image

VeraCrypt waarschuwt gebruikers voor kwetsbare XTS master key

maandag 19 augustus 2024, 11:24 door Redactie, 8 reacties

Er is een nieuwe versie van encryptiesoftware VeraCrypt verschenen die gebruikers waarschuwt voor een kwetsbare XTS master key. In de waarschuwing staat dat de master key van het versleutelde volume kwetsbaar voor een aanval is die de dataveiligheid compromitteert. Vervolgens worden gebruikers opgeroepen een nieuw versleuteld volume aan te maken en daar alle data naar toe te verplaatsen.

In de waarschuwing staat geen verdere informatie over het soort aanval. Naast de detectie van kwetsbare XTS master keys zijn in VeraCrypt 1.26.13 ook verschillende andere aanpassingen doorgevoerd. Het gaat daarbij ook om specifieke fixes voor de Windows-, Linux-, macOS- en FreeBSD-versies. VeraCrypt is een opensource-encryptieprogramma gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. Via de software is het mogelijk om harde schijven te versleutelen, maar ook losse versleutelde containers te maken.

Reacties (8)
19-08-2024, 14:53 door Anoniem
De huidige release (1.26.13 / August 17th, 2024) lijkt slechts een bescherming toe te voegen, waaronder een waarschuwing, voor gebruikers die containers hebben waarvan de XTS-masterkey kwetsbaar is voor een issue dat al tijdens de vorige release van VeraCrypt (1.26.7 / October 1st, 2023) was onderkend, namelijk dat de eerste en tweede sleutel waaruit die masterkey bestaat gelijk zijn en een aanval op XTS-mode mogelijk wordt.

Citerend uit de release notes van die vorige release (bron: https://veracrypt.fr/en/Release%20Notes.html ):

"Security: Ensure that XTS primary key is different from the secondary key when creating volumes

- Issue unlikely to happen thanks to random generator properties but this check must be added to prevent attacks
- Reference: CCSS,NSA comment at page 3: https://csrc.nist.gov/csrc/media/Projects/crypto-publication-review-project/documents/initial-comments/sp800-38e-initial-public-comments-2021.pdf "

Tenzij andere aanvullende inzichten hebben, lijkt de nieuwe release dus geen nieuw/onbekend beveiligingsprobleem te fixen.
19-08-2024, 17:42 door Anoniem
Vind het wel bijzonder op te zien dat het "bewuste backdoor zit er ingebouwd"-volk wat bij andere grote vendors onder het bericht staat hier zich niet laten horen.
19-08-2024, 20:34 door Anoniem
Door Anoniem: Vind het wel bijzonder op te zien dat het "bewuste backdoor zit er ingebouwd"-volk wat bij andere grote vendors onder het bericht staat hier zich niet laten horen.
Misschien omdat het open-source en geaudit is.
19-08-2024, 22:11 door Anoniem
Hoi, geldt deze kwetsbaarheid voor alle volumes en containers die met eerdere versies van vc gemaakt zijn? Of alleen voor volumes en containers die een XTS master key gebruiken (maw, is dit 1 type master key en bestaan er ook andere)? Ik heb er nog nooit van gehoord. Tnx
20-08-2024, 03:22 door Hyper
1.26.13 is Nightly. Voor niet-testomgevingen raad ik de laatste Stable aan, 1.26.7
https://www.veracrypt.fr/en/Downloads.html
20-08-2024, 14:29 door Anoniem
Door Anoniem:
Door Anoniem: Vind het wel bijzonder op te zien dat het "bewuste backdoor zit er ingebouwd"-volk wat bij andere grote vendors onder het bericht staat hier zich niet laten horen.
Misschien omdat het open-source en geaudit is.
Inderdaad VeraCrypt is bij de overstap van TrueCrypt flink door de Audit molen gehaald, wat je overigens bij vele andere opensource applicaties niet kunt zeggen.
20-08-2024, 15:28 door Anoniem
Door Hyper: 1.26.13 is Nightly. Voor niet-testomgevingen raad ik de laatste Stable aan, 1.26.7
https://www.veracrypt.fr/en/Downloads.html

Bedankt!
Dus het bericht over deze XTS master key betekent niet dat iedereen zijn volumes en containers opnieuw moet opbouwen?
20-08-2024, 16:39 door Hyper
Door Anoniem:
Door Hyper: 1.26.13 is Nightly. Voor niet-testomgevingen raad ik de laatste Stable aan, 1.26.7
https://www.veracrypt.fr/en/Downloads.html

Bedankt!
Dus het bericht over deze XTS master key betekent niet dat iedereen zijn volumes en containers opnieuw moet opbouwen?

Waarschijnlijk niet. Voor zover ik begrijp is de kans klein dat dit daadwerkelijk speelt.
Je kunt de nightly downloaden en niet installeren maar starten als stand-alone applicatie. Dan kun je je volume ermee mounten en de nieuwe versie zou je moeten waarschuwen als de kwetsbaarheid van toepassing is op je volume.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.