После того как в 2014 году проект TrueCrypt неожиданно прекратил работу, а его анонимные авторы объявили об «отставке», одним из наиболее популярных опенсорсных средств шифрования стал VeraCrypt.
В августе 2016 года фонд OSTIF (Open Source Technology Improvement Fund) анонсировал, что в вскоре проведет независимый аудит проекта VeraCrypt, средства для которого пожертвовали DuckDuckGo и VikingVPN. Для проведения анализа были привлечены специалисты компании QuarksLab.
Хотя не обошлось без происшествий, аудит все же был завершен в срок – к середине сентября 2016 года. Теперь, спустя месяц, аудиторы представили подробный доклад (PDF) о проделанной работе, занимающий 42 страницы. Специалисты Quarkslab сосредоточили свои усилия вокруг VeraCrypt 1.18 и DCS EFI Bootloader 1.18 (UEFI), в основном изучая новые функции, которыми форк оброс после апреля 2015 года и проведенного тогда аудита проекта TrueCrypt. Исследователи пишут, что в коде форка им удалось обнаружить восемь критических уязвимостей, три умеренные уязвимости и еще пятнадцать багов низкой степени важности.
«Проект VeraCrypt трудно поддерживать, — пишут исследователи. — Нужны глубокие познания о ряде операционных систем, ядре Windows, system boot chain, а также глубокое понимание криптографии. Все изменения, внесенные в код IDRIX, демонстрируют владение данными навыками».
Среди обнаруженных проблем была критическая уязвимость в имплементации симметричного блочного шифра GOST 28147-89, от использования которого исследователи вообще рекомендовали отказаться. Полный отказ пока не был реализован, однако создать новые разделы с шифрованием GOST 28147-89 уже нельзя. Также была обнаружена и устранена возможность выявления длины boot-пароля или самого пароля полностью в UEFI режиме. XZip и XUnzip были признаны устаревшими и «плохо написанными», поэтому их заменили на более надежную libzip.
Основная часть всех найденных проблем была устранена в недавно вышедшем релизе VeraCrypt 1.19, который настоятельно рекомендуют установить всем пользователям. Впрочем, часть уязвимостей пока осталась без исправлений, так как они требуют внесения значительных модификаций в код и архитектуру проекта. В частности, пока не удалось исправить проблемы с имплементацией AES, которая уязвима перед атаками типа cache-timing. Как бы то ни было, представители OSTIF довольны достигнутым результатом:
«Проект VeraCrypt стал намного безопаснее после этого аудита, исправления уж выпущены, а значит, мир становится безопаснее, используя данное ПО».
Фото: Depositphotos