie.Po zbudowaniu własnej wersji TrueCrypta, kanadyjski programistaporównał je bajt po bajcie, by uzasadnić znalezione różnice. Wynikaćone mają przede wszystkim z podpisania oficjalnych binarekcertyfikatem (czego oczywiście Xavier de Carnavalet zrobić nie mógł),niemożliwości osadzenia binarki w pliku instalacyjnym bez takiejpodpisanej wersji, oraz oczywiście innych czasoznaczków niż przyoryginalnej kompilacji. Po ich pominięciu, obie binarne wersje sąidentyczne.Te same wyniki przyniosła inżynieria wsteczna –dezasemblacja obu binarek przeprowadzona za pomocą 64-bitowej wersjiMinGW zwróciła co do bajta identyczne pliki, co oznacza, że obiewersje wykonują dokładnie te same zadania, nie ma tu miejsca naukrycie furtki. Oczywiście paranoicy w swoich kapeluszach zaluminiowej folii mogą argumentować, że przecież w obu wypadkachużyto do kompilacji zamkniętego, własnościowego kompilatoraMicrosoftu, co do którego nie można mieć pewności, czy nie padłofiarą ataku, opisanego w 1984 roku przez Kena Thompsona. Atak tenpolega na zmodyfikowaniubinarki kompilatora, tak by kompilator tworzył złośliwe wersjepewnych programów, w tym złośliwe wersje siebie samego. Wykrycietakiego ataku jest bardzo trudne, ale i jego przeprowadzeniepozostaje dziś bardziej w sferze teorii.Bardziej prawdopodobny jest scenariusz, w którym furtka doTrueCrypta została wprowadzona jawnie, do kodu źródłowego, jestjednak tak subtelna, że na pierwszy rzut oka nie można jej wykryć.Może to być np. celowo nieprawidłowa implementacja jednego zkryptograficznych algorytmów, zmniejszająca poziom trudności siłowegoataku, którą wykryć może jedynie szczegółowy audyt kryptograficzny.Czy do czegoś takiego doszło, dowiemy się już w najbliższychmiesiącach. Na korzyść TrueCrypta przemawia jednak fakt, żenajwyraźniej nawet FBI nie posiada hipotetycznej furtki do tegoprogramu – przykładowo w 2010 roku śledczy tej agencjiprzyznali, że nie są w stanie odszyfrować zawartości dysków twardychDaniela Dantasa, bankiera aresztowanego przez brazylijską policję podzarzutem prania brudnych pieniędzy. Wówczas to policyjni technicy,narzekając że nie mają sposobu, aby zmusić twórców TrueCrypta dopomocy w tej sprawie, przez 12 miesięcy próbowali złamać hasłosiłowo, aż w końcu zrezygnowani poddali się, a Dantas zostałwypuszczony na wolność.Można więc założyć, że jeśli NSA faktycznie umieściła furtkę wTrueCrypcie, to stosuje ją wyłącznie w sprawach najwyższej wagi,dotyczących obronności kraju czy szpiegostwa przemysłowego wstrategicznych dziedzinach. Ujawnienie jej istnienia w sprawachrelatywnie małej wagi byłoby w tej sytuacji absurdem.

Wybrane dla Ciebie

Komentarze (57)

Cenimy Twoją prywatność

Kliknij "AKCEPTUJĘ I PRZECHODZĘ DO SERWISU", aby wyrazić zgodę na korzystanie w Internecie z technologii automatycznego gromadzenia i wykorzystywania danych oraz na przetwarzanie Twoich danych osobowych przez Wirtualną Polskę, Zaufanych Partnerów IAB (878 partnerów) oraz pozostałych Zaufanych Partnerów (405 partnerów) a także udostępnienie przez nas ww. Zaufanym Partnerom przypisanych Ci identyfikatorów w celach marketingowych (w tym do zautomatyzowanego dopasowania reklam do Twoich zainteresowań i mierzenia ich skuteczności) i pozostałych, które wskazujemy poniżej. Możesz również podjąć decyzję w sprawie udzielenia zgody w ramach ustawień zaawansowanych.


Na podstawie udzielonej przez Ciebie zgody Wirtualna Polska, Zaufani Partnerzy IAB oraz pozostali Zaufani Partnerzy będą przetwarzać Twoje dane osobowe zbierane w Internecie (m.in. na serwisach partnerów e-commerce), w tym za pośrednictwem formularzy, takie jak: adresy IP, identyfikatory Twoich urządzeń i identyfikatory plików cookies oraz inne przypisane Ci identyfikatory i informacje o Twojej aktywności w Internecie. Dane te będą przetwarzane w celu: przechowywania informacji na urządzeniu lub dostępu do nich, wykorzystywania ograniczonych danych do wyboru reklam, tworzenia profili związanych z personalizacją reklam, wykorzystania profili do wyboru spersonalizowanych reklam, tworzenia profili z myślą o personalizacji treści, wykorzystywania profili w doborze spersonalizowanych treści, pomiaru wydajności reklam, pomiaru wydajności treści, poznawaniu odbiorców dzięki statystyce lub kombinacji danych z różnych źródeł, opracowywania i ulepszania usług, wykorzystywania ograniczonych danych do wyboru treści.


W ramach funkcji i funkcji specjalnych Wirtualna Polska może podejmować następujące działania:

  1. Dopasowanie i łączenie danych z innych źródeł
  2. Łączenie różnych urządzeń
  3. Identyfikacja urządzeń na podstawie informacji przesyłanych automatycznie
  4. Aktywne skanowanie charakterystyki urządzenia do celów identyfikacji

Cele przetwarzania Twoich danych przez Zaufanych Partnerów IAB oraz pozostałych Zaufanych Partnerów są następujące:

  1. Przechowywanie informacji na urządzeniu lub dostęp do nich
  2. Wykorzystywanie ograniczonych danych do wyboru reklam
  3. Tworzenie profili w celu spersonalizowanych reklam
  4. Wykorzystanie profili do wyboru spersonalizowanych reklam
  5. Tworzenie profili w celu personalizacji treści
  6. Wykorzystywanie profili w celu doboru spersonalizowanych treści
  7. Pomiar efektywności reklam
  8. Pomiar efektywności treści
  9. Rozumienie odbiorców dzięki statystyce lub kombinacji danych z różnych źródeł
  10. Rozwój i ulepszanie usług
  11. Wykorzystywanie ograniczonych danych do wyboru treści
  12. Zapewnienie bezpieczeństwa, zapobieganie oszustwom i naprawianie błędów
  13. Dostarczanie i prezentowanie reklam i treści
  14. Zapisanie decyzji dotyczących prywatności oraz informowanie o nich

W ramach funkcji i funkcji specjalnych nasi Zaufani Partnerzy IAB oraz pozostali Zaufani Partnerzy mogą podejmować następujące działania:

  1. Dopasowanie i łączenie danych z innych źródeł
  2. Łączenie różnych urządzeń
  3. Identyfikacja urządzeń na podstawie informacji przesyłanych automatycznie
  4. Aktywne skanowanie charakterystyki urządzenia do celów identyfikacji

Dla podjęcia powyższych działań nasi Zaufani Partnerzy IAB oraz pozostali Zaufani Partnerzy również potrzebują Twojej zgody, którą możesz udzielić poprzez kliknięcie w przycisk "AKCEPTUJĘ I PRZECHODZĘ DO SERWISU" lub podjąć decyzję w sprawie udzielenia zgody w ramach ustawień zaawansowanych.


Cele przetwarzania Twoich danych bez konieczności uzyskania Twojej zgody w oparciu o uzasadniony interes Wirtualnej Polski, Zaufanych Partnerów IAB oraz możliwość sprzeciwienia się takiemu przetwarzaniu znajdziesz w ustawieniach zaawansowanych.


Cele, cele specjalne, funkcje i funkcje specjalne przetwarzania szczegółowo opisujemy w ustawieniach zaawansowanych.


Serwisy partnerów e-commerce, z których możemy przetwarzać Twoje dane osobowe na podstawie udzielonej przez Ciebie zgody znajdziesz tutaj.


Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać wywołując ponownie okno z ustawieniami poprzez kliknięcie w link "Ustawienia prywatności" znajdujący się w stopce każdego serwisu.


Pamiętaj, że udzielając zgody Twoje dane będą mogły być przekazywane do naszych Zaufanych Partnerów z państw trzecich tj. z państw spoza Europejskiego Obszaru Gospodarczego.


Masz prawo żądania dostępu, sprostowania, usunięcia, ograniczenia, przeniesienia przetwarzania danych, złożenia sprzeciwu, złożenia skargi do organu nadzorczego na zasadach określonych w polityce prywatności.


Korzystanie z witryny bez zmiany ustawień Twojej przeglądarki oznacza, że pliki cookies będą umieszczane w Twoim urządzeniu końcowym. W celu zmiany ustawień prywatności możesz kliknąć w link Ustawienia zaawansowane lub "Ustawienia prywatności" znajdujący się w stopce każdego serwisu w ramach których będziesz mógł udzielić, odwołać zgodę lub w inny sposób zarządzać swoimi wyborami. Szczegółowe informacje na temat przetwarzania Twoich danych osobowych znajdziesz w polityce prywatności.