在 DuckDuckGo 和 VikingVPN 的資助下，QuarksLab 最近對開源加密軟件 VeraCrypt 進(jìn)行了安全審計。此次審計發(fā)現(xiàn)了 8個高危漏洞和 10 多個中低級別的漏洞。

關(guān)于VeraCrypt

VeraCrypt 是一款非常流行的磁盤加密軟件，它基于 TrueCrypt 7.1a 開發(fā)(在 2014 年 TrueCrypt 突然關(guān)閉之后才啟動的這個項目)，因此可以把它看成是 TrueCrypt 的分支 。在 TrueCrypt 停用之后，VeraCrypt 接過了 TrueCrypt 的鋼槍，迅速成為了一款十分受歡迎的加密軟件。其開發(fā)者為法國的 Mounir Idrassi，現(xiàn)在是由 IDRIX 團(tuán)隊在負(fù)責(zé)維護(hù)，相比 TrueCrypt ，VeraCrypt 在防暴力破解方面造詣更深。

VeraCrypt 有著十分龐大的用戶群，記者、安全從業(yè)人員以及很多其他用戶，他們都是 VeraCrypt 的忠實粉絲。正是因為用戶數(shù)量龐大(本身也存在一些漏洞)，OSTIF(一個開源技術(shù)改進(jìn)基金)才同意獨立審計 VeraCrypt，并于今年8月聘請了 QuarksLab 研究人員主導(dǎo)這次審計。

發(fā)現(xiàn)數(shù)個高危漏洞

這次安全審計的源代碼來自 VeraCrypt 1.18 版本和 VeraCrypt DCS EFI Bootloader 1.18 版本，重點聚焦在上次審查后，這款應(yīng)用引入的新特性上。另外此次安全審計僅針對 Windows 版本，OS X 和 Linux 版本不在審計范圍之內(nèi)。另外，使用的SHA-2 值為：

VeraCrypt_1.18_Source.zip : 12c1438a9d2467dcfa9fa1440c3e4f9bd5e886a038231d7931aa2117fef3a5c5

VeraCrypt-DCS-EFI-LGPL_1.18_Source.zip : 2e8655b3b14ee427320891c08cc7f52239378ee650eb28bad9531371e7c64ae3

這次審計牽扯到方方面面，既要熟悉操作系統(tǒng)，Windows 內(nèi)核，系統(tǒng)啟動鏈，又要對密碼學(xué)有了解?？傊褪菍⑴c人員的素質(zhì)要求非常高。安全專家們對 VeraCrypt 1.18 版本和 VeraCrypt DCS EFI Bootloader 1.18 版本進(jìn)行了一個月的分析后，總結(jié)了一份長達(dá)42頁的審計報告。

在 VeraCrypt 1.18 版本中，UEFI 支持是其最重要的功能之一，這部分代碼存儲在一個名為 VeraCrypt-DCS 的單獨庫中。但跟其他功能比起來，由于某些功能的欠缺，這個特性還是顯得不夠成熟。

研究人員發(fā)現(xiàn)，黑客能夠在 UEFI 模式下輕松獲取到啟動密碼——在用戶變更密碼的時候，VeraCrypt 未能正確將其擦除。

bootloader 處理的數(shù)據(jù)一般不會被擦除。一般來說，啟動時用戶密碼會被正確清除。但在用戶修改密碼時，包含新密碼的密碼結(jié)構(gòu)則不會被擦除。實際上，TrueCrypt 和 VeraCrypt 的開發(fā)人員有仔細(xì)檢查內(nèi)存中的數(shù)據(jù)是否被正確清除。但 DCS 模塊顯然沒有被納入到檢查范圍內(nèi)。除此之外，還有一些高危的漏洞也被檢查出來。其余的高危漏洞和 GOST 28147-89 對稱分組密碼的實施過程相關(guān)。

在 VeraCrypt 發(fā)布的 1.19 版本中，修復(fù)了報告披露的部分漏洞，而部分漏洞因為其復(fù)雜性尚未修復(fù)。已經(jīng)修復(fù)的漏洞包括：VeraCrypt 使用了舊版本的 zlib 庫，1.19 版移除了舊版本用新版本替換;移除 GOST 28147-89 加密選項，原因是其實現(xiàn)不安全;修復(fù)了多個 UEFI 支持問題。

值得一提的是，James Forshaw 在 TrueCrypt 驅(qū)動中發(fā)現(xiàn)的一個漏洞也被修復(fù)，該漏洞可以實現(xiàn)提權(quán)，而在 OCAP 審計報告中并沒有提及到該漏洞。對于需要大量修改代碼或架構(gòu)的漏洞，VeraCrypt 暫時還沒有修復(fù)。包括：

• TC_IOCTL_OPEN_TEST，multiple issues
• EncryptDataUnits() lacks error handling
• AES implementation susceptible to cache-timing attacks

另外，涉及到密碼機(jī)制的相關(guān)漏洞也未修復(fù)，包括：

• Keyfile mixing is not cryptographically sound
• Unauthenticated ciphertext in volume headers

毫無疑問，這種類型的審計不僅對用戶安全非常重要，而且也加快了 bug 的發(fā)現(xiàn)和修復(fù)進(jìn)程。現(xiàn)在我們更關(guān)注的是，其他的 bug何時能修復(fù)?