Niemieckie służby (BSI) zleciły audyt bezpieczeństwa VeraCrypt

15 lutego, 2021

Pod koniec 2020 roku Niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) opublikował raport z całorocznej oceny bezpieczeństwa oprogramowania VeraCrypt do szyfrowania wolumenów i dysków dla Windows, MacOS i Linux. Audyt bezpieczeństwa został wykonany przez niemiecki instytut badawczy (Fraunhofer Institute for Secure Information Technology) zajmujący się bezpieczeństwem informacji i technologii na zlecenie BSI.

Metodologia badania obejmowała zarówno automatyczne, jak i ręczne techniki testowania typu graybox, przegląd kodu i dokumentacji, stworzenie własnych narzędzi testowych, jak i poddanie kod aplikacji fuzzingowi. W przeglądzie uwzględniono bezpieczeństwo algorytmów kryptograficznych, odporność na ataki ukierunkowane, ataki na ukryte i zaszyfrowanie wolumeny, ataki na wolumeny w systemach typu Server, ataki rodzaju side-channel i wiele więcej (szczegóły znajdują się w paragrafie 9.3).

Wnioski z badania VeraCrypt są następujące

1. Oprogramowanie VeraCrypt składa się głównie z kodu poprzednika TrueCrypt – było wielokrotnie krytykowane za nie najlepszą jakość programistyczną np. do dzisiaj wątpliwości budzi implementacja generatora liczb losowych dla różnych systemów operacyjnych.

2. Luk w algorytmach kryptograficznych nie znaleziono, ale…

3. Aplikacja nadal używa przestarzałej funkcji skrótu RIPEMD-160, w której eksperci znaleźli niedociągnięcia w odniesieniu do implementacji generatora liczb losowych i szyfru blokowego GOST. Niezbyt nowoczesne rozwiązanie zwiększa obszar ataków (w bardzo specyficznych scenariuszach).

4. Badacze z SIT zalecili używanie znanych i niezawodnych bibliotek open-source implementujących funkcje kryptograficzne, zamiast utrzymywania i używania własnego, przestarzałego kodu z TrueCrypt.

5. Eksperci we wnioskach podkreślają, że VeraCrypt może skutecznie chronić dane, ale tylko w przypadku kradzieży lub utraty zaszyfrowanych urządzeń.

6. Oprogramowanie nie chroni danych, jeżeli są one odszyfrowane. Autentyczność i integralność danych nie są zapewnione. Zamontowany wolumen VeraCrypt jest narażony na wiele wektorów ataków, w tym na wykorzystanie luk w systemie, dlatego scenariusz dostępu do wolumenu wykracza poza zakres ochrony danych.

7. VeraCrypt nie może zapewnić należytej ochrony w scenariuszach, w których atakujący może wielokrotnie odwiedzać system docelowy, mając nad nim kontrolę.

8. Praktyki programistyczne i wynikająca z nich budząca wątpliwość jakość kodu są powodem do niepokoju. „Dlatego nie możemy polecać VeraCrypt dla wrażliwych danych i osobom lub aplikacji o wysokich wymaganiach bezpieczeństwa” – stwierdzają w podsumowaniu eksperci z Secure Information Technology.

Naukowcy zalecają wykonanie podobnych ocen bezpieczeństwa również dla przyszłych wersji oprogramowania.

Przed publikacją tego raportu zespół z SIT odpowiedzialny za ocenę bezpieczeństwa skontaktował się autorem oprogramowania i wymieniono się spostrzeżeniami. Wersja 1.24-Update7 zawiera niektóre zmiany, które zostały zgłoszone producentowi VeraCrypt.

VeraCrypt

Audyt bezpieczeństwa kodu i algorytmów szyfrowania. Badanie zostało wykonane przez niemiecki instytut badawczy.
badanie

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 5 / 5. Liczba głosów: 1

Jak na razie nikt nie podzielił się opinią.

guest
2 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]