image

Duitse overheid publiceert onderzoek naar encryptiesoftware VeraCrypt

donderdag 10 december 2020, 12:23 door Redactie, 16 reacties

De Duitse overheid heeft onderzoek naar encryptiesoftware VeraCrypt laten uitvoeren en de resultaten vandaag gepubliceerd. De onderzoekers vonden geen grote kwetsbaarheden maar vinden de software ongeschikt voor het beschermen van gevoelige data en personen die hoge veiligheidseisen stellen.

VeraCrypt is een opensource-encryptieprogramma voor Linux, macOS en Windows gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. Het wordt voor het grootste deel door één persoon ontwikkeld die geen uitgebreide softwareontwikkelingscyclus met algemene best practices en peer reviews volgt, aldus de onderzoekers, die een jaar met hun onderzoek bezig waren.

Verder bestaat de gebruikte code nog altijd grotendeels uit de TrueCrypt-code, die herhaaldelijk is bekritiseerd voor de slechte programmeerstijl, merken de onderzoekers op. De code in VeraCrypt is niet opgeschoond en de ontwikkelaar volgt nog steeds dubieuze programmeerkeuzes, zo laat het rapport verder weten.

In de basisfunctionaliteit van de software, zoals het verwerken van containerbestanden en de interface met kerneldriver, werden geen beveiligingsproblemen aangetroffen. Ook bij de door VeraCrypt gebruikte cryptografische algoritmes vonden de onderzoekers geen problemen. Wel maakt VeraCrypt gebruik van het gedateerde en afgeschreven RIPEMD-160-hashingalgoritme. Verder werden er eigenaardigheden ontdekt met betrekking tot de implementatie van de random number generators en het GOST-encryptiealgoritme.

Aanbevelingen

Zoals gezegd worden er tijdens het onderzoek geen grote beveiligingsproblemen in VeraCrypt aangetroffen. Wel doen de onderzoekers verschillende aanbevelingen, zoals het gebruik van opensource-libraries voor de implementatie van cryptografische functies in plaats van de eigen gedateerde cryptografische code te gebruiken. Ook doet de ontwikkelaar er verstandig aan om naar een moderne key derivation functie over te stappen.

De onderzoekers stellen ook dat VeraCrypt alleen bescherming kan bieden in het geval dat een versleuteld apparaat wordt gestolen of verloren. De software biedt geen bescherming tegen online aanvallen op een draaiend systeem. Verder biedt VeraCrypt geen bescherming in scenario's waarbij een aanvaller meerdere keren toegang tot het systeem heeft, zo laat de conclusie weten.

Naast de aanbevelingen voor de ontwikkelaar hebben de onderzoekers ook nog advies voor gebruikers en dat is dat de software niet voor vertrouwelijke data moet worden gebruikt. "De ontwikkelmethodes en resulterende codekwaliteit van VeraCrypt zijn een reden tot zorg. Daarom kunnen we VeraCrypt niet aanbevelen voor gevoelige data en personen of toepassingen met hoge veiligheidseisen."

Reacties (16)
10-12-2020, 12:55 door Anoniem
Als een overheid onderzoek doet naar encryptie software en de afkraakt, dan zet ik daar direct vraagtekens bij.
Uberhaupt dat hun dat onderzoek doen.
En, is het dan zo goed dat je niet wilt dat de mensen het gaan gebruiken omdat je het niet kan decrypren?
10-12-2020, 13:08 door Anoniem
zoals het gebruik van opensource-libraries voor de implementatie van cryptografische functies in plaats van de eigen gedateerde cryptografische code te gebruiken

zodat de NSA hier makkelijk in 1 keer alle encryptietools kan backdooren?
lijkt me erg handig als dat NIET gaat gebeuren...

ook de conclusie is dubieus... ' we kunnen niets ernstigs vinden, maar we raden het gebruik toch af'...
is dan de conclusie ' we hebben van alles gevonden maar we houden dat voor toekomstige exploits voor de duitse NSA vast?
of is de conclusie ' we hebben geen echte exploits gevonden maar het is lastig deze tool te kraken zonder dat ze gebruik maken van de standaard open source libraries die we wel kunnen kraken?
10-12-2020, 14:01 door Anoniem
Het is inderdaad de vos je kippenhok laten bewaken. De Duitse overheid heeft eerder Java Anon Proxy van een backdoor laten voorzien zonder dat aan iemand te vertellen. Omdat Java Anon Proxy open source was heeft iemand dat toen ontdekt.

En als je computer aan staat of op het net zit, dan kan je er als aanvaller bij. Dit is altijd zo geweest bij full disk encryption. En wat is het alternatief voor Windows? Bitlocker op Windows 10 Pro?
10-12-2020, 14:48 door Anoniem
Door Anoniem: Als een overheid onderzoek doet naar encryptie software en de afkraakt, dan zet ik daar direct vraagtekens bij.
Uberhaupt dat hun dat onderzoek doen.
En, is het dan zo goed dat je niet wilt dat de mensen het gaan gebruiken omdat je het niet kan decrypren?

Wel Veracrypt _is_ open source, dus in plaats van wat te denken kun je ook zelf kijken - heeft dat rapport gelijk ?

Het is op zich niet vreemd - en zeker te prijzen - dat ze óók open source producten die een plausibele kandidaat zijn voor encryptie van geheimen evalueren.
Ook overheidsorganisaties - en bedrijven, en instellingen die data _moeten_ encrypten kiezen daar iets voor. En ze moeten ergens solide advies krijgen voor toegestane/aanbevolen oplossingen.
10-12-2020, 15:08 door Anoniem
Klinkt alsof het de perfecte tool is!
10-12-2020, 15:49 door Anoniem
Evenals BitLocker een zwakke encryptie dus. Hier een beter alternatief mbt envryptie, tevens on boot. Lees in:
https://www.diskcryptor.org/
Dit ontwikkelteam "David Xanatos" -o.a. bekend van (voortzetting) ondersteuning en ontwkkeling Sandboxie- is een donatie meer dan waard!
10-12-2020, 16:41 door Anoniem
Ga eens Googlen wat Snowden over Truecrypt heeft geschreven.
10-12-2020, 16:43 door Anoniem
Door Anoniem: Als een overheid onderzoek doet naar encryptie software en de afkraakt, dan zet ik daar direct vraagtekens bij.
Uberhaupt dat hun dat onderzoek doen.
En, is het dan zo goed dat je niet wilt dat de mensen het gaan gebruiken omdat je het niet kan decrypren?
Ik gok dat je deze zelfde reactie had geplaatst als het onderzoek positief was geweest?
10-12-2020, 18:18 door Anoniem
Door Anoniem:
Door Anoniem: Als een overheid onderzoek doet naar encryptie software en de afkraakt, dan zet ik daar direct vraagtekens bij.
Uberhaupt dat hun dat onderzoek doen.
En, is het dan zo goed dat je niet wilt dat de mensen het gaan gebruiken omdat je het niet kan decrypren?
Ik gok dat je deze zelfde reactie had geplaatst als het onderzoek positief was geweest?
Interessant dat het onderzoek gedeeld is door de Duitse overheid. Het laat zien dat VeraCrypt by default dreigt te verouderen. Die 160-bit hashauthenticatie geeft een fragiele indruk m.i.
10-12-2020, 18:20 door [Account Verwijderd]
Door Anoniem: Als een overheid onderzoek doet naar encryptie software en de afkraakt, dan zet ik daar direct vraagtekens bij.

Verstandig! Altijd waakzaam blijven.
10-12-2020, 19:17 door Anoniem
Dit is al heel lang bekend. Nadat TrueCrypt had gepubliceerd 'Not Secure Anymore' werd de code overgenomen en was er binnen twee jaar al een vergelijkend onderzoek met dezelfde uitkomst als in dit artikel.

Old news.
10-12-2020, 21:47 door Anoniem
Door Anoniem: De Duitse overheid heeft eerder Java Anon Proxy van een backdoor laten voorzien zonder dat aan iemand te vertellen. Omdat Java Anon Proxy open source was heeft iemand dat toen ontdekt.

Dat gegeven dateert van 2003, volgens de Wikipedia. Hoewel JonDoNym nog steeds werkzaam is, is het mijn indruk is dat de ontwikkeling door JonDos GmbH al enige tijd praktisch stil staat.

https://de.wikipedia.org/wiki/JonDo

En als je computer aan staat of op het net zit, dan kan je er als aanvaller bij. Dit is altijd zo geweest bij full disk encryption.

Dat risico valt onder Linux sterk te reduceren door de applicaties op een Xen hypervisor in van elkaar geïsoleerde virtuele machines te draaien. Voor die oplossing heeft het Qubes OS project gekozen.
11-12-2020, 11:16 door Anoniem
Door Anoniem: Evenals BitLocker een zwakke encryptie dus. Hier een beter alternatief mbt envryptie, tevens on boot. Lees in:
https://www.diskcryptor.org/
Dit ontwikkelteam "David Xanatos" -o.a. bekend van (voortzetting) ondersteuning en ontwkkeling Sandboxie- is een donatie meer dan waard!

Die heb ik jarenlang zonder problemen gebruikt, echter werd tot voor kort niet gesupport op Windows 10. Zie nu overigens dat dat nu wel het geval blijkt te zijn. Toch maar weer overstappen hierop.
12-12-2020, 20:35 door Anoniem
M.a.w. In plaats van af te raden is de overheid er bij gebaat dat we veracrypt gebruiken, want sneller te kraken...
14-12-2020, 11:23 door eduardEtc
Het onderzoek is uitgevoerd door de federale dienst voor IT veiligheid, Hun opdracht is onder andere om IT veiligheods producten te testen op effectiviteit. Dat hebben ze met dit rapport gedaan.
Bij BSI werken voornamelijk cryptografen en andere veiligheidsexperts, bijvoorbeeld gespecialiseerd in evaluaties volgens de international standards met "Common Criteria".
De eerste conclusie van de BSI is kennelijk dat het qua cryptgrafy wel good zit bij VeraCrypt, met een aanbeveling om twee algoritmes te vervangen door iets modernere. Zo'n aanbeveling zegt niet dat VeraCrypt onveilig is, maar dat de kans op inbreuk iets hoger is als de waarde van door een inbreuk te verkrijgen gewin hoger is als de nog steeds zeer hoge hoge kosten ervan.
Die aanbeveling, en de relatie daarin met de waarde van wat beschermd wordt bij een specifieke toepassing, is een van de redenen om het gebruik af te raden voor toepassen waar de te beschermen waarde hoog is. De tweede reden komt uit Common Criteria (CC) voort, overheden en andere instelling zijn verplicht voor bepaalde IT veiligheid toepassing een veiligheidsniveau van hoger dan CC EAL3 te hebben. Een van de vereisten van dat niveau is dat de software in een gecontroleerde omgeving is ontwikkeld, waarbij alleen geautoriseerde personen bij de broncode kunnen komen en bijgehouden wordt wanneer iemand er toegang to heeft. De ontwikkelaar van VeraCrypt heeft zijn werkomgeving vast niet zo beveiligd als EAL3 voorschrijft, dus kan op die grond de ontwikkelde software niet gebruikt worden waar EAL3 vereist wordt.
14-12-2020, 16:01 door Anoniem
Door eduardEtc:
De eerste conclusie van de BSI is kennelijk dat het qua cryptgrafy wel good zit bij VeraCrypt, met een aanbeveling om twee algoritmes te vervangenlaar van VeraCrypt heeft zijn werkomgeving vast niet zo beveiligd als EAL3 voorschrijft, dus kan op die grond de ontwikkelde software niet gebruikt worden waar EAL3 vereist wordt.

Dank voor je reactie die dit bericht verder van context voorziet! Ik ben benieuwd welke van de aanbevelingen overgenomen zijn door Veracrypt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.