VeraCrypt Audit发现了严重的安全漏洞,现在更新
发布时间:2022-06-13 11:41:04 554
相关标签: # 研究# 数据# 软件# 软件# 隐私
TrueCrypt神秘地停止服务后,VeraCrypt成为活动人士、记者以及关注隐私的人使用的最受欢迎的开源磁盘加密软件。
首先,没有完美的、没有bug的软件。
漏洞是每个软件产品的不幸现实,但总有改进的空间。
由于VeraCrypt非常受欢迎,OSTIF(开源技术改进基金)的安全研究人员同意独立审计VeraCrypt,并于8月聘请QuarksLab的研究人员领导审计。
而且似乎VeraCrypt也并非完美无缺。
经过一个月的审计,研究人员发现了许多安全问题,包括流行的加密平台VeraCrypt中的8个关键、3个中等和15个低严重性漏洞。
Quarkslab高级安全研究员Jean Baptiste Bédrune和高级密码学家Marion Videau分析了VeraCrypt 1.18版和DCS EFI Bootloader 1.18(UEFI),主要关注自去年TrueCrypt安全审计以来引入的新功能。
VeraCrypt文件加密软件源于TrueCrypt项目,但有增强功能以进一步保护您的数据。
根据OSTIF的说法,“这次审计后,VeraCrypt安全得多,应用于该软件的修复意味着使用该软件时世界更安全”。
建议下载最新的VeraCrypt版本1.19。
首先,没有完美的、没有bug的软件。
由于VeraCrypt非常受欢迎,OSTIF(开源技术改进基金)的安全研究人员同意独立审计VeraCrypt,并于8月聘请QuarksLab的研究人员领导审计。
而且似乎VeraCrypt也并非完美无缺。
经过一个月的审计,研究人员发现了许多安全问题,包括流行的加密平台VeraCrypt中的8个关键、3个中等和15个低严重性漏洞。
Quarkslab高级安全研究员Jean Baptiste Bédrune和高级密码学家Marion Videau分析了VeraCrypt 1.18版和DCS EFI Bootloader 1.18(UEFI),主要关注自去年TrueCrypt安全审计以来引入的新功能。
“VeraCrypt是一个很难维护的项目,”研究人员说。“需要对几种操作系统、Windows内核、系统引导链和良好的密码学概念有深入的了解。IDRIX的改进证明了这些技能的掌握”。研究人员在一份42页的审计报告[PDF]中详细介绍了所有漏洞,其中包括:
- GOST 28147-89是一种块大小为64位的对称分组密码,他们说,由于实现不安全,必须完全删除该密码的关键缺陷。
- 所有压缩库都被视为过时或“写得不好”,必须用现代且更安全的zip库取代。
- 如果系统已加密,则可以确定UEFI模式下的引导密码或其长度。
根据OSTIF的说法,“这次审计后,VeraCrypt安全得多,应用于该软件的修复意味着使用该软件时世界更安全”。
建议下载最新的VeraCrypt版本1.19。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报