磁盘加密程序VeraCrypt出现8个高危漏洞 TrueCrypt已经停止开发2年 你的选择是什么?-阿里云开发者社区

开发者社区> 晚来风急> 正文

磁盘加密程序VeraCrypt出现8个高危漏洞 TrueCrypt已经停止开发2年 你的选择是什么?

简介:
+关注继续查看

流行的磁盘加密平台VeraCrypt上发现了一些安全漏洞,其中8个高危漏洞、3个中危漏洞和15个低危漏洞。这些漏洞是由来自Quarkslab的研究员Jean-Baptiste Bédrune和密码学家Marion Videau发现的。

Quarkslab做什么的

据其官方资料显示,Quarkslab 是一家高端的网络安全公司,主要致力于漏洞研究及安全解决方案设计。公司的地址在法国巴黎,71 Avenue des Ternes, 75017 Paris

开源技术改进基金会(Open Source Technology Improvement Fund)对这次审计发表意见说:

“这次审计之后,VeraCrypt变得安全得多,并且应用在这款软件上的修复补丁意味着世界在使用这款软件时也变得更安全。”

VeraCrypt是什么

VeraCrypt是由IDRIX维护的、基于TrueCrypt 7.1a的项目,2014年TrueCrypt项目令人震惊的关闭之后,该项目开始启动。

VeraCrypt%20homepage.png

TrueCrypt项目关闭原因一度让大家议论纷纷

TrueCrypt在官方页面以醒目的红色字体警告道:

TrueCrypt存在尚未解决的安全问题,使用起来并不安全。在微软停止支持WindowsXP后,TrueCrypt也于2014年5月停止了开发。Windows8/7/Vista等都集成了磁盘加密和虚拟磁盘镜像功能,其他一些操作系统也都集成了类似的功能,建议用户将用TrueCrypt加密的数据尽快迁移到上述操作系统的加密磁盘或者虚拟磁盘镜像中,或者迁移到BitLocker等其他加密软件中。

专家分析了VeraCrypt 1.18和DCS EFI Bootloader 1.18 (UEFI),主要关注2015年4月TrueCrypt安全审计后新引入的功能。

VeraCrypt.png

VeraCrypt 1.18实现的最重要功能之一是UEFI支持。这一功能的代码位于单独的存储库,名为VeraCrypt-DCS (Disk Cryptography Services)。与项目的其他模块相比,这一新模块被认为不太成熟。模块的一些组成部分尚不完整或根本没有实施。

“如《加密被激活后密码长度可以被计算出来》(The Length of the Password Can Be Computed When Encryption Is Activated)一文所解释的那样,在启动时,按键操作被存储在BIOS数据区特定的缓冲区中。平行到UEFI:每个驱动器都有自己的包含这些按键操作的缓冲区。缓冲区的地址未知,完全取决于实现。用户提供的密码由VeraCrypt引导加载器的GetKey函数逐字符地读取。”

“难以确保驱动器的实现会擦除包含按键操作的缓冲区。”

他们发现,UEFI模型下的引导密码可能会被攻击者检索到,因为这一程序无法在用户更改密码时擦除密码。

专家公布的分析报告称:“引导加载器处理的数据很少被擦除。用户密码在启动时会被妥善地清除。但是,当用户修改密码时,包含新密码的Password结构不会被擦除(见DcsInt / DcsInt.c中的SecRegionChangePwd函数)。TrueCrypt和VeraCrypt的开发者很仔细地检查敏感数据是否被妥当地从内存中删除。然而,这种程度的小心翼翼还没有被纳入到DCS中。”

其他关键问题与GOST 28147-89对称分组加密的实现有关。人们已经知道这一加密形式会受到实现错误的影响。

报告称:“从可用对称加密算法列表中去掉GOST 28147-89和更广泛意义的任何64位对称加密算法。”

VeraCrypt 1.9版本修复了这些关键、中危、低危漏洞。然而,由于漏洞修复的高度复杂性,一些漏洞仍没有得到修复。

报告称:“所有被考虑到的漏洞都得到了修复(除了其中一个较小的漏洞)。尤其是,James Forshaw在OCAP审计之后发现的、TrueCrypt驱动器中导致权限提升的问题得到了解决。有些漏洞的修复要求对项目代码或者架构进行大量改动,还未完成。”

这种安全审计对用户的安全性非常重要,能加快发现和修复漏洞的过程。



原文发布时间:2017年3月24日

本文由:securityaffairs  发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/disk-encryption-veracrypt-8-high-risk-vulnerabilities

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
03.Eclipse下Ndk开发(以文件加密为例模拟一下开发过程)
(创建于2017/12/2) 1.编写native方法 package com.example.ndk_file_encrpty; public class Cryptor { static{ System.
849 0
DataWorks新推出在线开发UDF的产品——Function Studio
DataWorks新推出在线开发UDF的产品——Function Studio。她免去了您下载安装本地IDE、配置维护环境变量的繁琐工作,您只需要一个浏览器即可编写、运行和调试应用程序,体验和本地IDE一样的编程效果。
4916 0
开放下载!《无需从0开发 平头哥教你1天上手蓝牙Mesh应用解决方案》
弄潮新基建,玩转智能生活!《无需从0开发 平头哥教你1天上手蓝牙Mesh应用解决方案》电子书现已开放下载,立即加入书单吧!
14025 0
【iOS开发】UIScrollView 看不到内容、UIScrollView 不能滑动
初学者第一次使用 UIScrollView 的时候,很可能会遇到 UIScrollView 滑动不了,或者明明添加了内容,却看不到的问题。 这里展示最简洁、最常态化的一种在 UIScrollView 中添加可以滑动的 UIImageView 的案例。
653 0
+关注
9380
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载