Известный специалист по криптографии, преподающий в университете Джона Хопкинса, проведет аудит новой версии OpenVPN, код которой уже доступен на GitHub. Эту новость в минувшую среду сообщил популярный провайдер VPN-услуг Private Internet Access, подрядивший Мэтью Грина (Matthew D. Green) провести тщательную проверку, как только закончится бета-тестирование OpenVPN 2.4.

Наиболее перспективным кандидатом на звание следующей стабильной версии ПО с открытым исходным кодом на настоящий момент является релиз OpenVPN 2.4_rc1, анонсированный 2 декабря.

«Аудит OpenVPN 2.4 важен для всего сообщества, так как OpenVPN работает почти на всех платформах и используется во многих приложениях, от продуктов широкого потребления вроде Private Internet Access VPN до бизнес-программ, таких как Cisco AnyConnect», — заявил представитель Private Internet Access Калеб Чэнь (Caleb Chen).

Комментируя это событие для Threatpost, Чэнь отметил, что аудиторская проверка кода уже началась, однако сколько она продлится, сказать трудно. «Мы не можем точно сказать, когда она закончится или сколько времени это займет, так как пока не знаем, когда выйдет полноценная OpenVPN 2.4 или какие уязвимости, возможно, придется устранить до выпуска финального отчета, — говорит Чэнь. — По текущим примерным оценкам, окончательный вариант OpenVPN 2.4 в лучшем случае выйдет к середине января. Мы предполагаем, что аудит OpenVPN 2.4 будет закончен к началу 2017 года».

Компания обещает, что в ходе аудита будет работать вместе с участниками проекта OpenVPN над устранением уязвимостей, если таковые найдутся в ПО, и поделится результатами с сообществом, прежде чем предать их гласности.

Грин входит в состав совета директоров аудиторского проекта OCAP (Open Crypto Audit Project) и имеет опыт проведения трудоемкой проверки криптокодов. Три года назад OCAP помог организовать аудит программы шифрования TrueCrypt, разработка которой была свернута два с половиной года назад. Второй этап этой проверки, завершившийся в прошлом году, бэкдоров, против ожидания, не выявил и показал, что TrueCrypt является «хорошо спроектированной криптографической программой», как выразился Грин. На первом этапе аудита эксперты подразделения Cryptography Services компании NCC Group обнаружили четыре уязвимости, но ни одна из них не грозила нарушением конфиденциальности.

Компания Private Internet Access, являющаяся собственностью калифорнийской London Trust Media, изъявила готовность полностью оплатить расходы по аудиту OpenVPN. Такое щедрое предложение способно свести на нет все усилия мелких VPN-сервисов по сбору средств на независимый аудит. Три недели назад благотворительный фонд OSTIF (Open Source Technology Improvement Fund) объявил кампанию по сбору пожертвований для финансирования аудита OpenVPN. На этот призыв уже откликнулись десятки бизнес-структур и около 20 небольших провайдеров, таких как VikingVPN, NordVPN, SecureVPN.to, ExpressVPN; за две недели было собрано более $34 тыс. — примерно половина требуемой суммы, по оценке OSTIF.

До того как Private Internet Access сделала заявление о спонсировании, представитель OSTIF на Reddit признал, что фонд еще не выбрал аудитора, но вполне доволен работой QuarksLab в отношении VeraCrypt. К услугам NCC Group было решено не прибегать, так как среди разработчиков OpenVPN числятся представители FoxIT, дочерней компании NCC Group.

Напомним, аудиторская проверка VeraCrypt, оплаченная из фонда OSTIF, началась в середине августа и завершилась в октябре; все выявленные уязвимости уже пропатчены.

Категории: Кибероборона, Уязвимости