Er is een nieuwe versie van de op TrueCrypt-gebaseerde encryptiesoftware VeraCrypt verschenen die verschillende ernstige beveiligingslekken verhelpt, waaronder een kwetsbaarheid die uit TrueCrypt afkomstig is. De kwetsbaarheden zijn het resultaat van de audit die in september werd afgerond.
VeraCrypt is een opensource-encryptieprogramma gebaseerd op het populaire TrueCrypt, waarvan de ondersteuning in 2014 werd gestopt. TrueCrypt is echter op de aanwezigheid van backdoors geaudit, wat niet geldt voor VeraCrypt. Door het laten uitvoeren van een professionele audit wilde het Open Source Technology Improvement Fund (OSTIF) hier verandering in brengen. Het OSTIF is een nonprofit-organisatie die op verschillende manieren helpt bij het veiliger maken van opensourceprojecten.
De audit leverde acht ernstige kwetsbaarheden op, drie beveiligingslekken die als medium zijn bestempeld en vijftien lekken die minder ernstig van aard zijn of informatie kunnen lekken. Een groot deel van de gevonden kwetsbaarheden is in VeraCrypt versie 1.19 verholpen. Een aantal problemen is echter nog niet opgelost, vanwege de grote complexiteit van de voorgestelde oplossing. Wel zijn er tijdelijke "workarounds"in de documentatie van VeraCrypt aangegeven.
De doorgevoerde fixes zorgen er onder andere voor dat de GOST 28147-89-versleutelingsoptie is verwijderd, aangezien de implementatie hiervan onveilig was. Daarnaast worden toetsaanslagen na de authenticatie verwijderd, wat ook geldt voor het wissen van gevoelige gegevens. Een andere kwetsbaarheid die is verholpen betreft het lekken van de wachtwoordlengte in de MBR-bootloader. Deze kwetsbaarheid is afkomstig uit TrueCrypt, zo blijkt uit de release notes van VeraCrypt 1.19.
TrueCrypt wordt al geruime tijd niet meer ondersteund, wat inhoudt dat de kwetsbaarheid in deze software niet zal worden verholpen. Eerder werd er ook al een ander TrueCrypt-lek in VeraCrypt gepatcht wat ook nog in TrueCrypt aanwezig is. Naast patches voor de gevonden kwetsbaarheden zijn in versie 1.19 ook andere verbeteringen doorgevoerd, zoals de ondersteuning van EFI-systeemversleuteling op 32-bit versies van Windows. De nieuwste VeraCrypt-versie is te downloaden via veracrypt.codeplex.com.
Deze posting is gelocked. Reageren is niet meer mogelijk.