Audyt bezpieczeństwa VeraCrypt 2024
Historia audytów VeraCrypt
VeraCrypt (następca TrueCrypt) przeszedł wielokrotne niezależne audyty bezpieczeństwa:
- 2016 – OSTIF / QuarksLab: Pierwszy kompleksowy audyt VeraCrypt. Znaleziono 8 krytycznych i 3 średnie podatności – wszystkie naprawione w wersji 1.19
- 2020 – Fraunhofer SIT: Audyt na zlecenie niemieckiego BSI. Potwierdził wysoki poziom bezpieczeństwa
- 2024: Najnowszy audyt skupiony na nowych funkcjach i zmianach od 2020
Wyniki audytu 2024
Audyt skupił się na:
- Implementacja algorytmów kryptograficznych – weryfikacja poprawności AES, Serpent, Twofish
- Generowanie kluczy – jakość PRNG i źródła entropii
- Obsługa pamięci – ochrona przed wyciekami kluczy z RAM
- Nowe funkcje – szyfrowanie UEFI, obsługa dużych sektorów
Główne wnioski:
- Brak backdoorów ani celowych luk bezpieczeństwa
- Implementacja kryptografii jest poprawna i zgodna ze specyfikacjami
- Znaleziono kilka drobnych problemów niskiego ryzyka (memory handling)
- Ogólna ocena: wysoki poziom bezpieczeństwa
Wprowadzone poprawki
- Ulepszone czyszczenie wrażliwych danych z pamięci po odmontowaniu
- Wzmocniona ochrona przed atakami sprzętowymi (DMA)
- Poprawki w obsłudze UEFI Secure Boot
- Aktualizacja bibliotek kryptograficznych
Dlaczego audyty są ważne?
Audyty bezpieczeństwa open-source mają kluczowe znaczenie:
- Transparentność: Każdy może zweryfikować, że oprogramowanie nie zawiera backdoorów
- Niezależność: Audyt przeprowadzany przez zewnętrzną firmę, nie twórców
- Zaufanie: Organizacje i rządy mogą korzystać z oprogramowania z potwierdzoną jakością
- Ciągłe doskonalenie: Każdy audyt prowadzi do poprawek i ulepszeń
Najczęściej zadawane pytania
Czy VeraCrypt ma backdoory?
Nie. Wielokrotne niezależne audyty potwierdziły brak backdoorów. Otwarty kod źródłowy oznacza, że każdy ekspert może to zweryfikować samodzielnie.
Kto finansuje audyty VeraCrypt?
Audyty są finansowane przez organizacje takie jak OSTIF (Open Source Technology Improvement Fund), agencje rządowe (np. niemieckie BSI) oraz darowizny społeczności.
Czy audyt gwarantuje 100% bezpieczeństwo?
Nie. Żaden audyt nie może zagwarantować absolutnego bezpieczeństwa. Audyty redukują ryzyko, ale nowe podatności mogą być odkryte w przyszłości. Dlatego regularne aktualizacje są kluczowe.
Jakub Sierak jest specjalistą w zakresie informatyki stosowanej w e-commerce. Specjalizuje się w zagadnieniach prawnych e-commerce, ochronie prywatności i bezpieczeństwie danych biznesowych. Szczególnie poświęcił się zagadnieniom związanym z narzędziami do szyfrowania danych lokalnie jak i w chmurze oraz technikom trwałego usuwania danych. Absolwent informatyki Politechniki Poznańskiej – zarówno specjalizacji związanej z inteligencją biznesową, jak i systemami baz danych. Na rynku funkcjonuje od 1998 roku, prowadzi firmę konsultingową netea.pl. Przez kilkanaście lat był związany z Grupą Kapitałową Komputronik, w szczególności ze spółką integracyjną Komputronik Biznes. Dziś tworzy wiele projektów biznesowych związanych z e-commerce, wykorzystaniem AI w marketingu i sprzedaży. Jest marketerem stosującym wiedzę informatyczną w zarządzaniu, marketingu i sprzedaży.