Duitse overheid publiceert onderzoek naar encryptiesoftware VeraCrypt
De Duitse overheid heeft onderzoek naar encryptiesoftware VeraCrypt laten uitvoeren en de resultaten vandaag gepubliceerd. De onderzoekers vonden geen grote kwetsbaarheden maar vinden de software ongeschikt voor het beschermen van gevoelige data en personen die hoge veiligheidseisen stellen.
VeraCrypt is een opensource-encryptieprogramma voor Linux, macOS en Windows gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. Het wordt voor het grootste deel door één persoon ontwikkeld die geen uitgebreide softwareontwikkelingscyclus met algemene best practices en peer reviews volgt, aldus de onderzoekers, die een jaar met hun onderzoek bezig waren.
Verder bestaat de gebruikte code nog altijd grotendeels uit de TrueCrypt-code, die herhaaldelijk is bekritiseerd voor de slechte programmeerstijl, merken de onderzoekers op. De code in VeraCrypt is niet opgeschoond en de ontwikkelaar volgt nog steeds dubieuze programmeerkeuzes, zo laat het rapport verder weten.
In de basisfunctionaliteit van de software, zoals het verwerken van containerbestanden en de interface met kerneldriver, werden geen beveiligingsproblemen aangetroffen. Ook bij de door VeraCrypt gebruikte cryptografische algoritmes vonden de onderzoekers geen problemen. Wel maakt VeraCrypt gebruik van het gedateerde en afgeschreven RIPEMD-160-hashingalgoritme. Verder werden er eigenaardigheden ontdekt met betrekking tot de implementatie van de random number generators en het GOST-encryptiealgoritme.
Aanbevelingen
Zoals gezegd worden er tijdens het onderzoek geen grote beveiligingsproblemen in VeraCrypt aangetroffen. Wel doen de onderzoekers verschillende aanbevelingen, zoals het gebruik van opensource-libraries voor de implementatie van cryptografische functies in plaats van de eigen gedateerde cryptografische code te gebruiken. Ook doet de ontwikkelaar er verstandig aan om naar een moderne key derivation functie over te stappen.
De onderzoekers stellen ook dat VeraCrypt alleen bescherming kan bieden in het geval dat een versleuteld apparaat wordt gestolen of verloren. De software biedt geen bescherming tegen online aanvallen op een draaiend systeem. Verder biedt VeraCrypt geen bescherming in scenario's waarbij een aanvaller meerdere keren toegang tot het systeem heeft, zo laat de conclusie weten.
Naast de aanbevelingen voor de ontwikkelaar hebben de onderzoekers ook nog advies voor gebruikers en dat is dat de software niet voor vertrouwelijke data moet worden gebruikt. "De ontwikkelmethodes en resulterende codekwaliteit van VeraCrypt zijn een reden tot zorg. Daarom kunnen we VeraCrypt niet aanbevelen voor gevoelige data en personen of toepassingen met hoge veiligheidseisen."
Uberhaupt dat hun dat onderzoek doen.
En, is het dan zo goed dat je niet wilt dat de mensen het gaan gebruiken omdat je het niet kan decrypren?
zodat de NSA hier makkelijk in 1 keer alle encryptietools kan backdooren?
lijkt me erg handig als dat NIET gaat gebeuren...
ook de conclusie is dubieus... ' we kunnen niets ernstigs vinden, maar we raden het gebruik toch af'...
is dan de conclusie ' we hebben van alles gevonden maar we houden dat voor toekomstige exploits voor de duitse NSA vast?
of is de conclusie ' we hebben geen echte exploits gevonden maar het is lastig deze tool te kraken zonder dat ze gebruik maken van de standaard open source libraries die we wel kunnen kraken?
En als je computer aan staat of op het net zit, dan kan je er als aanvaller bij. Dit is altijd zo geweest bij full disk encryption. En wat is het alternatief voor Windows? Bitlocker op Windows 10 Pro?
Uberhaupt dat hun dat onderzoek doen.
En, is het dan zo goed dat je niet wilt dat de mensen het gaan gebruiken omdat je het niet kan decrypren?
Wel Veracrypt _is_ open source, dus in plaats van wat te denken kun je ook zelf kijken - heeft dat rapport gelijk ?
Het is op zich niet vreemd - en zeker te prijzen - dat ze óók open source producten die een plausibele kandidaat zijn voor encryptie van geheimen evalueren.
Ook overheidsorganisaties - en bedrijven, en instellingen die data _moeten_ encrypten kiezen daar iets voor. En ze moeten ergens solide advies krijgen voor toegestane/aanbevolen oplossingen.
https://www.diskcryptor.org/
Dit ontwikkelteam "David Xanatos" -o.a. bekend van (voortzetting) ondersteuning en ontwkkeling Sandboxie- is een donatie meer dan waard!
Uberhaupt dat hun dat onderzoek doen.
En, is het dan zo goed dat je niet wilt dat de mensen het gaan gebruiken omdat je het niet kan decrypren?
Uberhaupt dat hun dat onderzoek doen.
En, is het dan zo goed dat je niet wilt dat de mensen het gaan gebruiken omdat je het niet kan decrypren?
Verstandig! Altijd waakzaam blijven.
Old news.
Dat gegeven dateert van 2003, volgens de Wikipedia. Hoewel JonDoNym nog steeds werkzaam is, is het mijn indruk is dat de ontwikkeling door JonDos GmbH al enige tijd praktisch stil staat.
https://de.wikipedia.org/wiki/JonDo
Dat risico valt onder Linux sterk te reduceren door de applicaties op een Xen hypervisor in van elkaar geïsoleerde virtuele machines te draaien. Voor die oplossing heeft het Qubes OS project gekozen.
https://www.diskcryptor.org/
Dit ontwikkelteam "David Xanatos" -o.a. bekend van (voortzetting) ondersteuning en ontwkkeling Sandboxie- is een donatie meer dan waard!
Die heb ik jarenlang zonder problemen gebruikt, echter werd tot voor kort niet gesupport op Windows 10. Zie nu overigens dat dat nu wel het geval blijkt te zijn. Toch maar weer overstappen hierop.
Bij BSI werken voornamelijk cryptografen en andere veiligheidsexperts, bijvoorbeeld gespecialiseerd in evaluaties volgens de international standards met "Common Criteria".
De eerste conclusie van de BSI is kennelijk dat het qua cryptgrafy wel good zit bij VeraCrypt, met een aanbeveling om twee algoritmes te vervangen door iets modernere. Zo'n aanbeveling zegt niet dat VeraCrypt onveilig is, maar dat de kans op inbreuk iets hoger is als de waarde van door een inbreuk te verkrijgen gewin hoger is als de nog steeds zeer hoge hoge kosten ervan.
Die aanbeveling, en de relatie daarin met de waarde van wat beschermd wordt bij een specifieke toepassing, is een van de redenen om het gebruik af te raden voor toepassen waar de te beschermen waarde hoog is. De tweede reden komt uit Common Criteria (CC) voort, overheden en andere instelling zijn verplicht voor bepaalde IT veiligheid toepassing een veiligheidsniveau van hoger dan CC EAL3 te hebben. Een van de vereisten van dat niveau is dat de software in een gecontroleerde omgeving is ontwikkeld, waarbij alleen geautoriseerde personen bij de broncode kunnen komen en bijgehouden wordt wanneer iemand er toegang to heeft. De ontwikkelaar van VeraCrypt heeft zijn werkomgeving vast niet zo beveiligd als EAL3 voorschrijft, dus kan op die grond de ontwikkelde software niet gebruikt worden waar EAL3 vereist wordt.
De eerste conclusie van de BSI is kennelijk dat het qua cryptgrafy wel good zit bij VeraCrypt, met een aanbeveling om twee algoritmes te vervangenlaar van VeraCrypt heeft zijn werkomgeving vast niet zo beveiligd als EAL3 voorschrijft, dus kan op die grond de ontwikkelde software niet gebruikt worden waar EAL3 vereist wordt.
Dank voor je reactie die dit bericht verder van context voorziet! Ik ben benieuwd welke van de aanbevelingen overgenomen zijn door Veracrypt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
