TrueCrypt Audit di Fase II completato: 4 vulnerabilità identificate

0
328

La storia recente del TrueCrypt, software di cifratura è strana. Primo, c’è stata una campagna di crowdfunding per ottenere il software certificati per questioni di sicurezza, nel 2013, dopo che Edward Snowden trapelate informazioni classificate dalla National Security Agency (NSA) a partire da giugno 2013.

Poi nel mese di Maggio 2014, con un annuncio stato pubblicato su TrueCrypt sito web sostenendo che TrueCrypt non era sicuro e che gli utenti dovrebbero trovare un altro programma da utilizzare per tale scopo.

Gli sviluppatori rilasciato una versione finale di TrueCrypt che si era rotto (da disegno) per quanto riguarda molti. Finale codice sorgente della versione completa del programma è stato pubblicato da Gibson Research Corporation e alternative come VeraCrypt o CipherShed apparve poco dopo.

A quel tempo, TrueCrypt di revisione non era completo come solo una fase di revisione era stata completata dai ricercatori.

Ricerca termine preso la decisione di continuare con il controllo di TrueCrypt 7.1 a, nonostante il fatto che gli sviluppatori del progetto abbandonato il progetto nel frattempo.

truecrypt algorithm

Oggi, la fase 2 del TrueCrypt analisi è stata completata. Le ricerche si sono caricati la relazione finale in formato PDF al sito ufficiale da cui può essere scaricato.

Un totale di quattro vulnerabilità sono state scoperte:

  1. Keyfile di miscelazione non è crittograficamente suono (bassi).
  2. Non autenticato testo cifrato in volume intestazioni (indeterminato).
  3. CryptAcquireContext possono fallire in modo silenzioso insoliti scenari (alta).
  4. AES attuazione suscettibili di cache tempi attacchi (alta).

La più grave di ricerca riguarda l’uso delle API di Windows per generare numeri casuali per la chiave di crittografia master materiale tra le altre cose. Mentre il CS ritiene che queste chiamate avrà successo in tutte le normali scenari,almeno un insolito scenario potrebbe causare le chiamate di fallire e di fare affidamento su povere fonti di entropia; non è chiaro in quali altre situazioni, potrebbe non riuscire.

Inoltre, CS identificato che l’intestazione del volume di decrittazione si basa su improprio verifiche di integrità per rilevare eventuali manomissioni, e che il metodo di miscelazione entropia del file di chiavi non era crittograficamente suono.

Infine, CS identificato diversi inclusi AES implementazioni che potrebbero essere vulnerabili a cache-tempi di attacchi. Il modo più semplice per sfruttare questa potrebbe essere l’utilizzo codice nativo, potenzialmente consegnato attraverso NaCl in Chrome; tuttavia, il metodo più semplice per lo sfruttamento attraverso la che il vettore di attacco è stato recentemente chiuso. #

La relazione mette in evidenza ogni vulnerabilità in dettaglio che dovrebbe aiutare i progetti che uso TrueCrypt fonte di base per affrontare le questioni in futuri aggiornamenti.

Va sottolineato che l’audit è stato limitato e non una completa revisione del codice. La squadra concentrata su parti importanti di TrueCrypt, e qui in particolare la sua crittografia e implementazioni di utilizzo.