加密软件 VeraCrypt 审计报告公布,发现多个高危漏洞

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

在 DuckDuckGo 和 VikingVPN 的资助下,QuarksLab 最近对开源加密软件 VeraCrypt 进行了安全审计。此次审计发现了 8个高危漏洞和 10 多个中低级别的漏洞。

关于VeraCrypt

VeraCrypt 是一款非常流行的磁盘加密软件,它基于 TrueCrypt 7.1a 开发(在 2014 年 TrueCrypt 突然关闭之后才启动的这个项目),因此可以把它看成是 TrueCrypt 的分支 。在 TrueCrypt 停用之后,VeraCrypt 接过了 TrueCrypt 的钢枪,迅速成为了一款十分受欢迎的加密软件。其开发者为法国的 Mounir Idrassi,现在是由 IDRIX 团队在负责维护,相比 TrueCrypt ,VeraCrypt 在防暴力破解方面造诣更深。

VeraCrypt 有着十分庞大的用户群,记者、安全从业人员以及很多其他用户,他们都是 VeraCrypt 的忠实粉丝。正是因为用户数量庞大(本身也存在一些漏洞),OSTIF(一个开源技术改进基金)才同意独立审计 VeraCrypt,并于今年8月聘请了 QuarksLab 研究人员主导这次审计。

发现数个高危漏洞

这次安全审计的源代码来自 VeraCrypt 1.18 版本和 VeraCrypt DCS EFI Bootloader 1.18 版本,重点聚焦在上次审查后,这款应用引入的新特性上。另外此次安全审计仅针对 Windows 版本,OS X 和 Linux 版本不在审计范围之内。另外,使用的SHA-2 值为:

VeraCrypt_1.18_Source.zip : 12c1438a9d2467dcfa9fa1440c3e4f9bd5e886a038231d7931aa2117fef3a5c5

VeraCrypt-DCS-EFI-LGPL_1.18_Source.zip : 2e8655b3b14ee427320891c08cc7f52239378ee650eb28bad9531371e7c64ae3

这次审计牵扯到方方面面,既要熟悉操作系统,Windows 内核,系统启动链,又要对密码学有了解。总之,就是对参与人员的素质要求非常高。安全专家们对 VeraCrypt 1.18 版本和 VeraCrypt DCS EFI Bootloader 1.18 版本进行了一个月的分析后,总结了一份长达42页的审计报告。

在 VeraCrypt 1.18 版本中,UEFI 支持是其最重要的功能之一,这部分代码存储在一个名为 VeraCrypt-DCS 的单独库中。但跟其他功能比起来,由于某些功能的欠缺,这个特性还是显得不够成熟。

研究人员发现,黑客能够在 UEFI 模式下轻松获取到启动密码——在用户变更密码的时候,VeraCrypt 未能正确将其擦除。

bootloader 处理的数据一般不会被擦除。一般来说,启动时用户密码会被正确清除。但在用户修改密码时,包含新密码的密码结构则不会被擦除。实际上,TrueCrypt 和 VeraCrypt 的开发人员有仔细检查内存中的数据是否被正确清除。但 DCS 模块显然没有被纳入到检查范围内。除此之外,还有一些高危的漏洞也被检查出来。其余的高危漏洞和 GOST 28147-89 对称分组密码的实施过程相关。

在 VeraCrypt 发布的 1.19 版本中,修复了报告披露的部分漏洞,而部分漏洞因为其复杂性尚未修复。已经修复的漏洞包括:VeraCrypt 使用了旧版本的 zlib 库,1.19 版移除了旧版本用新版本替换;移除 GOST 28147-89 加密选项,原因是其实现不安全;修复了多个 UEFI 支持问题。

值得一提的是,James Forshaw 在 TrueCrypt 驱动中发现的一个漏洞也被修复,该漏洞可以实现提权,而在 OCAP 审计报告中并没有提及到该漏洞。对于需要大量修改代码或架构的漏洞,VeraCrypt 暂时还没有修复。包括:

  • TC_IOCTL_OPEN_TEST,multiple issues
  • EncryptDataUnits() lacks error handling
  • AES implementation susceptible to cache-timing attacks

另外,涉及到密码机制的相关漏洞也未修复,包括:

  • Keyfile mixing is not cryptographically sound
  • Unauthenticated ciphertext in volume headers

毫无疑问,这种类型的审计不仅对用户安全非常重要,而且也加快了 bug 的发现和修复进程。现在我们更关注的是,其他的 bug何时能修复?


作者:佚名

来源:51CTO

相关文章
|
12天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。
|
13天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
36 10
|
14天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,并提供一些实用的代码示例。通过阅读本文,您将了解到如何保护自己的网络安全,以及如何提高自己的信息安全意识。
43 10
|
15天前
|
SQL 安全 网络安全
网络安全漏洞、加密技术与安全意识的知识分享
随着互联网的普及,网络安全问题日益严重。本文将介绍网络安全漏洞的概念、类型和防范措施,以及加密技术的原理和应用。同时,强调提高个人和企业的安全意识对于防范网络攻击的重要性。
|
14天前
|
存储 安全 网络安全
网络安全的盾与剑:漏洞防御与加密技术的实战应用
在数字化浪潮中,网络安全成为保护信息资产的重中之重。本文将深入探讨网络安全的两个关键领域——安全漏洞的防御策略和加密技术的应用,通过具体案例分析常见的安全威胁,并提供实用的防护措施。同时,我们将展示如何利用Python编程语言实现简单的加密算法,增强读者的安全意识和技术能力。文章旨在为非专业读者提供一扇了解网络安全复杂世界的窗口,以及为专业人士提供可立即投入使用的技术参考。
|
13天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们日常生活中不可或缺的一部分。本文将深入探讨网络安全漏洞、加密技术和安全意识等方面的问题,并提供一些实用的建议和解决方案。我们将通过分析网络攻击的常见形式,揭示网络安全的脆弱性,并介绍如何利用加密技术来保护数据。此外,我们还将强调提高个人和企业的安全意识的重要性,以应对日益复杂的网络威胁。无论你是普通用户还是IT专业人士,这篇文章都将为你提供有价值的见解和指导。
|
14天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:漏洞、加密与意识的艺术
在数字世界的迷宫中,网络安全和信息安全是守护者之剑。本文将揭示网络漏洞的面纱,探索加密技术的奥秘,并强调安全意识的重要性。通过深入浅出的方式,我们将一起走进这个充满挑战和机遇的领域,了解如何保护我们的数字身份不受威胁,以及如何在这个不断变化的环境中保持警惕和适应。
30 1
|
13天前
|
存储 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已经成为了我们生活中不可或缺的一部分。本文将介绍网络安全的基本概念,包括网络安全漏洞、加密技术以及如何提高个人和组织的安全意识。我们将通过一些实际案例来说明这些概念的重要性,并提供一些实用的建议来保护你的信息和数据。无论你是网络管理员还是普通用户,都可以从中获得有用的信息和技能。
19 0
|
14天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为全球关注的焦点。本文将探讨网络安全漏洞、加密技术以及提升安全意识的重要性。通过深入浅出的解释和实际案例分析,我们将揭示网络攻击的常见手段,介绍加密技术如何保护数据安全,并强调个人和企业应如何提高安全防范意识。无论你是IT专业人士还是普通网民,这篇文章都将为你提供宝贵的信息和建议,帮助你在网络世界中更安全地航行。
|
16天前
|
安全 算法 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为全球关注的焦点。随着技术的不断进步,网络攻击手段也在不断演变,给个人和企业带来了前所未有的挑战。本文将深入探讨网络安全漏洞的成因、影响及防范措施,介绍加密技术的原理和应用,并强调提高安全意识的重要性。通过这些知识的分享,旨在帮助读者更好地理解网络安全的重要性,采取有效措施保护个人信息和资产安全。