Niemieckie służby (BSI) zleciły audyt bezpieczeństwa VeraCrypt

15 02 2021

Pod koniec 2020 roku Niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) opublikował raport z całorocznej oceny bezpieczeństwa oprogramowania VeraCrypt do szyfrowania wolumenów i dysków dla Windows, MacOS i Linux. Audyt bezpieczeństwa został wykonany przez niemiecki instytut badawczy (Fraunhofer Institute for Secure Information Technology) zajmujący się bezpieczeństwem informacji i technologii na zlecenie BSI.

Metodologia badania obejmowała zarówno automatyczne, jak i ręczne techniki testowania typu graybox, przegląd kodu i dokumentacji, stworzenie własnych narzędzi testowych, jak i poddanie kod aplikacji fuzzingowi. W przeglądzie uwzględniono bezpieczeństwo algorytmów kryptograficznych, odporność na ataki ukierunkowane, ataki na ukryte i zaszyfrowanie wolumeny, ataki na wolumeny w systemach typu Server, ataki rodzaju side-channel i wiele więcej (szczegóły znajdują się w paragrafie 9.3).

Wnioski z badania VeraCrypt są następujące

1. Oprogramowanie VeraCrypt składa się głównie z kodu poprzednika TrueCrypt – było wielokrotnie krytykowane za nie najlepszą jakość programistyczną np. do dzisiaj wątpliwości budzi implementacja generatora liczb losowych dla różnych systemów operacyjnych.

2. Luk w algorytmach kryptograficznych nie znaleziono, ale…

3. Aplikacja nadal używa przestarzałej funkcji skrótu RIPEMD-160, w której eksperci znaleźli niedociągnięcia w odniesieniu do implementacji generatora liczb losowych i szyfru blokowego GOST. Niezbyt nowoczesne rozwiązanie zwiększa obszar ataków (w bardzo specyficznych scenariuszach).

4. Badacze z SIT zalecili używanie znanych i niezawodnych bibliotek open-source implementujących funkcje kryptograficzne, zamiast utrzymywania i używania własnego, przestarzałego kodu z TrueCrypt.

5. Eksperci we wnioskach podkreślają, że VeraCrypt może skutecznie chronić dane, ale tylko w przypadku kradzieży lub utraty zaszyfrowanych urządzeń.

6. Oprogramowanie nie chroni danych, jeżeli są one odszyfrowane. Autentyczność i integralność danych nie są zapewnione. Zamontowany wolumen VeraCrypt jest narażony na wiele wektorów ataków, w tym na wykorzystanie luk w systemie, dlatego scenariusz dostępu do wolumenu wykracza poza zakres ochrony danych.

7. VeraCrypt nie może zapewnić należytej ochrony w scenariuszach, w których atakujący może wielokrotnie odwiedzać system docelowy, mając nad nim kontrolę.

8. Praktyki programistyczne i wynikająca z nich budząca wątpliwość jakość kodu są powodem do niepokoju. „Dlatego nie możemy polecać VeraCrypt dla wrażliwych danych i osobom lub aplikacji o wysokich wymaganiach bezpieczeństwa” – stwierdzają w podsumowaniu eksperci z Secure Information Technology.

Naukowcy zalecają wykonanie podobnych ocen bezpieczeństwa również dla przyszłych wersji oprogramowania.

Przed publikacją tego raportu zespół z SIT odpowiedzialny za ocenę bezpieczeństwa skontaktował się autorem oprogramowania i wymieniono się spostrzeżeniami. Wersja 1.24-Update7 zawiera niektóre zmiany, które zostały zgłoszone producentowi VeraCrypt.

VeraCrypt

Audyt bezpieczeństwa kodu i algorytmów szyfrowania. Badanie zostało wykonane przez niemiecki instytut badawczy.
badanie

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
2 komentarzy
Inline Feedbacks
View all comments
lolwut
lolwut
11 dni temu

czyli 'średnio na jeża' i bez backdoorów… może być!

karakan
karakan
6 dni temu

To znaczy że Vera jest bezpieczy gdy jest zaszyfrowany, ale odszyfrowany może być spenetrowany przez dziurawy system na którym się znajduje.To raczej wina systemu a nie programu szyfrującego.

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

RAPORT
Cyberbezpieczeństwo
Trendy 2021

Już dostępny!
raport

Dlaczego korzystamy z dHosting?

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

RAPORT
Cyberbezpieczeństwo:
Trendy 2021

Już dostępny!

Dlaczego korzystamy
z dHosting?

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone