close

VeraCrypt

Vai alla navigazione Vai alla ricerca
VeraCrypt
Logo del programma VeraCrypt
Screenshot di VeraCrypt
VeraCrypt 1.17 in esecuzione su Windows 10
Tipo di Crittografia
Scritto in C++ , C e linguaggio assembly [1]
Interfaccia wxWidgets
Sistema operativo Microsoft Windows , macOS e Linux
Linguaggi di interfaccia più lingue [d]
Prima edizione 22 giugno 2013
ultima versione 1.25.9 (19 febbraio 2022)
Licenza Licenza Apache 2.0 [2]
Sito web veracrypt.fr _ 
 File multimediali su Wikimedia Commons

VeraCrypt  è un software utilizzato per la crittografia al volo . VeraCrypt è un progetto gratuito e open source iniziato il 22 giugno 2013 come fork di TrueCrypt . Lanciato e attualmente gestito da Mounir Idrassi, il fondatore di IDRIX, dopo che la fine del supporto per il programma TrueCrypt è stata annunciata il 28 maggio 2014.

Schema di crittografia

Algoritmi

VeraCrypt può utilizzare i seguenti algoritmi di crittografia: AES , Serpent , Twofish , Camellia , Grasshopper , nonché combinazioni di questi algoritmi.

Funzioni hash crittografiche utilizzate : RIPEMD-160 , SHA-256 , SHA-512 , Stribog e Whirlpool [3] .

Modalità di crittografia

VeraCrypt utilizza la modalità di crittografia XTS  .

Chiavi

La chiave di intestazione e la chiave di intestazione secondaria per la modalità XTS sono generate utilizzando l' algoritmo PBKDF2 utilizzando un sale crittografico a 512 bit , il numero di iterazioni va da 327.661 a 655.331, a seconda della funzione hash utilizzata [4] .

Miglioramenti rispetto a TrueCrypt

Secondo gli sviluppatori, VeraCrypt ha una serie di miglioramenti della sicurezza rispetto a TrueCrypt.

Mentre TrueCrypt utilizza 1000 iterazioni per generare la chiave che crittografa la partizione di sistema utilizzando l' algoritmo PBKDF2 - RIPEMD-160 , VeraCrypt utilizza 327.661 iterazioni. Per le partizioni del disco crittografate standard e i contenitori di file, VeraCrypt utilizza 655.331 iterazioni per la funzione hash RIPEMD-160 e 500.000 iterazioni per SHA-2 e Whirlpool . Questo rallenta notevolmente VeraCrypt durante l'apertura di partizioni del disco crittografate durante il montaggio, ma lo rende non meno di 10 (e non più di 300) volte più resistente agli attacchi di forza bruta [5] .

Risolta la vulnerabilità del bootloader per Windows. È stato aggiunto il supporto per l'algoritmo SHA-256 per l'avvio da una partizione crittografata e sono stati risolti i problemi con la vulnerabilità ShellExecute per Windows.

Per Linux e macOS è stato aggiunto il supporto per dischi con settori superiori a 512 byte. Per Linux, è implementato il supporto per le partizioni formattate in NTFS .

Questi miglioramenti hanno portato all'incompatibilità con il formato della partizione TrueCrypt. Gli sviluppatori di VeraCrypt hanno trovato il vecchio formato TrueCrypt troppo vulnerabile a un potenziale attacco NSA e lo hanno abbandonato. Questa è una delle principali differenze tra VeraCrypt e il fork rivale di TrueCrypt, CipherShed , che continua a supportare il vecchio formato. Dalla versione 1.0f, VeraCrypt può aprire e convertire partizioni formattate in formato TrueCrypt [6] [7] nel suo formato .

Il 17 agosto 2016, la versione 1.18a ha aggiunto la possibilità di crittografare le partizioni del disco formattate in formato GPT [8] .

Plausibile negazione dei dati crittografati

VeraCrypt, come TrueCrypt, supporta la possibilità di crittografia negabile [9] , consentendo di creare un altro "volume nascosto" all'interno di un volume crittografato [10] . Inoltre, la versione Windows di VeraCrypt consente la creazione e l'esecuzione di un'istanza nascosta del sistema operativo Windows, la cui esistenza può anche essere plausibilmente negata [11] .

La documentazione di VeraCrypt elenca una serie di modi in cui questa capacità potrebbe essere compromessa (ad esempio, perdita di dati attraverso file temporanei su un'unità non crittografata) e possibili modi per affrontare questo problema [12] .

Performance

VeraCrypt supporta il funzionamento in parallelo nei sistemi multiprocessore e multicore [13] . VeraCrypt può sfruttare la crittografia con accelerazione hardware disponibile sui processori con il set di istruzioni AES-NI [13] .

Queste misure aumentano le prestazioni di VeraCrypt.

Potenziali problemi di sicurezza

Il programma è suscettibile a numerosi potenziali attacchi a cui sono suscettibili anche altri software di crittografia delle unità, come BitLocker . Per mitigare questo pericolo, gli sviluppatori di VeraCrypt hanno fornito agli utenti una serie di raccomandazioni preventive [12] [14] .

Alcuni di questi problemi sono elencati di seguito.

Chiavi di crittografia memorizzate nella RAM

VeraCrypt memorizza le chiavi nella RAM in chiaro. Teoricamente, un utente malintenzionato potrebbe accedere ai suoi contenuti utilizzando il cosiddetto cold boot attack , in cui l'attaccante ottiene l'accesso fisico al contenuto dei moduli RAM del computer dopo che questo è stato spento e, utilizzando software o hardware speciali, ripristina i vecchi Contenuti. Un attacco simile è stato utilizzato con successo contro le partizioni del disco crittografate con TrueCrypt [15] . Per contrastare alcuni attacchi di questa categoria, a partire dalla versione 1.24, VeraCrypt ha aggiunto la crittografia delle chiavi nella RAM, oltre alla cancellazione delle chiavi dalla memoria al riavvio o allo spegnimento del sistema.

Sicurezza fisica

VeraCrypt non fornisce la sicurezza dei dati su un computer a cui un utente malintenzionato ha accesso fisico, di solito clandestino, mentre lavora con dati crittografati. Questa vulnerabilità non si applica al caso di computer smarriti, confiscati o rubati, ma quando gli aggressori sono in grado di installare uno o un altro tipo di spyware su un computer: un keylogger hardware , un dispositivo bus master con accesso diretto alla RAM o alcuni altro dispositivo progettato per risolvere tali problemi [16] .

Malware

VeraCrypt non protegge i dati su un computer con malware installato . Molti programmi dannosi di questo tipo contengono keylogger e possono, in particolare, leggere le password immesse dalla tastiera e trasmetterle agli aggressori [17] .

Modulo piattaforma affidabile

VeraCrypt non supporta l'interazione con TPM , poiché, secondo gli sviluppatori, TPM non può essere utilizzato per risolvere problemi di sicurezza delle informazioni [18] , poiché TPM non fornisce alcuna protezione per il computer da un utente malintenzionato che ha ottenuto l'accesso fisico al computer e , ad esempio, ha installato un keylogger hardware .

Verifica

VeraCrypt si basa sul codice sorgente TrueCrypt , che è stato verificato con successo, sebbene con alcuni problemi, in modo indipendente.

Un audit indipendente del codice VeraCrypt nella primavera del 2015 era in fase di pianificazione. Il suo inizio nel luglio 2015 è stato discusso [19] .

Entro la metà di settembre 2016 l'audit è stato completato. La relazione sui risultati era lunga 42 pagine. Questo audit indipendente è stato condotto dall'Open Source Technology Improvement Fund (OSTIF) e donato da DuckDuckGo e VikingVPN. La Fondazione OSTIF, a sua volta, ha attirato specialisti di Quarkslab per condurre un audit [20] .

Quarkslab, che ha condotto questo audit, ha concentrato i propri sforzi su VeraCrypt 1.18 e DCS EFI Bootloader 1.18 (UEFI), esaminando principalmente le nuove funzionalità che sono state aggiunte a VeraCrypt dopo l'audit di aprile 2015 del progetto TrueCrypt. I ricercatori scrivono di essere riusciti a trovare otto vulnerabilità critiche, tre vulnerabilità moderate e altri 15 errori di bassa importanza nel codice VeraCrypt [20] .

Per mantenere un elevato grado di sicurezza del codice VeraCrypt, nell'autunno del 2018 è stato pubblicato un programma di ricompense dei bug [21] .

Licenza alla fonte e modello di distribuzione

Dal 28 giugno 2015, VeraCrypt è stato concesso in licenza con la licenza Apache 2.0 [22] . In precedenza, è stato pubblicato sotto la Microsoft Public License [23] .

Poiché VeraCrypt si basa sui codici sorgente TrueCrypt, è anche soggetto ai termini di TrueCrypt License 3.0 [24] , che non è considerato gratuito da molte fonti.

Dato che gli sviluppatori TrueCrypt non si sono mai identificati come persone fisiche o giuridiche, mantenere l'anonimato è più una questione morale che pratica.

Vedi anche

  • Elenco dei software di crittografia
  •  Confronto di software di crittografia

Note

  1. Il progetto open source veracrypt su Open Hub: Languages ​​​​Page - 2006.
  2. http://veracrypt.codeplex.com/license
  3. Algoritmi hash (downlink) . Documentazione VeraCrypt . IDRIX. Estratto il 4 gennaio 2015 Archiviato dall'originale il 5 gennaio 2015.    (Inglese)
  4. Derivazione chiave di intestazione, conteggio salt e iterazione (downlink) . Documentazione VeraCrypt . IDRIX (4 gennaio 2015). Estratto il 4 gennaio 2015 Archiviato dall'originale il 5 gennaio 2015.    (Inglese)
  5. ^ Paul Rubens. VeraCrypt una degna alternativa a TrueCrypt. Quin Street Enterprise. eSecurity Planet. 13/10/2014 Archiviato il 4 gennaio 2018 in Wayback Machine 
  6. "Note sulla versione di VeraCrypt" (downlink) . Estratto il 21 agosto 2015 . Archiviato dall'originale il 26 ottobre 2015. 
  7. ^ Castello, Alex (marzo 2015). "A che punto siamo con TrueCrypt?". Massimo PC, p. 59.
  8. Note sulla versione . Estratto il 3 ottobre 2018 . Archiviato dall'originale il 30 marzo 2018. (Inglese)
  9. Negabilità plausibile (link inaccessibile) . Documentazione VeraCrypt . IDRIX (4 gennaio 2015). Data di accesso: 4 gennaio 2015 Archiviata dall'originale l'11 gennaio 2016. 
  10. Volume nascosto (link non disponibile) . Documentazione VeraCrypt . IDRIX. Data di accesso: 4 gennaio 2015 Archiviata dall'originale il 22 dicembre 2015. 
  11. Sistema operativo nascosto (collegamento inaccessibile) . Documentazione VeraCrypt . IDRIX (4 gennaio 2014). Data di accesso: 4 gennaio 2015 Archiviata dall'originale il 22 dicembre 2015. 
  12. 1 2 Requisiti di sicurezza e precauzioni relative ai volumi nascosti (link non disponibile) . Documentazione VeraCrypt . IDRIX (4 gennaio 2015). Data di accesso: 4 gennaio 2015 Archiviata dall'originale il 22 dicembre 2015. 
  13. 1 2 Guida dell'utente di VeraCrypt (downlink) . Estratto il 22 agosto il 2015 Archiviato dall'originale il 16 dicembre 2015. 
  14. Requisiti e precauzioni di sicurezza (link non disponibile) . Documentazione VeraCrypt . IDRIX. Data di accesso: 16 febbraio 2015 Archiviata dall'originale il 5 gennaio 2015. 
  15. ^ Alex Halderman et al. Per non ricordare: attacchi di avvio a freddo sulle chiavi di crittografia. Archiviato il 7 giugno 2011 in Internet Archive 
  16. Documentazione VeraCrypt. sicurezza fisica. Archiviato il 22 dicembre 2015 in Internet Archive 
  17. Documentazione VeraCrypt. Malware archiviato il 30 marzo 2021 in Internet Archive 
  18. ^ Domande frequenti su VeraCrypt Archiviate il 16 dicembre 2015 su Wayback Machine 
  19. ^ Idrassi, Mounir. Audit di sicurezza (link non disponibile) (31 dicembre 2014). Estratto il 22 febbraio 2015 . Archiviata dall'originale il 5 agosto 2015.    (Inglese)
  20. 1 2 Maria Nefyodova. L'audit di VeraCrypt ha rivelato 26 vulnerabilità, 8 delle quali critiche (18 ottobre 2016). Estratto il 18 giugno 2018 . Archiviato dall'originale il 18 giugno 2018.
  21. ↑ VeraCrypt - Programma Bug Bounty  . HackerOne. Estratto il 17 giugno 2019 . Archiviato dall'originale il 17 giugno 2019.
  22. Licenza Apache 2.0 (Apache) (downlink) . Estratto 1 luglio 2015 Archiviato dall'originale il 9 luglio 2015. 
  23. Licenza pubblica Microsoft (Ms-PL) (downlink) . Estratto 1 luglio 2015 Archiviato dall'originale il 5 febbraio 2016. 
  24. ^ Vedi Archiviato il 30 maggio 2012.  (link non disponibile)

Collegamenti