开源加密软件Veracrypt中的临界缺陷

一个新的安全审计在Veracrypt，一个开源，全磁盘加密计划中发现了关键漏洞，即广泛流行的直接继任者，但现在已经存在，TrueCrypt。

鼓励用户升级到Veracrypt 1.19，该veracrypt将于星期一发布，包括大部分缺陷的补丁。有些问题仍然是未分割的，因为修复它们需要对代码的复杂更改，并且在某些情况下会与TrueCrypt中断向后兼容。

然而，在设置加密容器和使用软件时，可以通过遵循Veracrypt用户文档中提到的安全实践来避免大多数问题的影响。

由法国网络安全公司Quarkslab执行的审计，并通过开源技术改进基金（OSTIF）赞助，发现了八个关键漏洞，三种中等风险漏洞和15个低碰撞缺陷。其中一些是旧的TrueCrypt审计以前发现的未被淘汰的问题。

许多缺陷位于Veracrypt的Bootloader中，用于使用新的UEFI（统一可扩展固件接口）的计算机和ISS - 现代化BIOS。TrueCrypt，它用作Veracrypt的基础，从未支持UEFI，如果希望加密系统分区，则迫使用户禁用UEFI引导。

Veracrypt的UEFI兼容的引导加载程序 - 首先是Windows上的开源加密程序 - 于8月份发布，是Veracrypt“铅开发人员，Mounir Idrassi制造的TrueCrypt代码基础的最大补充。这使得它比其余的代码成熟得多，因此它可以理解它会在其中有更多的缺陷。

审计后的另一个变更是删除俄罗斯GOST 28147-89加密标准，其实施审计员认为不安全。用户仍然能够解密和访问使用此算法加密的现有容器，但赢得了“T”Te能够创建新的容器。

在Veracrypt进行各种操作的Xzip和Xunzip库也有缺陷，因此开发人员决定用更现代和安全的libzip库替换它们。

审计师感谢Mounir Idrassi及其公司的Idrix，用于解决所确定的问题，并开发他们所谓的“至关重要的开源软件”程序。

虽然Veracrypt适用于多个操作系统，但它位于Windows上，它具有最大的影响，因为在Windows上的Windows上的许多免费的全磁盘加密选项，也允许加密OS驱动器。

微软的BitLocker磁盘加密技术仅包含在Windows的专业和企业版本中，大多数其他解决方案都是商业的。这是一个使TrueCrypt在第一个地方受欢迎，为什么它的突然消亡留下了大空洞。

idrassi周二在Twitter上澄清，所有特定于Veracrypt的问题和从TrueCrypt继承的问题都在Veracrypt 1.19中固定。尚未修复的剩余问题是从TrueCrypt继承。