image

VeraCrypt verhelpt TrueCrypt-lek en andere kwetsbaarheden

dinsdag 18 oktober 2016, 09:31 door Redactie, 5 reacties

Er is een nieuwe versie van de op TrueCrypt-gebaseerde encryptiesoftware VeraCrypt verschenen die verschillende ernstige beveiligingslekken verhelpt, waaronder een kwetsbaarheid die uit TrueCrypt afkomstig is. De kwetsbaarheden zijn het resultaat van de audit die in september werd afgerond.

VeraCrypt is een opensource-encryptieprogramma gebaseerd op het populaire TrueCrypt, waarvan de ondersteuning in 2014 werd gestopt. TrueCrypt is echter op de aanwezigheid van backdoors geaudit, wat niet geldt voor VeraCrypt. Door het laten uitvoeren van een professionele audit wilde het Open Source Technology Improvement Fund (OSTIF) hier verandering in brengen. Het OSTIF is een nonprofit-organisatie die op verschillende manieren helpt bij het veiliger maken van opensourceprojecten.

De audit leverde acht ernstige kwetsbaarheden op, drie beveiligingslekken die als medium zijn bestempeld en vijftien lekken die minder ernstig van aard zijn of informatie kunnen lekken. Een groot deel van de gevonden kwetsbaarheden is in VeraCrypt versie 1.19 verholpen. Een aantal problemen is echter nog niet opgelost, vanwege de grote complexiteit van de voorgestelde oplossing. Wel zijn er tijdelijke "workarounds"in de documentatie van VeraCrypt aangegeven.

De doorgevoerde fixes zorgen er onder andere voor dat de GOST 28147-89-versleutelingsoptie is verwijderd, aangezien de implementatie hiervan onveilig was. Daarnaast worden toetsaanslagen na de authenticatie verwijderd, wat ook geldt voor het wissen van gevoelige gegevens. Een andere kwetsbaarheid die is verholpen betreft het lekken van de wachtwoordlengte in de MBR-bootloader. Deze kwetsbaarheid is afkomstig uit TrueCrypt, zo blijkt uit de release notes van VeraCrypt 1.19.

TrueCrypt wordt al geruime tijd niet meer ondersteund, wat inhoudt dat de kwetsbaarheid in deze software niet zal worden verholpen. Eerder werd er ook al een ander TrueCrypt-lek in VeraCrypt gepatcht wat ook nog in TrueCrypt aanwezig is. Naast patches voor de gevonden kwetsbaarheden zijn in versie 1.19 ook andere verbeteringen doorgevoerd, zoals de ondersteuning van EFI-systeemversleuteling op 32-bit versies van Windows. De nieuwste VeraCrypt-versie is te downloaden via veracrypt.codeplex.com.

Reacties (5)
18-10-2016, 10:01 door Happy Linux User
Toen Truecrypt in eens niet meer door ging, kwam vera naar voren. Ik vraag me alleen af of deze echt back-door vrij is.
De één na laatste versie van truecrypt (was dat niet iets met 7.2?) leek voor zover ik weet de enige goede versie.
Maar is Vera nu wel of niet een serieuze goede vervanger?
18-10-2016, 10:35 door Anoniem
Dus truecrypt was geaudit en veracrypt niet, naar toen ze veracrypt gingen auditen kwamen er nog bugs uit de truecrypt code, ik zou zeggen gefeliciteerd aan de originele truecrypt auditors...
18-10-2016, 10:54 door Anoniem
Zoals je kunt lezen is er ook op VeraCrypt een onafhankelijke audit uitgevoerd.
18-10-2016, 11:06 door Anoniem
Door Anoniem: Dus truecrypt was geaudit en veracrypt niet, naar toen ze veracrypt gingen auditen kwamen er nog bugs uit de truecrypt code, ik zou zeggen gefeliciteerd aan de originele truecrypt auditors...
Het ging er bij de Audit van TrueCrypt om, om vast te stellen of er backdoors in zaten. Dat was niet het geval.
Een Audit ? Audit.
18-10-2016, 20:15 door Anoniem
Tja, het zogenaamde veiligere Veracrypt heeft nog meer kritieke zaken als Truecrypt in 2014, maar liefst 8 kritieke lekken zitten er in terwijl de maker claimde de gevonden kritieke lekken in Truecrypt in Veracrypt te hebben opgelost. Tja, wie wordt er nu in de maling genomen. Voor zover ik kan beoordelen is de laatste versie van Truecrypt, versie 7.1a, een stuk veiliger dan het huidige Veracrypt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.