Falhas críticas são encontradas em app open-source de criptografia
Muitas falhas foram encontradas por auditoria no bootloader UEFI do VeraCrypt. Novo update corrige maior parte dos problemas.
Autor da Foto
Os usuários são encorajados a fazer um upgrade para o VeraCrypt 1.19, que foi liberado nesta semana e inclui patches para a maioria das falhas. Alguns problemas continuam sem solução porque corrigi-los exige mudanças complexas no código e em alguns casos afetaria a compatibilidade reversa com o TrueCrypt.
No entanto, o impacto da maioria desses problemas podem ser evitados ao seguir as práticas seguras mencionadas na documentação ao configurar contêineres criptografados e usando o software.
A auditoria, que foi realizada pela empresa francesa de segurança Quarkslab e patrocinada pelo Open Source Technology Improvement Fund (OSTIF), encontrou oito vulnerabilidades críticas, três de risco médico e 15 falhas de baixo impacto. Algumas delas são problemas sem patches descobertos anteriormente em uma auditoria anterior da TrueCrypt.
Muitas falhas estavam localizadas no bootloader do VeraCrypt para computadores e sistemas que usam a nova UEFI (Unified Extensible Firmware Interface) -- a BIOS moderna. O TrueCrypt, que serve como base para o VeraCrypt, nunca teve suporte para a UEFI, forçando os usuários a desabilitar o BOOT da UEFI caso queiram criptografar a partição do sistema.
O bootloader do VeraCrypt compatível com UEFI - o primeiro para programas open-source de criptografia no Windows - foi lançado em agosto e é maior adição ao código base do TrueCrypt feita pelo desenvolvedor chefe do VeraCrypt, Mounir Idrassi. Isso o torna muito menos maduro do que o restante do código, por isso é compreensível que possa ter mais falhas.
Outra mudança feita após a auditoria foi a remoção do padrão de criptografia Russian GOST 28147-89, cuja implementação foi classificada como insegura pelos auditores.
Nenhum comentário:
Postar um comentário
Observação: somente um membro deste blog pode postar um comentário.