image

Audit van encryptiesoftware VeraCrypt afgerond

dinsdag 13 september 2016, 12:24 door Redactie, 2 reacties

Een beveiligingsbedrijf heeft de versleutelingssoftware VeraCrypt geaudit en zal de resultaten binnenkort openbaar maken, als de ontwikkelaars van de encryptiesoftware de tijd hebben gehad om alle gevonden problemen te verhelpen. Dat laat het Open Source Technology Improvement Fund (OSTIF) weten.

VeraCrypt is een opensourceprogramma waar gebruikers bestanden, usb-sticks, externe harde schijven en zelfs complete systemen mee kunnen versleutelen. Het is gebaseerd op het bekende versleutelingsprogramma TrueCrypt, waarvan de ondersteuning in 2014 werd gestopt. TrueCrypt is echter op de aanwezigheid van backdoors geaudit, wat niet geldt voor VeraCrypt. Door het laten uitvoeren van een professionele audit wil het OSTIF hier verandering in brengen.

Het OSTIF is een nonprofit-organisatie die op verschillende manieren helpt bij het veiliger maken van opensourceprojecten. Het gaat bijvoorbeeld om beloningsprogramma's voor het melden van kwetsbaarheden, het financieren van codeverbeteringen en het laten uitvoeren van audits. De audit van VeraCrypt werd door beveiligingsbedrijf QuarksLab uitgevoerd en heeft ruim drie weken in beslag genomen.

De ontwikkelaars van VeraCrypt hebben de voorlopige bevindingen inmiddels ontvangen, terwijl het auditrapport nu verder wordt afgerond. "Om ervoor te zorgen dat het publiek zo veilig als mogelijk is, zal het auditrapport pas verschijnen als alle bugs zijn verholpen. Deze vertraging moet ervoor zorgen dat een nieuwe versie van de software gelijktijdig met de publicatie van de auditresultaten beschikbaar is", zo laat het OSTIF weten. De resultaten zullen tegelijkertijd op de website van VeraCrypt, het OSTIF en QuarksLab worden gepubliceerd.

Reacties (2)
14-09-2016, 15:45 door Anoniem
om alle gevonden problemen te verhelpen.
Truecrypt was voorheen in orde bevonden.
Voorzichtige conclusie: In de aanpassingen c.q. door de aanpassingen zijn er 'lekken' ontstaan, die blijkbaar ernstig genoeg zijn om te wachten met de publicatie.
14-09-2016, 20:32 door Anoniem
Door Anoniem:
om alle gevonden problemen te verhelpen.
Truecrypt was voorheen in orde bevonden.
Voorzichtige conclusie: In de aanpassingen c.q. door de aanpassingen zijn er 'lekken' ontstaan, die blijkbaar ernstig genoeg zijn om te wachten met de publicatie.
True, als het veilig zou zijn geweest hadden we dat allang geweten. Er moet dus wel heel veel mis zijn met Veracrypt. Vermoedelijk toch een NSA achterdeurtje aangetroffen door de auditers?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.