QuarkslabはVeraCrypt 1.18のセキュリティ評価を行いました。 監査はOSTIFから資金提供を受け、8月から2月にかけてQuarkslabの2人のエンジニアが実施しました。 16日と9月 2016年14月、合計32人日分の学習。 暗号化に関連する重大な脆弱性が確認されています。 バージョン1.18で導入され、バージョン1.19で修正される予定です。
VeraCryptは、オンザフライでファイルを暗号化するためのソフトウェアであり、2014年に廃止されたTrueCryptと呼ばれる別の有名な暗号化ソフトウェアのブランチ(フォーク)です。VeraCryptはフランスのプログラマーMounir Idrassiによってサポートされています。
ソフトウェア自体と、ブートローダーに関連する部分が修正されました。 バージョン1.19では、次の脆弱性が修正されています。
-GOST 28147-89標準に従って暗号化設定を完全に削除しました。
-XZipおよびXUnzipライブラリのサポートを削除し、VeraCryptはより安全なlibzipライブラリを代わりに使用します。
-攻撃者がパスワードの長さを計算できるブートローダーの脆弱性を修正しました。
-ブートローダーコードの脆弱性を修正。これにより、ユーザーがBIOSデータエリアに入力したパスワードを残すことができ、攻撃者によって使用される可能性がありました。
-機密のブートローダーデータを適切に削除せずにメモリに残すことができる同様の脆弱性を修正しました。 脆弱性により、攻撃者は古いパスワードから変更するときにユーザーの新しいパスワードにアクセスできる可能性があります。
-ブートローダーの脆弱性を修正しました。これは、 メモリ破損タイプであり、VeraCrypt Recovery Diskアーカイブの処理時にXUnzipライブラリのコードに存在します。 この脆弱性は、XUnzipのサポートを中止し、libzipに切り替えることで解決されました。
-ヌルポインターの逆参照につながるブートローダーの脆弱性を修正しました。
監査レポートの完全版はこちらでご覧いただけます 。
安全である。