Если в проекте открытого ПО нарастают сложности, то в одних случаях усилия по его реализации удваиваются, а в других он просто закрывается. Последнее произошло с проектом TrueCrypt по созданию открытого ПО шифрования дисков, и пользователи уже предупреждены о том, что технологию TrueCrypt нельзя считать безопасной.
Проект TrueCrypt размещается в репозитории SourceForge, который опубликовал 28 мая пост следующего содержания: «Использование кода TrueCrypt не безопасно, поскольку он может содержать не устраненные уязвимости». Пользователям TrueCrypt рекомендовано использовать другие технологии шифрования дисков.
Откровенно говоря, я не очень удивлен. Недавно результаты аудита TrueCrypt были опубликованы в отчете iSec Partners, и хотя в нем не были отмечены какие-либо серьезные проблемы в защищенности данной технологии, она не была отнесена к числу рекомендуемых.
«В целом исходный код загрузчика и Windows-драйвера не соответствовал стандартам безопасного кода, — утверждается в отчете iSec Partners в отношении TrueCrypt. — В данном случае имеется в виду отсутствие необходимых комментариев, использование небезопасных или устаревших функций, противоречия в используемых типах переменных и т. д.».
Далее в отчете говорится, что в ходе аудита TrueCrypt не было обнаружено бэкдоров или другого внутреннего вредоносного кода. Однако при этом были обнаружены некоторые уязвимости, которые, как считают в iSec, «стали следствием допущенных ошибок, а не злого умысла».
Не в пользу TrueCrypt сыграло и то, что сегодня есть много технологий шифрования дисков. В частности, в следующих после XP версиях операционной системы Windows, которая была целевой платформой для TrueCrypt, поддерживается функция Bitlocker, выполняющая ту же задачу. Кроме того, на рынке есть и другие технологии шифрования файлов, включая FileVault для Mac, DiskCryptor для Windows и Luks для Linux.
В самом факте прекращения работ по открытому проекту нет ничего необычного, однако признание проекта небезопасным, как в случае с TrueCrypt, является поводом для беспокойства. Нет сомнений, что многих пользователей все это застало врасплох.
Вместо того, чтобы попытаться залатать дырки, разработчики TrueCrypt предпочли выбросить на ринг полотенце. К счастью, пользователи TrueCrypt могут защитить себя с помощью альтернативных решений для шифрования дисков.