За статистикою з офіційного сайту, програма для роботи із зашифрованими розділами і файлами TrueCrypt була завантажена майже тридцять мільйонів разів. Це один з найбільш, якщо не наймасовіший криптографічний інструмент, доступний простому смертному і в той же час володіє багатими і глибокими можливостями.
Наступного року TrueCrypt виповниться десять років. Незважаючи на такий солідний вік, за весь цей час так і не був проведений формальний незалежний аудит коду програми. Як і в багатьох інших проектах Open Source розробники постійно працюють над новим функціоналом і виправленням помилок, але не знаходять часу, грошей і можливостей для подібних заходів. У TrueCrypt є й інші проблеми - не зовсім ясна і зрозуміла ліцензія, немає офіційного репозитарію коду на Гітхабі або іншому подібному майданчику, не формалізований процес компіляції і складання, через що не можна гарантувати ідентичність роботи програми на різних платформах.
Все це, а так само одкровення Едварда Сноудена про тотальне стеження і закладки АНБ в криптографічному софті, які кидають тінь у тому числі і на TrueCrypt, надихнуло Кеннета Вайта, програміста і фахівця з біотехнологій, і Метью Гріна, професора Університету Джонса Хопкінса і криптолога, почати краудфандингову кампанію, мета якої - провести повний аудит коду TrueCrypt, привести в порядок його ліцензію, розробити і документувати стандартний алгоритм складання бінарників на всіх платформах і створити публічний репозиторій коду. Ідею підтримала і команда розробників TrueCrypt.
Збір коштів ведеться на двох краудфандингових майданчиках - FundFill і IndceGoGo, причому FundFill приймає не тільки платіжні картки, але і біткоіни. На момент написання статті на обох майданчиках було зібрано 62 953 долари. Крім того, створено сайт проекту з докладним описом цілей, методів аудиту та поточними новинами кампанії.
Попередній план приведення TrueCrypt до ладу складається з чотирьох пунктів:
- Перегляд ліцензії. TrueCrypt публікується під старою, нестандартною і, можливо не зовсім вільною і відкритою ліцензією. Професійні юристи проаналізують і відредагують її.
- Стандартизація бінарників. Більшість користувачів скачують TrueCrypt у скомпільованому вигляді. Необхідно розробити стандартну процедуру збирання на всіх платформах, яка гарантує коректну роботу TrueCrypt в будь-якому оточенні, подібну до тієї, яку використовує Tor.
- Премії за знайдені баги. Якщо буде зібрано достатньо коштів, буде створено фонд, з якого виплачуватимуться винагороди за знайдені вразливості.
- Професійний аудит. Весь код буде досліджений фахівцями однієї з авторитетних компаній, що мають досвід в аудиті безпеки криптографічного ПЗ.
TrueCrypt містить понад 70 000 рядків коду на Ассемблері, С і C++. Кампанія на IndceGoGo завершується 13 грудня. Якщо все піде за планом, аудит коду буде закінчено в лютому наступного року.
