Encryptie-tool Veracrypt heeft een nieuwe audit gekregen. De software had een aantal ernstige veiligheidslekken, waaronder dezelfde als die in de spirituele voorganger TrueCrypt zat. De lekken zijn inmiddels gerepareerd in een nieuwe versie van de software.
Veracrypt is de onofficiële open source opvolger van TrueCrypt, dat eind 2014 uit het niets stopte met ondersteuning. VeraCrypt had tot nu toe nog geen externe audit gehad voor achterdeurtjes in de encryptie, maar dat is nu wel gebeurd door de Open Source Technology Improvement Fund (OSTIF).
Wachtwoordenlengte
Tijdens de audit werden 8 ernstige beveiligingslekken gevonden, met nog eens 18 lekken die minder ernstig bleken te zijn of in ieder geval geen informatie konden lekken. Eén van die ernstige lekken zat ook al in TrueCrypt. Het gaat om een kwetsbaarheid waarmee de wachtwoordlengte in de bootloader werd opgeslagen.
GOST
Ook bleek VeraCrypt nog steeds gebruik te maken van het oude GOST-algoritme, dat inmiddels niet meer veilig is en in sommige gevallen makkelijk met brute force te kraken is.
Gerepareerd
VeraCrypt heeft een aantal lekken bijgewerkt en vervangen in versie 1.19. Die is inmiddels te downloaden van de website. Sommige kwetsbaarheden staan echter nog open, omdat de oplossing daarvan te complex is volgens de makers.