ПО для шифрования VeraCrypt подверглось аудиту
Quarkslab made a security assessment of VeraCrypt 1.18. The audit was funded by OSTIF and was performed by two Quarkslab engineers between Aug. 16 and Sep. 14, 2016 for a total of 32 man-days of study. A critical vulnerability, related to cryptography, has been identified. It has been introduced in version 1.18, and will be fixed in version 1.19.
VeraCrypt представляет из себя ПО для шифрования файлов на лету и является ответвлением (форком) от другого известного ПО для шифрования под названием TrueCrypt, поддержка которого была прекращена еще в 2014 г. Поддержка VeraCrypt осуществляется французским программистом Mounir Idrassi.
Исправлению подверглось как само ПО, так и та его часть, которая относится к загрузчику ОС (bootloader). Следующие уязвимости были исправлены в версии 1.19.
— Полностью удалена настройка шифрования по стандарту GOST 28147–89.
— Удалена поддержка библиотек XZip и XUnzip, вместо них VeraCrypt использует более безопасные библиотеки libzip.
— Исправлена уязвимость в загрузчике (bootloader), которая позволяла атакующему вычислять длину пароля.
— Исправлена уязвимость в коде загрузчика, которая позволяла оставлять в памяти BIOS Data Area введенный пользователем пароль, что могло быть использовано атакующими.
— Исправлена аналогичная уязвимость, которая позволяла оставлять конфиденциальные данные загрузчика в памяти, не удаляя их должным образом. Уязвимость может позволить атакующим получить доступ к новому паролю пользователя при его изменении со старого.
— Исправлена уязвимость в загрузчике, которая относится к типу memory-corruption и присутствует в коде библиотеки XUnzip при обработке архивов VeraCrypt Recovery Disk. Уязвимость устранена путем прекращения поддержки XUnzip и переходом на libzip.
— Исправлена уязвимость в загрузчике, которая приводила к разыменованию нулевого указателя,
С полной версией отчета о проделанном аудите можно ознакомиться здесь.
be secure.
Комментарии (3)
18 октября 2016 в 13:48
+1↑
↓
А есть информация, какие из этих уязвимостей были портированы из TrueCrypt, а какие привнесены позднее?18 октября 2016 в 15:03 (комментарий был изменён)
+1↑
↓
Из официального ченджлога можно узнать об одной такой уязвимости (унаследованной), а из новости на опеннете (новостники у них крутые, но в комментах традиционно жуткое петросянство), что большинство уязвимостей содержится в новом EFI-загрузчике, который был представлен лишь в прошлом выпуске. Постепенно его отшлифуют. Сам загрузчик — очень нужен, поскольку старый (MBR-загрузчик) не может работать на современных системах, где ОС установлена на GPT-раздел.18 октября 2016 в 15:09 (комментарий был изменён)
+1↑
↓
Кстати, интересный факт: есть метод, позволяющий практически со 100% вероятностью узнать, есть ли внутри тома TrueCrypt другой том, скрытый. В VeraCrypt это исправлено, а вот пользователям TrueCrypt правдоподобно отрицать наличие скрытого тома («вот, гражданин начальник, я при вас ввёл пароль и тут только фоточки с котиками, больше ничего нет») уже невозможно. Исправляться в TrueCrypt это уже не будет. В этом его фатальный недостаток — развитие прекращено.