Читаем Цифровой журнал «Компьютерра» № 196 полностью

Мыслимо ли, чтобы один человек или даже небольшая группа разработчиков (у конкурентов над теми же задачами работают коллективы высококлассных и высокооплачиваемых специалистов), действуя на голом энтузиазме, десять лет без помощи извне ведут софтверный проект высшего класса — удобный, мощный, элегантный, вычищая баги, переводя его на иностранные языки, портируя между платформами? Положим, допустить, что этими людьми движет идея служения обществу, ещё возможно. Но на что же они живут? Ведь не на пожертвования же, в самом деле.

А отсюда уже один шаг до страшного предположения: и Давид Тезарик (кстати, очень распространённое имя, не хуже нашего Ивана Кузнецова или пресловутого американского John Doe), и TrueCrypt Foundation — только ширма, прикрытие, скажем, для того же АНБ. Благодаря Сноудену мы знаем, что американские спецслужбы тратят сотни миллионов ежегодно на проникновение внутрь популярных криптографических инструментов (см. «Приватность не прощается»). Но обладание таким продуктом, как TrueCrypt, поистине стоит всего остального! И даже если трукриптовцы на самом деле не служат в АНБ, нельзя исключать, что Агентство надавило на них так же, как давит на Google, Apple, Microsoft (ведь работают они, похоже, в Штатах), и заставило внедрить незаметные уязвимости в исходники или исполняемые версии программы. Нельзя, потому что серьёзной проверки TrueCrypt никто не проводил!

А подозрения Кто-тоКто-томножатся. жалуется, что откомпилировать TrueCrypt из исходников нелегко, если вообще возможно. нашёл необъяснимые различия между поведением версий TrueCrypt для MS Windows и Linux. Поскольку применяется TrueCrypt буквально всеми, от школьников и бизнесменов до террористов и осведомителей, вопрос чистоты не праздный, не любопытства ради. И вот неделю назад, после очередного раунда дебатов в Сети, нашлись активисты, решившие поставить в споре точку: был начат сбор средств на оплату независимого аудита TrueCrypt. По состоянию на сегодняшнее утро собрано почти 50 тысяч долларов — более чем достаточно.

Что будет включать в себя проверка? Прежде всего анализ квалифицированным юристом трукриптовской лицензии — на предмет соответствия, например, лицензии GPL. Если принципиальных расхождений не выявится, TrueCrypt'у дадут зелёный свет полностью свободные Linux-дистрибутивы. Во-вторых, будет разработана методика воспроизводимой компиляции программы, что позволит гарантировать функциональную идентичность исходных текстов и бинарных версий TrueCrypt (подтвердить, что в «экзешник» ничего лишнего не добавлено). В-третьих, пройдут проверку сами исходники — силами какой-либо высококлассной конторы, занимающейся аудитом криптографического софта (надеюсь, обратятся к профессионалам за пределами США). И, в-четвёртых, часть средств планируется пустить на создание призового фонда, из которого будут оплачиваться самые интересные «баги», найденные в трукриптовском коде.

Таким образом, отсчёт пошёл. Удастся ли проверяющим найти что-то компрометирующее? Надеюсь, что нет. Уж очень высоки ставки!

В статье использована иллюстрация Kidz Castle.

К оглавлению

Опубликовано 21 октября 2013

Борцы с нелицензионщиной на просторах Сети празднуют в эти дни очередную крупную победу. Американская кинематографическая ассоциация (MPAA) после многолетнего судебного спора принудила к сдаче один из популярнейших файлообменников планеты — торрент-архив isoHunt. Радость от победы, впрочем, омрачена неприятным фактом, который всё чаще упоминается в дискуссиях о способах и, главное, необходимости борьбы с «интернет-пиратством». Если коротко, речь о том, что у рядового потребителя медиаконтента в большинстве случаев попросту нет выбора — пиратить или не пиратить. Но я забегаю, давайте по порядку.