Hlavní navigace

Audit VeraCryptu odhalil několik chyb

Jan Fikar

Poslední audit VeraCryptu verze 1.18, který sponzoroval Open Source Technology Improvement Fund, DuckDuckGo, VikingVPN a který provedla firma QuarksLab (zprávička) je u konce. Audit se soustředil na kód, který byl přidán do VeraCryptu po již auditovaném Truecryptu. Odhaleno bylo osm kritických, tři střední a 15 méně závažných chyb.

Závažné chyby jsou v UEFI a legacy boot kódu, kdy je možné získat heslo (UEFI), nebo jeho délku (legacy). Dále jde o šifru GOST 28147–89 s 64bitovými bloky, která není bezpečná a neměla by být používána. Kompresní knihovny jsou zastaralé a špatně napsané, měly by být přepsány. Více detailů ve zprávě.

Většina chyb je opravena ve včerejší verzi 1.19, neopraveno zbylo jen pár méně závažných chyb u kterých je potřeba složitější patch. GOST 28147–89 je podporován již jen k rozšifrování dat.

(zdroj: theregister)

Našli jste v článku chybu?