The OpenNET Project

 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

17.10.2016 21:45  Аудит VeraCrypt выявил 8 критических уязвимостей

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, опубликовал результаты аудита безопасности проекта VeraCrypt, в рамках которого развивается форк системы шифрования дисковых разделов TrueCrypt. Аудит выполнен компанией QuarksLab на средства, пожертвованные проектами DuckDuckGo и VikingVPN. Работа была сосредоточена на анализе исправлений и дополнений, внесённых в VeraCrypt, так как оригинальный код TrueCrypt уже несколько раз был подвергнут аудиту.

В результате проверки обнаружено 36 уязвимостей, специфичных для VeraCrypt, из которых 8 получили статус критических, 3 отнесены к категории умеренных и 15 отмечены как незначительные. Большинство проблем затрагивают сторонние библиотеки сжатия и UEFI-загрузчик VeraCrypt. Наиболее опасная уязвимость в развиваемом проектом VeraCrypt загрузчике UEFI позволяет восстановить содержимое загрузочного пароля.

Одновременно сформирован релиз VeraCrypt 1.19, в котором устранено большинство проблемы, выявленных в процессе аудита. Исправления в VeraCrypt 1.19:

  • Полное удаление поддержки шифрования с использованием отечественного симметричного блочного шифра GOST 28147-89, так как применяемая в VeraCrypt реализация алгоритма отмечена как небезопасная из-за расширения предусмотренных алгоритмом 64-разрядных блоков до 128-разрядных блоков для соответствия режиму XTS (проблема специфична для VeraCrypt). Поддержка расшифровки оставлена, но создать новые разделы с шифрованием GOST 28147-89 теперь не получится;
  • Удалены XZip и XUnzip, которые заменены на более современную и защищённую библиотеку libzip. В составе VeraCrypt поставлялись устаревшие версии XZip и XUnzip, содержащие порцию критических уязвимостей;
  • Устранена уязвимость, позволяющая определить длину пароля в классическом загрузчике;
  • Устранена уязвимость, связанная с оставлением неочищенным буфера ввода после аутентификации в новом загрузчике;
  • Устранена уязвимость, связанная с отсутствием корректной очистки конфиденциальных данных в новом загрузчике;
  • Устранена уязвимость в новом загрузчике, которая может привести к повреждению содержимого памяти;
  • Устранена серия уязвимостей, связанных с разыменованием нулевого указателя в графической библиотеке, а также проблемами в функциях ConfigRead и EFIGetHandles.

Из проблем, остающихся неисправленными из-за необходимости существенной переработки архитектуры, отмечаются недоработки в TC_IOCTL_OPEN_TEST, отсутствие должной обработки ошибок в EncryptDataUnits() и подверженность реализации AES cache-timing-атакам (восстановление данных через оценку изменения состояния кэша процессора). К проблемам, которые остаются из-за необходимости изменения поведения и нарушения совместимости с TrueCrypt, отнесены некриптостойкий метод смешивания в файле ключей и наличие неаутентифицированных зашифрованных блоков в заголовках шифрованного раздела.

  1. Главная ссылка к новости (https://ostif.org/the-veracryp...)
  2. OpenNews: Инициирован аудит безопасности проекта VeraCrypt
  3. OpenNews: Релиз VeraCrypt 1.17, форка TrueCrypt
  4. OpenNews: Аудит алгоритмов TrueCrypt не выявил значительных проблем
  5. OpenNews: Спецслужбы Германии провели аудит TrueCrypt
  6. OpenNews: Проект CipherShed выпустил релиз ответвления TrueCrypt 0.7.4
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: veracrypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Анонимус_б61, 21:53, 17/10/2016 [ответить] [смотреть все]
  • –8 +/
    ГОСТ замахались расшифровывать в АНБ?
     
     
  • 2.2, Michael Shigorin, 22:04, 17/10/2016 [^] [ответить] [смотреть все] [показать ветку]
  • –1 +/
    Вроде как даже старый: http://0x1.tv/201610018
     
     
  • 3.14, Ivan_83, 02:40, 18/10/2016 [^] [ответить] [смотреть все]
  • +3 +/
    3DES тоже старый и хорошо изученный однако всё это помогло лишь незначительно со... весь текст скрыт [показать]
     
     
  • 4.18, Аноним, 03:55, 18/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    3des так вроде и не сломал никто при нормальных размерах ключа, но он медленный ... весь текст скрыт [показать]
     
  • 4.38, Аноним, 13:09, 18/10/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    никаких претензий , просто оно с ними не работает, у нас блок равен размеру с... весь текст скрыт [показать]
     
     
  • 5.61, Аноним, 09:55, 21/10/2016 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Про реализацию писал ГОСТ89 это обычный алгоритм в режи... весь текст скрыт [показать]
     
  • 4.60, Аноним, 09:48, 21/10/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Я сделал загрузчик UEFI и реализацию ГОСТ89 Самый простой способ соответствоват... весь текст скрыт [показать]
     
  • 3.17, Аноним, 03:46, 18/10/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    очередная шигоринская агитка, стандартного шигоринского уровня криптоанализа не... весь текст скрыт [показать]
     
     
  • 4.28, Аноним, 09:23, 18/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Криптоанализ 28147 любой желающий может найти самостоятельно с помощью Гугола и ... весь текст скрыт [показать]
     
  • 3.22, Прост, 08:03, 18/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Миша,когда релиз?Четвёртый год как нет...
     
  • 2.47, Аноним, 22:30, 18/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Проблема в длине блока, XTS требует 128 бит Для того чтоб соответствовать, ГОСТ... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, XXXasd, 22:04, 17/10/2016 [ответить] [смотреть все]  
  • +3 +/
    всегда знал что эта школоподелка (в отличии от качественной cryptsetup/luks) -- курам на смех.

    достаточно почитать PDF (из новости) про их реализацию GOST 28147-89 и сразу станет ясно насколько там всё дилетантно

     
     
  • 2.15, arzeth, 03:05, 18/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Удивительно, но ни одного аудита не нашёл гуглил luks audit, dm-crypt audit, cr... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, тоже Аноним, 22:04, 17/10/2016 [ответить] [смотреть все]  
  • +7 +/
    Хочется отметить два пункта:
    1. Дыры найдены именно в доделках поверх TrueCrypt.
    2. Никакой насущной необходимости менять TrueCrypt на этот форк за прошедшее с закрытия TC время так и не появилось.
    У меня все, пожалуй.
     
     
  • 2.5, XXXasd, 22:07, 17/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    стоит отметить что VeraCrypt это проект который закрывает ДЫРЫ в TrueCrypt напр... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.6, Аноним, 22:33, 17/10/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Можешь лучше - напиши Крипто софта с двойным дном такого уровня больше нету, ни... весь текст скрыт [показать]
     
  • 3.10, Аноним, 23:14, 17/10/2016 [^] [ответить] [смотреть все]  
  • +7 +/
    > стоит отметить что VeraCrypt это проект который закрывает ДЫРЫ в TrueCrypt.

    Если бы вы почитали новость, то обнаружили бы упоминание о том, что большинство дыр найдено в EFI-загрузчике. Который является НОВОЙ фичей, реализованной лишь в этом году в прошлой версии. А если бы вы почитали официальный ченджлог, то даже нашли бы упоминание о дыре, которая досталась в наследство от TrueCrypt.

    Но комменты писать интереснее, чем читать первоисточники, я понимаю.

     
  • 3.23, Анонимко, 08:17, 18/10/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    О, сэнсэй, укажи нам неразумным путь истинный на шифрование праведное, безбагное... весь текст скрыт [показать]
     
  • 2.7, Владимир Путин, 22:34, 17/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    2. Уязвимые алгоритмы шифрования и малое кол-во итераций pbkdf.
     
     
  • 3.13, Ivan_83, 02:37, 18/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Малое количество итераций критично только для коротких паролей.
     
  • 2.8, Аноним, 23:06, 17/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Первый пункт не соответствует действительности, поскольку в TrueCrypt не было по... весь текст скрыт [показать] [показать ветку]
     
  • 2.9, Аноним, 23:10, 17/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Второй пункт тоже не соответствует действительности, поскольку TrueCrypt не може... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, тоже Аноним, 23:34, 17/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Вы первый пункт точно правильно прочитали Разжевываю имелось в виду, что ошибк... весь текст скрыт [показать]
     
     
  • 4.12, Аноним, 01:03, 18/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Почему в контейнере ТС, а не в home зашифрованной ОС или томе контейнере luks... весь текст скрыт [показать]
     
     
  • 5.16, Аноним, 03:18, 18/10/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Потому что всё это требует пердолинга Контейнер TC проще закинуть на флешку, в ... весь текст скрыт [показать]
     
     
  • 6.24, тоже Аноним, 08:54, 18/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Во-вторых, да Во-первых, мне совершенно нечего скрывать в home рабочего компью... весь текст скрыт [показать]
     
  • 4.19, iPony, 07:30, 18/10/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну вообще есть много мест, где можно найти много чего интересного Например, сво... весь текст скрыт [показать]
     
     
  • 5.25, тоже Аноним, 08:55, 18/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Если он, например, есть Ну, и поиски интересного могут, внезапно, оказаться п... весь текст скрыт [показать]
     
     
  • 6.51, iPony, 07:01, 19/10/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Внезапно При криминалистической экспертизе анализ свопа файла подкачки - это ... весь текст скрыт [показать]
     
     
  • 7.53, тоже Аноним, 08:05, 19/10/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    К счастью, у меня нет ни свопа, ни желания нарушать законы.
     
  • 4.20, Меломан1, 07:47, 18/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Вы не с колокольни рассуждаете, а из кроличьей норы Т к не знаете, что крипток... весь текст скрыт [показать]
     
     
  • 5.27, тоже Аноним, 09:00, 18/10/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Напомню, моя кроличья нора существует в реальности А ваш странный мир, где спец... весь текст скрыт [показать]
     
     
  • 6.29, Андрей, 09:42, 18/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Про запас То, что кажется неинтересным и мелочью сейчас, потом часто оказываетс... весь текст скрыт [показать]
     
  • 4.39, Аноним, 13:22, 18/10/2016 [^] [ответить] [смотреть все]  
  • +/
    а на деле - в том числе и в оставшемся от Но вы ж не учили английский в достато... весь текст скрыт [показать]
     
     
  • 5.43, тоже Аноним, 15:24, 18/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Знали бы вы, юноша, сколько вы о себе рассказываете своими предположениями - вря... весь текст скрыт [показать]
     
     
  • 6.54, ., 11:35, 19/10/2016 [^] [ответить] [смотреть все]  
  • +/
    ну то есть - либо подсовываем слегка модифицированный браузер, либо слегка некош... весь текст скрыт [показать]
     
     
  • 7.56, тоже Аноним, 12:26, 19/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Господи Зачем такие сложности У меня в кабинете стеклянная дверь на балкон - д... весь текст скрыт [показать]
     
     
  • 8.57, ну раздобыл ичо, 17:26, 19/10/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    что сложного в задачке подсунуть троянца в незащищенную физически систему Что с... весь текст скрыт [показать]
     
     
  • 9.58, тоже Аноним, 18:16, 19/10/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    В данном конкретном случае главная сложность - в отсутствии такого школьника, ко... весь текст скрыт [показать]
     
     
  • 10.59, ну раздобыл ичо, 18:44, 19/10/2016 [^] [ответить] [смотреть все]  
  • +/
    ну то есть тебе вообще никакая криптография ненужно , об этом, собственно, и ре... весь текст скрыт [показать]
     
  • 4.42, Аноним, 15:17, 18/10/2016 [^] [ответить] [смотреть все]  
  • +/
    А я не пользуюсь контейнерами Но ведь не пишу, что контейнеры не нужны Зато ... весь текст скрыт [показать]
     
     
  • 5.44, тоже Аноним, 15:30, 18/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Не очень понятно, что вам мешает держать весь этот материал в контейнере Мне ... весь текст скрыт [показать]
     
     
  • 6.68, Anonplus, 16:44, 27/10/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Windows оставляет в реестре массу следов о запускавшемся софте Профиль браузера... весь текст скрыт [показать]
     
     
  • 7.69, Led, 20:49, 27/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Вендузятник должен страдать ... весь текст скрыт [показать]
     
  • 5.55, Аноним, 11:40, 19/10/2016 [^] [ответить] [смотреть все]  
  • +/
    imho, это как раз случай, когда криптоконтейнер лучше тотального шифрования - ег... весь текст скрыт [показать]
     
     
  • 6.67, Anonplus, 16:43, 27/10/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Вы правы, поэтому в планах обеспечить такой сценарий, при котором я не буду знат... весь текст скрыт [показать]
     
  • 1.21, бедный буратино, 07:49, 18/10/2016 [ответить] [смотреть все]  
  • –1 +/
    все недостатки исправит NadezhdaCrypt. надеюсь.
     
     
  • 2.26, Анонимус_б6_выпуск_3, 08:58, 18/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    что это?
     
     
  • 3.30, iCat, 09:57, 18/10/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    Это предшественник LoveCrypt
     
     
  • 4.34, Анонимко, 10:27, 18/10/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    И универсальную обертку подо все это дело - SexCrypt.
     
  • 3.31, Аноним, 10:03, 18/10/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Это то, от чего форкнется LubovCrypt
     
  • 2.32, Аноним, 10:08, 18/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Все уже исправили в FsbCrypt ... весь текст скрыт [показать] [показать ветку]
     
  • 2.52, Аноним, 07:10, 19/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну а за NadezhdaCrypt - придёт и LubovCrypt
     
  • 1.33, АнОн, 10:14, 18/10/2016 [ответить] [смотреть все]  
  • +1 +/
    Хорошо, что уязвимости нашли и исправили.
     
     
  • 2.48, Анонимс, 22:48, 18/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    надеюсь не все, а то было бы печально; и что они всё патчат да патчат..
     
  • 1.35, Аноним, 10:43, 18/10/2016 [ответить] [смотреть все]  
  • +/
    А это по их мнению не уязвимость https veracrypt codeplex com workitem 186 Л... весь текст скрыт [показать]
     
     
  • 2.40, ., 14:45, 18/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –4 +/
    это, очевидно, не уязвимость, а особенность работы По их мнению - имеющая отнош... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.62, Аноним, 13:07, 21/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Этот тикет создал я, а они даже не удосужились ответить На любой системе window... весь текст скрыт [показать]
     
     
  • 4.63, ., 14:21, 21/10/2016 [^] [ответить] [смотреть все]  
  • +/
    ну, отсутствие ответа closed,wontwix уже хорошо на любойсистемеwindows нет ша... весь текст скрыт [показать]
     
     
  • 5.64, Аноним, 14:45, 22/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Честно говоря, не понимаю зачем все эти разглогольствования Есть факт - использ... весь текст скрыт [показать]
     
  • 1.36, Я в теме, 10:48, 18/10/2016 [ответить] [смотреть все]  
  • +4 +/
    Есть GnuPG! Остальное от нечистого!
     
     
  • 2.41, ., 14:47, 18/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Есть GnuPG! Остальное от нечистого!

    есть только pgp версии 1-mit, остальное - подстава АНБ и ведет к проклятию души!


     
     
  • 3.45, Аноним, 17:03, 18/10/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    В курсе что такое pgp и gpg?
     
     
  • 4.70, Samor, 04:50, 28/10/2016 [^] [ответить] [смотреть все]  
  • +/
    А вы в курсе?
     
  • 1.37, Аноним, 11:33, 18/10/2016 [ответить] [смотреть все]  
  • +/
    Ничего существенного там не было найдено Отказ от ГОСТ89 - это больше вопрос ве... весь текст скрыт [показать]
     
     
  • 2.65, Аноним, 11:17, 24/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    тк во первых gost89 - deprecated и в VeraCrypt - кузнечика с стрибогом запиливаю... весь текст скрыт [показать] [показать ветку]
     
  • 1.46, Аноним, 20:14, 18/10/2016 [ответить] [смотреть все]  
  • +/
    Про терморектальный криптоанализ в комментариях уже было?
     
     
  • 2.49, Led, 23:59, 18/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    > Про терморектальный криптоанализ в комментариях уже было?

    Нет, ты первый пострадавший.

    Рассказывай, как оно? правда ли что маководы лучше переносят его?

     
  • 1.50, Вареник, 00:30, 19/10/2016 [ответить] [смотреть все]  
  • +/
    >> В результате проверки обнаружено 36 уязвимостей, специфичных для VeraCrypt

    - Чего-то подобного стоило ожидать. Закрыли пару дыр, открыли десятки.

     
  • 1.66, Alex, 18:54, 24/10/2016 [ответить] [смотреть все]  
  • +/
    Я так понимаю, из выявленных уязвимостей не было таких, которые находились бы в реализации создания и монтирования обычных зашифрованных контейнеров?
     
  • 1.71, Аноним, 09:08, 30/12/2016 [ответить] [смотреть все]  
  • +/
    Парни кто шарит скиньте на почту подробную инструкцию по установке верактипт с д... весь текст скрыт [показать]
     
     
  • 2.72, Michael Shigorin, 11:43, 30/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Парни кто шарит

    Зачем?  Разбирайтесь сами, иначе оно Вам незачем (и нет, это не издёвка).

    А то бывают ещё парни с обострённым чувством юмора, которые троллят таких вот наивных юношей, засылая похожие на правду инструкции с эквивалентом патча Бармина, к примеру...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2016 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by BSH TopList