Фонд OSTIF проведет аудит безопасности проекта VeraCrypt
Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищенности открытых проектов, объявил о соглашении по предоставлению финансирования для проведения полного аудита безопасности проекта VeraCrypt, в рамках которого развивается форк системы шифрования дисковых разделов TrueCrypt. Средства для аудита переданы компаниями DuckDuckGo и VikingVPN. В качестве исполнителя работы по глубокому анализу кода и выявлению уязвимостей планируется нанять компанию QuarksLab. Работу планируется завершить в середине сентября.
Для предотвращения утечки выявленных в процессе аудита проблем между QuarksLab и VeraCrypt налажен обмен шифрованными почтовыми сообщениями (используется PGP), позволяющий оперативно устранять найденные проблемы. Интересно, что вскоре после организации обмена сообщениями между OSTIF, QuarksLab и лидером VeraCrypt, всплыли неоднократные и наблюдаемые для разных участников дискуссии подозрительные потери писем. По мнению OSTIF, подобный эффект может быть связан с попыткой наладить третьими лицами перехват почтового трафика с обсуждением хода аудита.
Из других открытых проектов, которые ранее были профинансированы для аудита отмечены OpenSSL, OpenVPN, GnuPG и OTR (Off the Record Messaging). Из претендентов на проведение аудита в будущем упомянуты nginx, Tor, NoScript, Signal/Textsecure, Tails и Tunnelblick.