Deze week kwam het Open Source Technology Improvement Fund (OSTIF) met een bericht waarin het stelde dat e-mails over een audit van het encryptieprogramma VeraCrypt werden onderschept, maar één van de betrokken partijen meldt nu dat het aan zijn kant zeer waarschijnlijk een lokaal probleem betreft.
VeraCrypt is een encryptieprogramma waarmee gebruikers bestanden en hun volledige harde schijf kunnen versleutelen. Het is gebaseerd op het populaire TrueCrypt, waarvan de ondersteuning in 2014 werd gestopt. De werking en code van VeraCrypt zijn nooit geaudit, waar het OSTIF nu verandering in wil brengen. De audit zal door beveiligingsbedrijf Quarkslab worden uitgevoerd.
Verschillende e-mails die tussen OSTIF, de VeraCrypt-ontwikkelaar en Quarkslab werden uitgewisseld bleken echter verdwenen te zijn. Volgens het OSTIF waren de berichten onderschept. "Ik denk dat de aankondiging een fout was. Ik verloor een bericht dat ik naar Mounir stuurde (Mounir Idrassi, de ontwikkelaar van VeraCrypt) en Derek (Derek Zimmer, ceo van OSTIF). Ze hadden drie keer eerder met soortgelijke problemen te maken gekregen", zegt Fred Raynal, ceo van Quarkslab, tegenover Threatpost. "Vervolgens kwam Derek met een verklaring, maar hij had dat niet moeten doen. Aan mijn kant weet ik vrij zeker dat het om een lokaal probleem op mijn computer gaat tussen Mail.app en GPGMail."
De audit zal zich op alle nieuwe code richten die sinds het verdwijnen van TrueCrypt is toegevoegd. Daarnaast zal er speciale aandacht aan EFI en schijfversleuteling, alsmede nieuw toegevoegde encryptie-algoritmes worden gegeven. Volgens Idrassi is EFI-encryptie de belangrijkste nieuwe feature ten opzichte van TrueCrypt. TrueCrypt ondersteunde namelijk alleen volledige schijfversleuteling van systemen met een master boot record (MBR).
Tegenwoordig beschikken steeds meer systemen over een Extensible Firmware Interface (EFI). Daardoor kunnen deze gebruikers TrueCrypt niet gebruiken. Sinds het toevoegen van EFI-ondersteuning aan VeraCrypt 1.18 kunnen deze gebruikers toch weer hun systeem versleutelen. De VeraCrypt-audit zou halverwege september moeten zijn afgerond. Het OSTIF wilde niet op vragen over de eerdere aankondiging reageren.
Deze posting is gelocked. Reageren is niet meer mogelijk.