VeraCrypt waarschuwt gebruikers voor kwetsbare XTS master key
Er is een nieuwe versie van encryptiesoftware VeraCrypt verschenen die gebruikers waarschuwt voor een kwetsbare XTS master key. In de waarschuwing staat dat de master key van het versleutelde volume kwetsbaar voor een aanval is die de dataveiligheid compromitteert. Vervolgens worden gebruikers opgeroepen een nieuw versleuteld volume aan te maken en daar alle data naar toe te verplaatsen.
In de waarschuwing staat geen verdere informatie over het soort aanval. Naast de detectie van kwetsbare XTS master keys zijn in VeraCrypt 1.26.13 ook verschillende andere aanpassingen doorgevoerd. Het gaat daarbij ook om specifieke fixes voor de Windows-, Linux-, macOS- en FreeBSD-versies. VeraCrypt is een opensource-encryptieprogramma gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. Via de software is het mogelijk om harde schijven te versleutelen, maar ook losse versleutelde containers te maken.
Citerend uit de release notes van die vorige release (bron: https://veracrypt.fr/en/Release%20Notes.html ):
"Security: Ensure that XTS primary key is different from the secondary key when creating volumes
- Issue unlikely to happen thanks to random generator properties but this check must be added to prevent attacks
- Reference: CCSS,NSA comment at page 3: https://csrc.nist.gov/csrc/media/Projects/crypto-publication-review-project/documents/initial-comments/sp800-38e-initial-public-comments-2021.pdf "
Tenzij andere aanvullende inzichten hebben, lijkt de nieuwe release dus geen nieuw/onbekend beveiligingsprobleem te fixen.
https://www.veracrypt.fr/en/Downloads.html
https://www.veracrypt.fr/en/Downloads.html
Bedankt!
Dus het bericht over deze XTS master key betekent niet dat iedereen zijn volumes en containers opnieuw moet opbouwen?
https://www.veracrypt.fr/en/Downloads.html
Bedankt!
Dus het bericht over deze XTS master key betekent niet dat iedereen zijn volumes en containers opnieuw moet opbouwen?
Waarschijnlijk niet. Voor zover ik begrijp is de kans klein dat dit daadwerkelijk speelt.
Je kunt de nightly downloaden en niet installeren maar starten als stand-alone applicatie. Dan kun je je volume ermee mounten en de nieuwe versie zou je moeten waarschuwen als de kwetsbaarheid van toepassing is op je volume.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
