Các lỗi bảo mật của VeraCrypt đã được khắc phục trong phiên bản 1.19.

By | 4:38 pm | 19/10/2016

VeraCrypt_Logo.svg

Sau khi TrueCrypt ngừng hoạt động, VeraCrypt trở thành phần mềm mã hóa ổ đĩa mã nguồn mở được sử dụng phổ biến nhất.

Trước hết, không có phần mềm nào là hoàn hảo. Ngay cả các phần mềm được kiểm tra kỹ lưỡng như hệ thống vận hành SCADA, các thiết bị y tế, và các phần mềm dùng cho ngành hàng không cũng có các sai sót.

Do sự phổ biến của VeraCrypt, các nhà nghiên cứu bảo mật từ OSTIF () đã đồng ý kiểm toán VeraCrypt một cách độc lập và thuê các nhà nghiên cứu từ QuarksLab để hướng dẫn việc kiểm toán trong tháng 8.

Và có vẻ như VeraCrypt cũng không hoàn toàn là hoàn hảo.

Sau 1 tháng thực hiện kiểm toán, các nhà nghiên cứu đã phát hiện ra một số vấn đề an ninh, trong đó có 8 lỗ hổng nghiêm trọng, 3 lỗ hổng trung bình, và 15 lỗ hổng có mức độ thấp trong nền tảng mã hóa VeraCrypt.

Nhà nghiên cứu bảo mật cao cấp của Jean-Baptiste Bédrune và nhà nghiên cứu mật mã cao cấp Marion Videau của Quarkslab đã phân tích phiên bản VeraCrypt 1.18 và DCS EFI Bootloader 1.18 (UEFI), chủ yếu tập trung vào các tính năng mới được đưa ra từ kiểm toán an ninh TrueCrypt năm ngoái.

Phần mềm mã hóa file VeraCrypt được bắt nguồn từ dự án TrueCrypt, nhưng có những cải tiến hơn để nhằm bảo vệ dữ liệu người dùng hơn.

Các nhà nghiên cứu cho rằng: “VeraCrypt là một dự án khó duy trì”.

“Yêu cầu kiến thức sâu về các hệ điều hành, Nhân của Windows, chuỗi boot hệ thống và các khái niệm trong mật mã. Những cải tiến được thực hiện bởi IDRIX chứng minh việc sở hữu những kỹ năng này.”

Các nhà nghiên cứu đã mô tả tất cả các lỗ hổng này trong 42 trang báo cáo kiểm toán, bao gồm:

  • Các lỗi nghiêm trọng trong thực thi GOST , một khối mã đối xứng 64 bit, cái mà các nhà nghiên cứu cho rằng cần phải loại bỏ hoàn toàn do thực thi không an toàn.
  • Tất cả các thư viện nén được coi là lỗi thời hay “poorly-written”, và cần phải được thay thế bằng các thư viện zip hiện đại và bảo mật hơn.
  • Nếu hệ thống được mã hóa, mật khẩu khởi động phải ở chế độ UEFI hoặc chiều dài của nó cần phải được xác định.

Đa số các lỗ hổng đã được khắc phục trong phiên bản VeraCrypt 1.19 release, nhưng một vài trong số đó, bao gồm triển khai AES chưa được vá do thay đổi đáng kể của code hoặc/và kiến trúc của dự án.

Vì vậy, theo OSTIF, “VeraCrypt là an toàn hơn sau khi thực hiện kiểm toán và các bản vá lỗi được áp dụng, để có nghĩa là thế giới an toàn hơn khi sử dụng phần mềm này.”

Người dùng nên sử dụng phiên bản mới nhất của VeraCrypt 1.19.

Theo The Hacker News.