开源加密软件Veracrypt中的临界缺陷

2021-10-24 08:46:34来源:

一个新的安全审计在Veracrypt,一个开源,全磁盘加密计划中发现了关键漏洞,即广泛流行的直接继任者,但现在已经存在,TrueCrypt。

鼓励用户升级到Veracrypt 1.19,该veracrypt将于星期一发布,包括大部分缺陷的补丁。有些问题仍然是未分割的,因为修复它们需要对代码的复杂更改,并且在某些情况下会与TrueCrypt中断向后兼容。

然而,在设置加密容器和使用软件时,可以通过遵循Veracrypt用户文档中提到的安全实践来避免大多数问题的影响。

由法国网络安全公司Quarkslab执行的审计,并通过开源技术改进基金(OSTIF)赞助,发现了八个关键漏洞,三种中等风险漏洞和15个低碰撞缺陷。其中一些是旧的TrueCrypt审计以前发现的未被淘汰的问题。

许多缺陷位于Veracrypt的Bootloader中,用于使用新的UEFI(统一可扩展固件接口)的计算机和ISS - 现代化BIOS。TrueCrypt,它用作Veracrypt的基础,从未支持UEFI,如果希望加密系统分区,则迫使用户禁用UEFI引导。

Veracrypt的UEFI兼容的引导加载程序 - 首先是Windows上的开源加密程序 - 于8月份发布,是Veracrypt“铅开发人员,Mounir Idrassi制造的TrueCrypt代码基础的最大补充。这使得它比其余的代码成熟得多,因此它可以理解它会在其中有更多的缺陷。

审计后的另一个变更是删除俄罗斯GOST 28147-89加密标准,其实施审计员认为不安全。用户仍然能够解密和访问使用此算法加密的现有容器,但赢得了“T”Te能够创建新的容器。

在Veracrypt进行各种操作的Xzip和Xunzip库也有缺陷,因此开发人员决定用更现代和安全的libzip库替换它们。

审计师感谢Mounir Idrassi及其公司的Idrix,用于解决所确定的问题,并开发他们所谓的“至关重要的开源软件”程序。

虽然Veracrypt适用于多个操作系统,但它位于Windows上,它具有最大的影响,因为在Windows上的Windows上的许多免费的全磁盘加密选项,也允许加密OS驱动器。

微软的BitLocker磁盘加密技术仅包含在Windows的专业和企业版本中,大多数其他解决方案都是商业的。这是一个使TrueCrypt在第一个地方受欢迎,为什么它的突然消亡留下了大空洞。

idrassi周二在Twitter上澄清,所有特定于Veracrypt的问题和从TrueCrypt继承的问题都在Veracrypt 1.19中固定。尚未修复的剩余问题是从TrueCrypt继承。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章