人気のディスク暗号化プログラム「TrueCrypt」の暗号の欠陥を探す取り組みは、同ソフトウェアがほぼ 1 年前に開発者によって放棄されたにもかかわらず、再開される予定です。
TrueCrypt は長年、コンピューター上のファイルを暗号化したい人にとって頼りになるオープンソース ツールであり、特に OS ボリュームの暗号化を可能にする数少ないソリューションの 1 つとなっています。
2013年10月、暗号学教授のマシュー・グリーン氏とセキュリティ研究者のケネス・ホワイト氏は、TrueCryptの専門的なセキュリティ監査を行うプロジェクトを立ち上げました。これは、米国国家安全保障局(NSA)の元契約職員エドワード・スノーデン氏による、NSAが暗号技術を弱体化させる取り組みを行っていることを示唆する情報漏洩が一因となりました。
グリーン・アンド・ホワイトのOpen Crypto Audit Projectは寄付の受付を開始し、情報保証会社NCCグループの子会社であるiSEC Partnersと契約し、TrueCryptコードの重要な部分におけるソフトウェア脆弱性の調査を依頼しました。iSEC Partnersはいくつかの問題を発見しましたが、バックドアと言えるほど重大なものは見つかりませんでした。2014年4月に発表された報告書は、監査の第一段階を網羅しています。
第 2 段階では、プログラムの暗号化機能を正式にレビューし、暗号化の実装における潜在的なエラーを明らかにすることを目指していたが、その後、予期せぬ事態が起こった。
プライバシー上の理由から長年匿名を保っていたTrueCryptの開発者は、2014年5月に突然プロジェクトを中止し、ユーザーに代替手段に切り替えるよう勧告すると発表しました。
「このことで私たちの計画は狂い始めました」とグリーン氏は火曜日のブログ投稿で述べた。「トーマス・プタチェク氏をはじめとする数名によるクラウドソーシングによる監査を計画していました。しかし、Truecryptがサービスを停止したことで、疑問が生じました。人々の時間とリソースの有効活用は適切だったのだろうか?そのリソースを、新たに出現した(あるいは開発中の)『Truecryptフォーク』に充てたらどうだろうか?と」
トゥルークリプト。
約1年が経ち、プロジェクトは再び軌道に乗りました。暗号の専門家であり、Matasano Securityの創設者でもあるPtacek氏は、暗号解析を主導しなくなり、クラウドソーシングによる作業も中止されます。監査の第2フェーズは、iSEC Partners、Matasano、Intrepidus Group、NCC GroupのコンサルタントチームであるCryptography Servicesが担当します。
専門家による暗号資産監査の費用は通常非常に高額で、Open Crypto Audit Projectがクラウドファンディングで調達した7万ドルを超えています。費用を抑えるため、プロジェクトは柔軟なスケジュールで作業を進め、Cryptography Servicesの他の業務と連携する必要がありました。
「このプロジェクトでは、新しいフォークのベースラインとなるオリジナルのTruecrypt 7.1aを評価します。まもなく開始されます」とグリーン氏は述べた。「しかし、価格を抑え、皆様の寄付をより長く有効に活用していただくため、開始日を少し柔軟に設定しました。そのため、まだ結果は出ていません。」
過去 1 年間、今後の進め方を決定する際に、Open Crypto Audit Project のメンバーは、プログラムの乱数ジェネレーターを含む TrueCrypt 暗号化コードの一部を独自に調べました。
「これはNCC/iSECの作業を補完し、実装に対する信頼をさらに高めるものとなることを期待しています」とグリーン氏は述べた。
暗号化サービス監査は、保存中の Truecrypt 暗号化コンテナに焦点を当てます。これは、多くの人がソフトウェアを使用する目的、つまり暗号化コンテナを作成し、それにマウントしてデータを保存するために使用します。
「これらの暗号化ボリュームを保護するために使用されている暗号化が堅牢であり、データの復元を可能にするようなエラーが一切ないことを確認したいと考えています」と、暗号化サービスチームはブログ投稿で述べています。「作業の性質上、広く使用されているモードと標準化されたコンポーネント、つまりAESで使用されるXTSモード、そして二重および三重構成に重点を置きます。」
