После того как в 2014 году проект TrueCrypt неожиданно прекратил работу, а его анонимные авторы объявили об «отставке», одним из наиболее популярных опенсорсных средств шифрования стал VeraCrypt.

В августе 2016 года фонд OSTIF (Open Source Technology Improvement Fund) анонсировал, что в вскоре проведет  независимый аудит проекта VeraCrypt, средства для которого пожертвовали DuckDuckGo и VikingVPN. Для проведения анализа были привлечены специалисты компании QuarksLab.

Хотя не обошлось без происшествий, аудит все же был завершен в срок – к середине сентября 2016 года. Теперь, спустя месяц, аудиторы представили подробный доклад (PDF) о проделанной работе, занимающий 42 страницы. Специалисты Quarkslab сосредоточили свои усилия вокруг VeraCrypt 1.18 и DCS EFI Bootloader 1.18 (UEFI), в основном изучая новые функции, которыми форк оброс после апреля 2015 года и проведенного тогда аудита проекта TrueCrypt. Исследователи пишут, что в коде форка им удалось обнаружить восемь критических уязвимостей, три умеренные уязвимости и еще пятнадцать багов низкой степени важности.

«Проект VeraCrypt трудно поддерживать, — пишут исследователи. — Нужны глубокие познания о ряде операционных систем, ядре Windows, system boot chain, а также глубокое понимание криптографии. Все изменения, внесенные в код IDRIX, демонстрируют владение данными навыками».

Среди обнаруженных проблем была критическая уязвимость в имплементации симметричного блочного шифра GOST 28147-89, от использования которого исследователи вообще рекомендовали отказаться. Полный отказ пока не был реализован, однако создать новые разделы с шифрованием GOST 28147-89 уже нельзя. Также была обнаружена и устранена возможность выявления длины boot-пароля или самого пароля полностью в UEFI режиме. XZip и XUnzip были признаны устаревшими и «плохо написанными», поэтому их заменили на более надежную libzip.

Основная часть всех найденных проблем была устранена в недавно вышедшем релизе VeraCrypt 1.19, который настоятельно рекомендуют установить всем пользователям. Впрочем, часть уязвимостей пока осталась без исправлений, так как они требуют внесения значительных модификаций в код и архитектуру проекта. В частности, пока не удалось исправить проблемы с имплементацией AES, которая уязвима перед атаками типа cache-timing. Как бы то ни было, представители OSTIF довольны достигнутым результатом:

«Проект VeraCrypt стал намного безопаснее после этого аудита, исправления уж выпущены, а значит, мир становится безопаснее, используя данное ПО».

Фото: Depositphotos



Оставить мнение