TrueCryptはすでに監査を受けているのだろうか?いいえ、しかしもうすぐだ。世界で最も利用されているファイル暗号化ツールの一つであるTrueCryptが、まもなく完全な検査を受ける。TrueCryptの奥深くまで探るための独立系調査団体が数万ドルの資金を調達し、この検査でソフトウェアに問題がないことが証明されることを期待したい。
TrueCryptは、Windows、OS X、Linuxで利用可能な無料のオープンソース暗号化プログラムで、個々のフォルダからディスクドライブ全体まで暗号化できます。また、PC上に隠しOS(OSの中にOSがあるようなもの)を作成し、機密性の高いファイルを保存できるなど、驚くほど便利な機能も備えています。
しかし、TrueCrypt は驚くほど優れており、広く使用されているソフトウェアである一方、プログラムの約 70,000 行のコードはまだ包括的なセキュリティ分析を受けていません。これは、多くの人が個人データの暗号化に信頼を置いているツールとしては大きな問題です。
徹底的なセキュリティ監査を通じて TrueCrypt のソースコードを完全に調査することを目指す IsTrueCryptAuditedYet プロジェクトに参加してください。
「『十分な数の目があれば、どんなバグも浅く見える』という有名な格言があります」と、ジョンズ・ホプキンス大学の研究教授であり、このプロジェクトの共同制作者でもある暗号学者のマシュー・グリーン氏はPCWorldに語った。「しかし、暗号ソフトウェアには必ずしも当てはまりません。暗号ソフトウェアには、ただの目ではなく、専門家の目が必要なのです。残念ながら、専門家の目は不足しています。この監査で私たちが目指しているのは、多くの適切な人材を集めることです。」
暗号化、NSA、そしてあなた
TrueCryptプロジェクトの目標は、ワシントン大学によるSecureDropの最近の分析と同様の成果を上げることだと、Social & Scientific Systemsの主席科学者であり、TrueCrypt監査プロジェクトの共同開発者でもあるケネス・ホワイト氏は述べている。SecureDropは、ウィキリークス風のオープンソース文書提出プログラムで、元々は故人となったインターネット活動家アーロン・シュワルツ氏によって開発された。
TrueCrypt 監査プロジェクトは、国家安全保障局 (NSA) の監視活動に関する継続的な暴露、特に NSA が Web の最も重要な暗号化プロトコルの一部を侵害していたという 9 月 5 日のニューヨーク タイムズ紙の報道に対する反応として、10 月中旬に開始されました。
これらの暴露を受け、グリーン氏はオープンソース暗号化ソフトウェアの新たな調査を強く求めるようになりました。この呼びかけは後にホワイト氏に引き継がれ、グリーン氏と共にTrueCrypt監査プロジェクトを立ち上げました。
TrueCryptは広く普及しているにもかかわらず、開発者が匿名を希望しているため、謎めいた雰囲気を漂わせています。「(セキュリティ研究者の)ダン・カミンスキー氏が言うように、『公開性よりも作者の多さの方が品質の指標として優れている』のです」とグリーン氏は10月のブログ記事に書いています。「TrueCryptの作者が誰なのか分かれば、もっと安心できるでしょう。」
TrueCrypt のサイトの FAQ には、過去には独立した研究者によってレビューされたことがあると記載されていますが、ソースコードが覗かれたときの規模は、完全な公開監査の規模ではありませんでした。
プロジェクトでは、ソースコードの監査だけでなく、プログラムのライセンスを確認し、TrueCrypt のサイトにある実行ファイルがソフトウェアのソースコードから直接構築されているかどうかも検証したいと考えています。
「バイナリがソースからコンパイルされていると分かれば、TrueCryptに関する懸念の多くは解消されるでしょう」とTrueCryptの監査サイトには記されている。「残念ながら、すべてのWindowsユーザーにTrueCryptを自分でコンパイルしてもらうのは現実的ではありません。私たちの提案は、Torが現在使用している決定論的なビルドプロセスを採用することです。そうすれば、バイナリが安全で改ざんされていないことを確信できます。」
TrueCryptを理解するための資金調達
さて、朗報です。IsTrueCryptAuditedYetは、10月にプロジェクトを開始してからわずか4日後に、クラウドファンディングサイトIndiegogoで2万5000ドルの資金調達目標を達成し、さらにそれを上回りました。ホワイト氏によると、水曜日の朝の時点で、TrueCrypt監査プロジェクトはIndiegogoでの取り組みとクラウドファンディングサイトFundFillでの2回目の取り組みを合わせて5万6000ドル以上を集めています。
TrueCryptの監査は大仕事となるでしょうが、資金提供期間終了後、プロジェクトは着実に準備を進めており、活動開始に向けて準備が整いつつあります。「これまでに大手セキュリティ評価企業から2件の提案を受けており、プロジェクト全体の監査にボランティアで協力してくれている他の専門家たちとも協力しています」とグリーン氏は述べています。
