PDA

Просмотр полной версии : Надежное шифрование. Форк VeraCrypt вместо оригинала TrueCrypt



Zews
11.02.2015, 11:17
Среди форков TrueCrypt, помимо CipherShed (https://ciphershed.org/), существует ещё один интересный проект VeraCrypt (https://veracrypt.codeplex.com/), который вполне достоин внимания. Запущенный в июне 2013 года, он успешно развивается и поддерживается, в отличие от TrueCrypt. Более того, в нём исправлены некоторые ошибки предшественника.
За основу этой программы взята оригинальная кодовая база TrueCrypt. Автор — французский консультант в области информационной безопасности Моунир Идрасси (Mounir Idrassi). Он и сейчас вносит наибольший вклад в развитие проекта, хотя и появились многочисленные помощники.
Идея написать такую программу появилась у автора в 2012 году, когда один из клиентов попросил интегрировать TrueCrypt в их систему. Идрасси предварительно провёл аудит кода TrueCrypt и нашёл несколько проблемных мест. Это были не глобальные «косяки», никаких бэкдоров, просто небольшие проблемы. Например, потенциальная уязвимость перед брутфорсом паролей.
Для генерации ключа TrueCrypt использует относительно простую трансформацию пароля: 1000 или 2000 итераций функции PBKDF2-RIPEMD160. По нынешним временам, когда злоумышленники могут арендовать для брутфорса очень большие вычислительные мощности у облачного провайдера, это недостаточная сложность. В VeraCrypt при генерации ключа используется 327 661 итерация PBKDF2-RIPEMD160 для системного раздела, а также 655 331 итераций PBKDF2-RIPEMD160 и 500 000 итераций SHA-2 и Whirlpool для остальных контейнеров. Таким образом, устойчивость перед брутфорсом улучшилась на порядок.
Правда, форматы контейнеров VeraCrypt из-за этого стали несовместимы с TrueCrypt. Для сравнения, контейнеры CipherShed совместимы с TrueCrypt.
Кроме улучшенной защиты, автор исправил потенциальные уязвимости TrueCrypt в программных интерфейсах и драйверах. Появилась совместимость с UEFI, так что шифрование дисков можно использовать, например, на Windows 8 и 10.
Моунир Идрасси вполне нормально относится к тому, что анонимные авторы TrueCrypt забросили проект. «Если вы посмотрите на код, то складывается впечатление, что им было по 40+ лет ещё в 1995 году, — говорит он, имея в виду сложный и качественный код программы с первых версий. — Так что сейчас им больше 60-ти. Они, вероятно, устали и отошли от дел».
Источник: https://xakep.ru/2014/10/14/veracrypt/

После объявления о закрытии проекта TrueCrypt, сразу несколько проектов занялись форками TC. Самые известные из них - VeraCrypt и TrueCryptNext
UPD:
Не дожидаясь OpenCryptoAudit группа энтузиастов уже инициировала форк – TrueCryptNext (https://truecrypt.ch/). Сайт проекта размещён в Швейцарии, чтобы избежать возможных юридических угроз со стороны США. При разработке решено отказаться от анонимности, имена всех участников проекта будут известны. Инициаторамы форка выступили Thomas Bruderer, бывший президент Пиратской партии Швейцарии, и Joseph Doekbrijder. На первом этапе участники проекта планируют взять на себя поддержку выпуска обновлений и обеспечить возможность продолжения работы тех, кто уже использует TrueCrypt. Для совместной работы над кодом создан репозиторий в GitHub. Организовано распространение последних сборок TrueCrypt 7.1a, которые были удалены с официального сайта TrueCrypt.
Теперь два проекта объединили усилия:
VeraCrypt и truecrypt.ch работают вместе в направлении общей цели (https://truecrypt.ch/2014/06/veracrypt-truecrypt-ch-working-together-towards-common-goal/)

P.S. инструкция по установке и использованию VeraCrypt - аналогична инструкции от TrueCrypt. Более того, новая версия VeraCrypt поддерживает монтирование и обслуживание томов ранее созданных в TC.

Zews
23.08.2017, 17:09
Аудит VeraCrypt. Баги и уязвимости исправлены.

После того как в 2014 году проект TrueCrypt неожиданно прекратил работу, а его анонимные авторы объявили об «отставке», одним из наиболее популярных опенсорсных средств шифрования стал VeraCrypt.
В августе 2016 года фонд OSTIF (Open Source Technology Improvement Fund) анонсировал (https://ostif.org/we-have-come-to-an-agreement-to-get-veracrypt-audited/), что в вскоре проведет независимый аудит проекта VeraCrypt, средства для которого пожертвовали DuckDuckGo и VikingVPN. Для проведения анализа были привлечены специалисты компании QuarksLab (http://quarkslab.com/).
Хотя не обошлось без происшествий (https://xakep.ru/2016/08/17/veracrypt-audit/), аудит все же был завершен в срок – к середине сентября 2016 года. Теперь, спустя месяц, аудиторы представили подробный доклад (https://ostif.org/wp-content/uploads/2016/10/VeraCrypt-Audit-Final-for-Public-Release.pdf) (PDF) о проделанной работе, занимающий 42 страницы. Специалисты Quarkslab сосредоточили свои усилия вокруг VeraCrypt 1.18 и DCS EFI Bootloader 1.18 (UEFI), в основном изучая новые функции, которыми форк оброс после апреля 2015 года и проведенного тогда аудита проекта TrueCrypt (https://xakep.ru/2015/04/02/audit-truecrypt-zavershyon-vsyo-normalno/). Исследователи пишут, что в коде форка им удалось обнаружить восемь критических уязвимостей, три умеренные уязвимости и еще пятнадцать багов низкой степени важности.

«Проект VeraCrypt трудно поддерживать, — пишут исследователи. — Нужны глубокие познания о ряде операционных систем, ядре Windows, system boot chain, а также глубокое понимание криптографии. Все изменения, внесенные в код IDRIX, демонстрируют владение данными навыками».


Среди обнаруженных проблем была критическая уязвимость в имплементации симметричного блочного шифра GOST 28147-89, от использования которого исследователи вообще рекомендовали отказаться. Полный отказ пока не был реализован, однако создать новые разделы с шифрованием GOST 28147-89 уже нельзя. Также была обнаружена и устранена возможность выявления длины boot-пароля или самого пароля полностью в UEFI режиме. XZip и XUnzip были признаны устаревшими и «плохо написанными», поэтому их заменили на более надежную libzip.
Основная часть всех найденных проблем была устранена в недавно вышедшем релизе VeraCrypt 1.19 (https://veracrypt.codeplex.com/wikipage?title=Release%20Notes), который настоятельно рекомендуют установить всем пользователям. Впрочем, часть уязвимостей пока осталась без исправлений, так как они требуют внесения значительных модификаций в код и архитектуру проекта. В частности, пока не удалось исправить проблемы с имплементацией AES, которая уязвима перед атаками типа cache-timing. Как бы то ни было, представители OSTIF довольны (https://ostif.org/the-veracrypt-audit-results/) достигнутым результатом:

«Проект VeraCrypt стал намного безопаснее после этого аудита, исправления уж выпущены, а значит, мир становится безопаснее, используя данное ПО».


https://xakep.ru/2016/10/18/veracrypt-flaws/

- - - Добавлено - - -

Поль Ле Руа - создатель TrueCrypt

С момента появления в 2004 году TrueCrypt считался одной из лучших программ для шифрования данных. Его эффективность подтвердили многочисленные случаи, в которых государственные службы не смогли прочитать важные файлы.


По информации Эдварда Сноудена, TrueCrypt был одним из немногих инструментов для шифрования данных, который АНБ не смогли взломать.

Журналистское расследование TrueCrypt

В последнее время появился ряд новых сведений, которые проливают свет на обстоятельства возникновения и причины прекращения работ над TrueCrypt, что произошло в 2014 году.В результате журналистского расследования Эвана Ретлиффа, который воссоздал биографию торговца оружием и наркотиками Пола Ле Руа, выяснилось, что дебошир является также талантливым программистом.Есть обоснованные подозрения, что Поль Ле Руа сыграл важную роль в выпуске на рынок TrueCrypt. Можно также предположить, что гангстер пилотировал проект и вносил вклад через финансирование работы загадочной группы разработчиков этой программы в течение последующих 10 лет.Проект был заброшен вскоре после ареста Пола Ле Руа агентством по борьбе с наркотиками DEA в 2012 году.

Кража кода

TrueCrypt возник после того, как Поль основал компанию SW Professionals, находящуюся в Южной Африке, и объединился с существующей сегодня компании Securstar, производящей программное обеспечение для шифрования.Целью кооперации должно было стать создание коммерческого приложения для шифрования, соединяющего код E4M с функциями программы Scramdisk – его создатель также участвовал в проекте. Таким образом, было создано приложение DriveCrypt.Автором движка для шифрования, то есть сердца всего приложения, был Поль Ле Руа. Сотрудничество не развивалось, особенно после того, как глава securstar Вилфрид Хафнер понял, что Ле Руа потихоньку развивает E4M с открытым исходным кодом, используя для этого проприетарный код, написанный для DriveCrypt, что шло вразрез с заключенным договором. Поль Ле Руа вылетел с работы и был вынужден отказаться от приложения E4M.Быстро выяснилось, что это не было концом. Появлявшиеся в группах сообщения, с помощью которых Поль вербовал программистов, знающих о реализации криптографических решений, свидетельствуют о том, что далее была начата работа над инструментом для шифрования, только без огласки. Это продолжалось, по крайней мере, до 2004 года, когда анонимные разработчики предоставляют бесплатное приложение для шифрования дисков TrueCrypt.

Интернет-аптека с наркотиками

Securstar нервно отреагировала на появление TrueCrypt, который стал бесплатным конкурентом. Вилфрид Хафнер утверждал, что программа была построена на основе решения, созданного Полем Ле Руа для его компании. Однако, он не был в состоянии этого доказать, потому что разработчики TrueCrypt никогда не раскрывали свою личность, так что не было кого преследовать.В последующие годы программа по-прежнему разрабатывалась анонимно и финансировалась из неизвестного источника. Им мог быть Поль, который в то же время нажил состояние на преступной деятельности.После официального завершения работы над программным обеспечением для шифрования, Поль Ле Руа начал разрабатывать приложения для онлайн-казино, но разбогател благодаря сети сомнительными интернет-аптек, которые продавали лекарства по рецепту, в большинстве, вероятно, наркотические средства.Использование сетей, а также защищенных соединений, облегчало продажу законных, с формальной точки зрения, наркотиков. Как установила агентство по борьбе с наркотиками DEA, бизнес принес Полю, по крайней мере, 300 млн долларов, которые он затем вложил в очередные криминальные дела, связанные с торговлей кокаином, золотом и контрабандой оружия в страны, на которые наложено эмбарго, в частности, Сомали и Иран.Всё это время Поль скрывал свою личность не только с помощью электронных средств, но также под несколькими паспортами. Тем не менее, это не спасло Поля Ле Руа от американского правосудия. Агенты DEA обманули Поля осенью 2012 года и заманили в ловушку Либерии, откуда он был перевезен в США. Предполагаемый создатель TrueCrypt в настоящее время сотрудничает с агентами DEA, на что он решился, как говорит, из-за удручающей ситуации, в которой он оказался.

stayer
23.08.2017, 18:40
Единственное настораживает молодость конторы, проводящей аудит, за ними пока нет надежного поручительства.