Sårbarheter uppdagade i TrueCrypt

Säkerhetsföretaget iSEC Partners med Andreas Junestam som teknisk projektledare har genomfört en granskning av den populära krypteringsmjukvaran TrueCrypt (TC). Granskningen påvisar totalt 11 stycken felaktigheter varav fyra är av allvarlighetsgrad medium och fyra har låg allvarlighetsgrad samt tre är enbart för information.

Granskningens fokus låg på bootloader samt Windows kernel-drivrutinen och inga eventuella avsiktliga bakdörrar identifierades. Dock innehar TC en dålig kodstandard:

Overall, the source code for both the bootloader and the Windows kernel driver did not meet expected standards for secure code.

Den dåliga kodstandarden leder inte bara till att eventuella sårbarheter introduceras lättare samt svårare att upptäcka utan även att det blir en högre tröskel för nya utvecklare som vill bidra till projektet.

En av de allvarligare sårbarheterna som identifierades var att nyckelderivatafunktionen PBKDF2 enbart används med 1000 eller 2000 iterationer vilket är för lågt. Exempelvis så rekommenderades 1000 iterationer att användas år 2000 (enligt RFC 2898). Detta finns även dokumenterat på TrueCrypt.org.

Förhoppningsvis kommer TC att i framtiden ge användaren möjlighet att öka antalet iterationer eller helt gå över till Scrypt.

Här kan du läsa granskningsrapporten som PDF:

Granskning av TrueCrypt

 

Läs mer här:

Eller på TKJ:s blogg.

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta experter inom cybersäkerhet med över 20 års erfarenhet. Frågor? Kontakta mig på: [email protected] eller LinkedIn Twitter

One comment

  1. Pingback: Truecrypt stänger ner | Kryptering

Skriv en kommentar