image

TrueCrypt-kwetsbaarheid in VeraCrypt gepatcht

dinsdag 7 april 2015, 11:50 door Redactie, 9 reacties

Vorige week lieten onderzoekers weten dat ze bij een audit van de populaire encryptiesoftware TrueCrypt geen backdoors hebben aangetroffen en de resultaten van het onderzoek zijn nu al gebruikt door de maker van een TrueCrypt-alternatief. Het gaat om het programma VeraCrypt, dat vorig jaar werd gelanceerd en is gebaseerd op de originele TrueCrypt-broncode.

De ontwikkelaar besloot de software te ontwikkelen omdat TrueCrypt niet meer wordt ondersteund. Voordat de ontwikkeling van TrueCrypt door de ontwikkelaars werd gestaakt hadden verschillende cryptografie-experts geld ingezameld om de encryptiesoftware te laten doorlichten. Het laatste deel van het onderzoek werd vorige week opgeleverd. De onderzoekers hadden geen backdoor, maar wel verschillende problemen, waaronder een redelijk groot probleem in de Windowsversie. In zeer bijzondere gevallen zou de software voor het genereren van de encryptiesleutel niet goed werken.

TrueCrypt wordt echter niet meer ondersteund waardoor de gevonden problemen hierin blijven bestaan, maar VeraCrypt wel dat op dezelfde broncode is gebaseerd. In dit programma is het probleem bij het genereren van de encryptiesleutels in versie 1.0f-2 nu opgelost. Ook zijn er verschillende andere problemen verholpen en zijn de prestaties verbeterd. Daardoor zou het mounten van versleutelde volumes nu tot 20% zijn versneld. VeraCrypt is beschikbaar voor Windows, Mac en Linux.

Reacties (9)
07-04-2015, 14:09 door [Account Verwijderd] - Bijgewerkt: 07-04-2015, 14:09
[Verwijderd]
07-04-2015, 14:20 door Anoniem
TrueCrypt wordt nog wel ondersteunt, alleen door een andere partij.

https://truecrypt.ch/
07-04-2015, 14:59 door Anoniem
Beste Anak Krakatau / beste misschien zit ik ernaast maar ik denk van niet, alias Forester, alias U7, alias Shanghai, alias Picasa3, alias Gerard, alias Peter V?

Kennelijk vertrouw je Veracrypt niet of juist wel?

Op je thuis Mac heb je onder OS X al wel 2 standaard ingebouwde mogelijkheden voor versleuteling van je Mac of voor zelfverkozen mappen.

1) Onder de algemene Systeem Voorkeuren voor beveiliging van je Mac kan je kiezen voor disk encryptie en het versleutelen van je aparte accounts met FileVault.

2) Het programma 'Schijfhulpprogramma.app' dat je kan vinden in de map Hulpprogramma's biedt de excellente mogelijkheid deelbestanden te encrypten (mits je ze in een folder stopt) in formaten en encryptiestandaarden naar keuze.

Mocht je moeite hebben met het genereren met lange passwords kan je zelfs nog gebruik maken van het programma 'Sleutelhangertoegang.app' dat eveneens in de map Hulpprogramma's te vinden is.

Voorzover bekend zijn de wachtwoord generators die door Apple gebruikt worden niet gekraakt of gecompromitteerd.
Wanneer je daar aan twijfelt kies je alsnog voor het zelf genereren van wachtwoorden.
De backup ontsleutel wachtwoord sleutel, voor als je je originele wachtwoord kwijtraakt, hoef je niet op te slaan in de iCloud, dan kan ook Apple of wie dan ook er ooit bij. Die aanpak creëert dan wel weer een andere risico's
Voorzover officieel bekend is de huidig gebruikte FileVault encryptie van Apple niet gekraakt en kraakt Apple deze ook niet in opdracht van overheidsdiensten zoals dat eerder wel het geval was met versleutelde iPhones.

Wat is het nut om op je Mac te kiezen voor encryptie van Veracrypt?
Vertrouw je Apple niet en Veracrypt wel?
Als dat zo is, waarom gebruik je dan nog een Mac? Is dan overstappen op Linux niet een beter idee? Beter gaan voor 'helemaal open-source' ?
Ben je wel bang voor mogelijke corruptie van de code of voor malware in Veracrypt, gebruik dan de mogelijkheden op je Mac, het zit er niet voor niets in en ook al heel erg lang.

Mocht ik met de inleidende 'identiteitswissel' gok er niet naast zitten, heb ik een verzoek aan je.
Als je nog forum topics gaat starten, deze een keer intact te laten wanneer je volgens maandelijkse/tweemaandelijkse routine je account weer opheft. De wijze waarop je dat doet levert namelijk steeds weer gebroken forumtopics op doordat de reacties wel blijven staan.

Bvd
(Wees gerust, bedoeld in de zin van, bijvoorbeeld dank, en niet, de binnenlandse veiligheidsdienst.)
07-04-2015, 15:36 door [Account Verwijderd]
Zeer goed gedaan!
Ik blijf desondanks bij Truecrypt, simpelweg omdat ik niet weet wat achter de schermen bij verschillende clones is veranderd. Veranderingen die misschien nieuwe, gevaarlijke bugs met zich meebrengt
07-04-2015, 20:00 door Anoniem
Door bbecko: Zeer goed gedaan!
Ik blijf desondanks bij Truecrypt, simpelweg omdat ik niet weet wat achter de schermen bij verschillende clones is veranderd. Veranderingen die misschien nieuwe, gevaarlijke bugs met zich meebrengt

Maar voordat de audit op TrueCrypt plaats vond wist je dat toch ook niet? Toen vertrouwde je blijkbaar de ontwikkelaar wel. Dus nu vraag ik me af waarom je VeraCrypt op basis van dit argument ineens niet vertrouwt?

Het staat je uiteraard vrij om TrueCrypt te blijven gebruiken, maar heeft het niet meer met de onbekendheid te maken. Als in onbekend maakt onbemind?
07-04-2015, 20:09 door Anoniem
@bbecko,
Conserveren! :-)
08-04-2015, 09:49 door Anoniem
@Anoniem 20:00, de betrouwbaarheid van TrueCrypt is bewezen toen overheidsdiensten wereldwijd gingen klagen dat ze TrueCrypt containers niet konden openen en in de rechtbank bekend werd gemaakt dat Truecrypt beveiligde containers alleen geopend konden worden omdat de verdachte zelf de sleutels had overhandigd. Als er een backdoor had geweest, hadden we nooit iets vernomen over truecrypt.

Bitlocker etc, is in dit opzicht veel enger, net als de FileVault van Apple. Van deze bedrijven is bekend dat ze gedwongen samenwerken met de NSA.
08-04-2015, 12:17 door johanw
De gevonden "kwetsbaarheden" waren o.a. dat een van de randombronnen de intel hardware generator is indien die aanwezig is. De onderzoekers weten blijkbaar meer dan wij door er standard vanuit te gaan dat die gecomprompromiteerd is? Gelukkig dat dat gemixt wordt met andere bronnen zodat de sleutels nog steeds random bepaald worden.

Overigens is een voordeel van TrueCrypt boven VeraCrypt wel dat TC containers ook onder Android te openen zijn met EDS (lite). Als uitwisselbaarheid gewenst is wel zo handig.
08-04-2015, 14:09 door privacy4all - Bijgewerkt: 08-04-2015, 14:11
Voor een interview met de (franse) ontwikkelaar van VeraCrypt kan je luisteren naar podcast nr 292 van de ITbende.
link: http://www.itbende.nl/blog/2015/01/itbende-podcast-nr-292-veracrypt/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.