انتشار شده در تاریخ 1392/07/28 - 15:55

پروژه‌ای برای بررسی متن نرم‌افزار TrueCrypt

سرویس‌های جاسوسی و اطلاعاتی غربی، زمان و هزینه‌ی زیادی را صرف تضعیف نرم‌افزارها و الگوریتم‌های رمزنگاری مورد استفاده در سراسر دنیا می‌کنند.

یکی از نتایج افشاگری‌های ادوارد اسنودن، تأیید این مسأله بود که سرویس‌های جاسوسی و اطلاعاتی غربی، زمان و هزینه‌ی زیادی را صرف تضعیف نرم‌افزارها و الگوریتم‌های رمزنگاری مورد استفاده در سراسر دنیا می‌کنند. اسناد افشا شده نشان می‌دهند که سرویس‌های جاسوسی بر روی شرکت‌های امنیتی تمرکز می‌کنند تا در نرم‌افزارهای آن‌ها «در پشتی» ایجاد کرده، از طریق کارمندان به شرکت‌ها نفوذ کرده و استانداردهای رمزنگاری را به نفع خود تغییر دهند.

رمزنگاران که از این مسأله به خشم آمده‌اند، شروع به بررسی ابزارهای خود کرده‌اند. اوایل ماه جاری میلادی، گروهی از ریاضیدانان برزیلی، مجموعه‌ای از کدهای جدید را برای یک سامانه‌ی درهم‌ریختن داده1 به نام رمزنگاری elliptic-curve منتشر کردند تا افرادی که به کدهای ارائه شده توسط مراجع رسمی مشکوک هستند، از آن‌ها استفاده کنند. اکنون نیز یک گروه از رمزنگاران تلاش دارند با جمع‌آوری سرمایه‌ی لازم از افراد داوطلب، نرم‌افزار رمزنگاری معروف TrueCrypt را از لحاظ امنیتی بررسی کنند. تا کنون حدود ۴۰۰۰۰ دلار برای این پروژه جمع‌آوری شده است.

TrueCrypt یک ابزار رمزنگاری هارددیسک است که می‌توان از آن برای رمزنگاری یک بخش یا تمام یک هارددیسک استفاده کرد. اگر هر شخص دیگری به غیر از صاحب دیسک، به دیسک و یا یک کپی از آن دسترسی پیدا کند، چیزی جز داده‌های بی‌معنی نخواهد دید. تنها صاحب دیسک با دانستن گذرواژه می‌تواند این داده‌های بی‌معنی را به داده‌های قابل استفاده بازگرداند.

استفاده از TrueCrypt آسان است و همین مسأله آن را میان افراد مختلف، از جمله وکلایی که قصد مخفی کردن اطلاعات مشتریان خود را دارند، ویا روزنامه‌نگارانی که می‌خواهند منابع خود را پنهان نگاه دارند؛ محبوب ساخته است. همچنین، این نرم‌افزار متن‌باز است؛ یعنی هرکسی توان بارگیری و بررسی متن آن را دارا است. این به معنی آن است که برخلاف نرم‌افزارهای متن‌بسته‌ی مشابه، نیازی به اعتماد به سازندگان آن در مورد امنیت نرم‌افزار نیست و هر شخصی که در مورد نرم‌افزار شک داشته باشد، می‌تواند متن آن را بررسی کرده و شک خود را برطرف سازد.

البته در دسترس بودن متن یک نرم‌افزار، به معنی آن نیست که واقعاً کسی آن را بازبینی کرده است. و حتی اگر کسی آن را بازبینی کرده باشد، باز هم دلیلی برای نبودن اشکالات امنیتی وجود ندارد. ایجادکننده‌ی اعداد تصادفی در سامانه‌ی عامل متن‌باز Debian به مدت دو سال دارای یک اشکال امنیتی جدی بود که نه کشف شده و نه رفع شده بود (اعداد تصادفی برای امنیت بسیار ضروری هستند). جستجو به دنبال اشکالات امنیتی نیز کاری سخت و زمان‌بر است.و اکثر کاربران به جای بارگیری متن اصلی برنامه و تبدیل آن به پرونده‌ی اجرایی، از نسخه‌های از پیش تولید شده استفاده می‌کنند، زیرا استفاده از متن اصلی برنامه کاری سخت و فنی است. همچنین متخصصان بدبین‌تر می‌گویند احتمال دارد نسخه‌های از پیش تولید‌شده، از روی متن‌برنامه‌ای که برای بارگیری قرار داده شده، تولید نشده باشد. بنا به تمام این دلایل، متیو گرین، از استادان رمزنگاری در دانشگاه جان هاپکینز، این پروژه را ترتیب داده است تا متن نرم‌افزار TrueCrypt توسط یک شرکت که در این زمینه تخصص دارد، بررسی شود.

کنت وایت، مهندس امنیت و از مسئولان این پروژه می‌گوید: «امیدواریم که چیزی جز چند اشکال بی‌خطر پیدا نکنیم.» اگر سلامت این نرم‌افزار تأیید شود، کاربران اطمینان خواهند یافت که از بهترین امنیت موجود برخوردار هستند.

به گفته‌ی آقای گرین سؤالاتی در مورد این نرم‌افزار مطرح است. به عنوان مثال هویت توسعه‌دهندگان آن مشخص نیست. تنها چیزی که مشخص است، آن‌ها اهل اروپای شرقی هستند. شاید قصد توسعه دهندگان از پنهان نگاه داشتن هویت خود، جلوگیری از جلب توجه دولت کشورشان باشد. اما همچنین ممکن است دلیل اصلی این پنهان‌کاری موضوع دیگری باشد که چندان مطلوب نیست.

عملکرد نرم‌افزار TrueCrypt نیز گاهی اوقات مشکوک است. تفاوت‌هایی میان عمل‌کرد برنامه تحت ویندوز و لینوکس وجود دارد. در نسخه‌ی ویندوزی، این برنامه قطعه داده‌های طولانی و به نظر تصادفی را به انتهای درایوهایی که رمزنگاری می‌کند، اضافه می‌کند؛ این قطعه داده‌ها در نسخه‌ی لینوکس وجود ندارند. کسی دلیل این موضوع را نمی‌داند. آقای گرین می‌گوید: «اگر بخواهید خیلی بدبین باشید، می‌توان گفت که این داده می‌تواند محل بسیار مناسبی برای ذخیره‌سازی گذرواژه‌ی کاربر باشد».

البته فعلاً دلیل متقنی برای عدم اعتماد به TrueCrypt وجود ندارد و با وجود فرضیات متعدد، هنوز در میان عموم کاربران و حتی متخصصان امنیتی، از محبوبیت بالایی برخوردار است.