VeraCrypt Audit发现了严重的安全漏洞，现在更新

TrueCrypt神秘地停止服务后，VeraCrypt成为活动人士、记者以及关注隐私的人使用的最受欢迎的开源磁盘加密软件。

首先，没有完美的、没有bug的软件。
漏洞是每个软件产品的不幸现实，但总有改进的空间。

由于VeraCrypt非常受欢迎，OSTIF（开源技术改进基金）的安全研究人员同意独立审计VeraCrypt，并于8月聘请QuarksLab的研究人员领导审计。

而且似乎VeraCrypt也并非完美无缺。

经过一个月的审计，研究人员发现了许多安全问题，包括流行的加密平台VeraCrypt中的8个关键、3个中等和15个低严重性漏洞。

Quarkslab高级安全研究员Jean Baptiste Bédrune和高级密码学家Marion Videau分析了VeraCrypt 1.18版和DCS EFI Bootloader 1.18（UEFI），主要关注自去年TrueCrypt安全审计以来引入的新功能。
VeraCrypt文件加密软件源于TrueCrypt项目，但有增强功能以进一步保护您的数据。

“VeraCrypt是一个很难维护的项目，”研究人员说。“需要对几种操作系统、Windows内核、系统引导链和良好的密码学概念有深入的了解。IDRIX的改进证明了这些技能的掌握”。

研究人员在一份42页的审计报告[PDF]中详细介绍了所有漏洞，其中包括：

• GOST 28147-89是一种块大小为64位的对称分组密码，他们说，由于实现不安全，必须完全删除该密码的关键缺陷。
• 所有压缩库都被视为过时或“写得不好”，必须用现代且更安全的zip库取代。
• 如果系统已加密，则可以确定UEFI模式下的引导密码或其长度。

大多数缺陷已在最新的VeraCrypt 1.19版本中修复，但由于对代码或/和项目架构进行了大量修改，包括AES实现在内的一些缺陷尚未修补。

根据OSTIF的说法，“这次审计后，VeraCrypt安全得多，应用于该软件的修复意味着使用该软件时世界更安全”。

建议下载最新的VeraCrypt版本1.19。