Open Crypto Audit Projectサイトでは、人気のあるオープン暗号化ツールTrueCryptのコード監査の第2ステージが完了したことを発表しました。 実際、コード監査は完了しており、OCAPの担当者は結論を出した最終文書のみを作成できます。
監査によると、TrueCrypt 7.1aにはブックマークはありません。 監査人は、通常の条件下ではデータの侵害につながらなかった潜在的に悪い場所を4つだけ指摘しました。
- ボリュームヘッダーの暗号化されたデータの認証の欠如
- 鍵ファイルのミキシングは暗号的に堅牢ではありません
- AES実装はタイムアタックに対して脆弱である可能性があります
- CryptAcquireContextはエラーメッセージなしで初期化されない場合があります
opencryptoaudit.org/reports/TrueCrypt_Phase_II_NCC_OCAP_final.pdf-監査の第2ラウンドの結果。
blog.cryptographyengineering.com/2015/04/truecrypt-report.html-OCAPメンバーの1人であるMatthew Greenの調査結果。