Een beveiligingsbedrijf heeft de versleutelingssoftware VeraCrypt geaudit en zal de resultaten binnenkort openbaar maken, als de ontwikkelaars van de encryptiesoftware de tijd hebben gehad om alle gevonden problemen te verhelpen. Dat laat het Open Source Technology Improvement Fund (OSTIF) weten.

VeraCrypt is een opensourceprogramma waar gebruikers bestanden, usb-sticks, externe harde schijven en zelfs complete systemen mee kunnen versleutelen. Het is gebaseerd op het bekende versleutelingsprogramma TrueCrypt, waarvan de ondersteuning in 2014 werd gestopt. TrueCrypt is echter op de aanwezigheid van backdoors geaudit, wat niet geldt voor VeraCrypt. Door het laten uitvoeren van een professionele audit wil het OSTIF hier verandering in brengen.

Het OSTIF is een nonprofit-organisatie die op verschillende manieren helpt bij het veiliger maken van opensourceprojecten. Het gaat bijvoorbeeld om beloningsprogramma's voor het melden van kwetsbaarheden, het financieren van codeverbeteringen en het laten uitvoeren van audits. De audit van VeraCrypt werd door beveiligingsbedrijf QuarksLab uitgevoerd en heeft ruim drie weken in beslag genomen.

De ontwikkelaars van VeraCrypt hebben de voorlopige bevindingen inmiddels ontvangen, terwijl het auditrapport nu verder wordt afgerond. "Om ervoor te zorgen dat het publiek zo veilig als mogelijk is, zal het auditrapport pas verschijnen als alle bugs zijn verholpen. Deze vertraging moet ervoor zorgen dat een nieuwe versie van de software gelijktijdig met de publicatie van de auditresultaten beschikbaar is", zo laat het OSTIF weten. De resultaten zullen tegelijkertijd op de website van VeraCrypt, het OSTIF en QuarksLab worden gepubliceerd.