Надёжность OpenVPN будет проверена в ходе аудита
Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, сообщил об успешном ходе сбора средств для оплаты проведения полного независимого аудита механизмов шифрования, применяемых в пакете OpenVPN (за две недели собрано 34 тысячи долларов из запланированных 71 тысячи). Начало работы намечено на январь 2017 года. Работа будет выполнена французской компанией QuarksLab, которая уже привлекалась для аутида проекта VeraCrypt и находится вне юрисдикции крупнейших спецслужб, заинтересованных в организации слежки.
Кроме того, стало известно об ещё одной инициативе проведения аудита OpenVPN, инициированной группой VPN-провайдеров. Проверка затронет ветку OpenVPN 2.4, которая пока находится на стадии тестирования кандидата в релизы. Координацией проведения аудита займётся Мэттью Грин (Matthew Green), инициатор аудита TrueCrypt, один из создателей Zerocoin и участник групп, обнаруживших уязвимости RSA BSafe, Dual_EC_DRBG, Speedpass и EZpass.
Попытки организации совместной работы группы VPN-провайдеров и OSTIF пока не увенчались успехом. Аудит OSTIF подразумевает организацию закрытого взаимодействия между авторами и проверяющими, для предотвращения досрочных утечек сведений о выявленных в процессе аудита проблемах и оперативного исправления ошибок по мере их выявления. Со своей стороны, группа VPN-провайдеров заверила пользователей, что вначале результаты проверки будут направлены разработчикам OpenVPN, и только после исправления выявленных ошибок, отчёт о выполненном аудите будет представлен публично. Кроме того, вопросы вызывает ангажированность проверяющих — ожидается что аудит от группы VPN-провайдеров будет выполнен специалистами NCC Group Cryptography Services, в то время как некоторые разработчики OpenVPN работают в компании FoxIT, которая является подразделением NCC Group.
Кроме того, стало известно об ещё одной инициативе проведения аудита OpenVPN, инициированной группой VPN-провайдеров. Проверка затронет ветку OpenVPN 2.4, которая пока находится на стадии тестирования кандидата в релизы. Координацией проведения аудита займётся Мэттью Грин (Matthew Green), инициатор аудита TrueCrypt, один из создателей Zerocoin и участник групп, обнаруживших уязвимости RSA BSafe, Dual_EC_DRBG, Speedpass и EZpass.
Попытки организации совместной работы группы VPN-провайдеров и OSTIF пока не увенчались успехом. Аудит OSTIF подразумевает организацию закрытого взаимодействия между авторами и проверяющими, для предотвращения досрочных утечек сведений о выявленных в процессе аудита проблемах и оперативного исправления ошибок по мере их выявления. Со своей стороны, группа VPN-провайдеров заверила пользователей, что вначале результаты проверки будут направлены разработчикам OpenVPN, и только после исправления выявленных ошибок, отчёт о выполненном аудите будет представлен публично. Кроме того, вопросы вызывает ангажированность проверяющих — ожидается что аудит от группы VPN-провайдеров будет выполнен специалистами NCC Group Cryptography Services, в то время как некоторые разработчики OpenVPN работают в компании FoxIT, которая является подразделением NCC Group.
Ещё новости по теме:
18:20