پروژهای برای بررسی متن نرمافزار TrueCrypt
سرویسهای جاسوسی و اطلاعاتی غربی، زمان و هزینهی زیادی را صرف تضعیف نرمافزارها و الگوریتمهای رمزنگاری مورد استفاده در سراسر دنیا میکنند.
یکی از نتایج افشاگریهای ادوارد اسنودن، تأیید این مسأله بود که سرویسهای جاسوسی و اطلاعاتی غربی، زمان و هزینهی زیادی را صرف تضعیف نرمافزارها و الگوریتمهای رمزنگاری مورد استفاده در سراسر دنیا میکنند. اسناد افشا شده نشان میدهند که سرویسهای جاسوسی بر روی شرکتهای امنیتی تمرکز میکنند تا در نرمافزارهای آنها «در پشتی» ایجاد کرده، از طریق کارمندان به شرکتها نفوذ کرده و استانداردهای رمزنگاری را به نفع خود تغییر دهند.
رمزنگاران که از این مسأله به خشم آمدهاند، شروع به بررسی ابزارهای خود کردهاند. اوایل ماه جاری میلادی، گروهی از ریاضیدانان برزیلی، مجموعهای از کدهای جدید را برای یک سامانهی درهمریختن داده1 به نام رمزنگاری elliptic-curve منتشر کردند تا افرادی که به کدهای ارائه شده توسط مراجع رسمی مشکوک هستند، از آنها استفاده کنند. اکنون نیز یک گروه از رمزنگاران تلاش دارند با جمعآوری سرمایهی لازم از افراد داوطلب، نرمافزار رمزنگاری معروف TrueCrypt را از لحاظ امنیتی بررسی کنند. تا کنون حدود ۴۰۰۰۰ دلار برای این پروژه جمعآوری شده است.
TrueCrypt یک ابزار رمزنگاری هارددیسک است که میتوان از آن برای رمزنگاری یک بخش یا تمام یک هارددیسک استفاده کرد. اگر هر شخص دیگری به غیر از صاحب دیسک، به دیسک و یا یک کپی از آن دسترسی پیدا کند، چیزی جز دادههای بیمعنی نخواهد دید. تنها صاحب دیسک با دانستن گذرواژه میتواند این دادههای بیمعنی را به دادههای قابل استفاده بازگرداند.
استفاده از TrueCrypt آسان است و همین مسأله آن را میان افراد مختلف، از جمله وکلایی که قصد مخفی کردن اطلاعات مشتریان خود را دارند، ویا روزنامهنگارانی که میخواهند منابع خود را پنهان نگاه دارند؛ محبوب ساخته است. همچنین، این نرمافزار متنباز است؛ یعنی هرکسی توان بارگیری و بررسی متن آن را دارا است. این به معنی آن است که برخلاف نرمافزارهای متنبستهی مشابه، نیازی به اعتماد به سازندگان آن در مورد امنیت نرمافزار نیست و هر شخصی که در مورد نرمافزار شک داشته باشد، میتواند متن آن را بررسی کرده و شک خود را برطرف سازد.
البته در دسترس بودن متن یک نرمافزار، به معنی آن نیست که واقعاً کسی آن را بازبینی کرده است. و حتی اگر کسی آن را بازبینی کرده باشد، باز هم دلیلی برای نبودن اشکالات امنیتی وجود ندارد. ایجادکنندهی اعداد تصادفی در سامانهی عامل متنباز Debian به مدت دو سال دارای یک اشکال امنیتی جدی بود که نه کشف شده و نه رفع شده بود (اعداد تصادفی برای امنیت بسیار ضروری هستند). جستجو به دنبال اشکالات امنیتی نیز کاری سخت و زمانبر است.و اکثر کاربران به جای بارگیری متن اصلی برنامه و تبدیل آن به پروندهی اجرایی، از نسخههای از پیش تولید شده استفاده میکنند، زیرا استفاده از متن اصلی برنامه کاری سخت و فنی است. همچنین متخصصان بدبینتر میگویند احتمال دارد نسخههای از پیش تولیدشده، از روی متنبرنامهای که برای بارگیری قرار داده شده، تولید نشده باشد. بنا به تمام این دلایل، متیو گرین، از استادان رمزنگاری در دانشگاه جان هاپکینز، این پروژه را ترتیب داده است تا متن نرمافزار TrueCrypt توسط یک شرکت که در این زمینه تخصص دارد، بررسی شود.
کنت وایت، مهندس امنیت و از مسئولان این پروژه میگوید: «امیدواریم که چیزی جز چند اشکال بیخطر پیدا نکنیم.» اگر سلامت این نرمافزار تأیید شود، کاربران اطمینان خواهند یافت که از بهترین امنیت موجود برخوردار هستند.
به گفتهی آقای گرین سؤالاتی در مورد این نرمافزار مطرح است. به عنوان مثال هویت توسعهدهندگان آن مشخص نیست. تنها چیزی که مشخص است، آنها اهل اروپای شرقی هستند. شاید قصد توسعه دهندگان از پنهان نگاه داشتن هویت خود، جلوگیری از جلب توجه دولت کشورشان باشد. اما همچنین ممکن است دلیل اصلی این پنهانکاری موضوع دیگری باشد که چندان مطلوب نیست.
عملکرد نرمافزار TrueCrypt نیز گاهی اوقات مشکوک است. تفاوتهایی میان عملکرد برنامه تحت ویندوز و لینوکس وجود دارد. در نسخهی ویندوزی، این برنامه قطعه دادههای طولانی و به نظر تصادفی را به انتهای درایوهایی که رمزنگاری میکند، اضافه میکند؛ این قطعه دادهها در نسخهی لینوکس وجود ندارند. کسی دلیل این موضوع را نمیداند. آقای گرین میگوید: «اگر بخواهید خیلی بدبین باشید، میتوان گفت که این داده میتواند محل بسیار مناسبی برای ذخیرهسازی گذرواژهی کاربر باشد».
البته فعلاً دلیل متقنی برای عدم اعتماد به TrueCrypt وجود ندارد و با وجود فرضیات متعدد، هنوز در میان عموم کاربران و حتی متخصصان امنیتی، از محبوبیت بالایی برخوردار است.
