Подготовлено на основании перевода статьи «VeraCrypt a Worthy TrueCrypt Alternative«.
Будучи ответвлением (форком) кода TrueCrypt, VeraCrypt поднимает на новый уровень защиту с помощью программ шифрования с открытым кодом, а также устраняет слабые места.
Если вы с неохотой продолжаете использовать заброшенный TrueCrypt, и вы не хотите ждать пока созреет CipherShed, очень полезным для вас станет изучение альтернативы — VeraCrypt (второй официальный сайт проекта VeraCrypt).
VeraCrypt это также форк оригинального кода TrueCrypt, и эта программа была запущена в июне 2013. Консультант по безопасности в сфере информационных технологий Мунир Идрасси (Mounir Idrassi), который располагается во Франции, запустил проект и является его основным донором.
Инновации г-на Идрасси в развитии VeraCrypt восходят к 2012 году, когда его попросили интегрировать TrueCrypt с продуктом клиента. Перед выполнением этой задачи был проведёт аудит безопасности кода и выявлены некоторые вопросы. «Там не было никаких больших проблем, ни бэкдоров или чего-нибудь вроде этого. Но там были некоторые мелочи, поэтому мы решили начать VeraCrypt», сказал он.
Г-н Идрасси сказал, что главная слабость в TrueCrypt была в том, по его мнению, что он был не безопасен против атаки брут форсом (перебором вариантов). Особенно тот способ, которым программа трансформировала пароль для получения ключа был недостаточно хорош, скзал он. «TrueCrypt использует трансформации, которые не являются очень сложными. Это недостаточно, особенно сейчас с облачными системами взлома», объяснил он.
Слабость TrueCrypt
В технических терминах, когда системный раздел зашифрован, TrueCrypt использует PBKDF2-RIPEMD160 с 1000 итерациями. Для стандартных контейнеров и для других (например, не системных) разделов, TrueCrypt использует самое большее 2000 итераций.
Что г-н Идрасси сделал, так это налёг на процесс трансформации. VeraCrypt использует 327,661 итераций алгоритма PBKDF2-RIPEMD160 для системных разделов, и для стандартных контейнеров и для других разделов она использует 655,331 итераций RIPEMD160 и 500,000 итераций SHA-2 и Whirlpool, сказал он.
В то время как это делает VeraCrypt слегка медленнее в процессе открытия зашифрованных разделов, это делает эту программу минимум в 10 раз и максимум в примерно 300 раз труднее для взлома посредством перебора вариантов. «По сути то, что может занять месяц на взлом защифрованного TrueCrypt’ом может занять год на зашифрованное VeraCrypt’ом», говорит г-н Идрасси.
Как результат этих изменений, формат контейнеров VeraCrypt несовместим с форматом TrueCrypt. Т.е. это может стать проблемой для каждого, кто собирается перебраться с TrueCrypt на VeraCrypt, г-н Идрасси сказал, что он работает над инструментом конвертации, который будет доступен в ближайшие три месяца.
Лучше чем TrueCrypt
Также как над увеличением числа итераций, которое уже выполнено, Идрасси сказал, что он обратился к слабостям в API и драйверов и к проверке параметров. Этот код также уведён от возможностей инструментов для статического анализа, и изменения сделаны для корректировки дефектов, которые выявил анализ.
«До этого наше внимание было сосредоточено на безопасности, следующим шагом будет добавление новых функций», сказал Идрасси, добавление новых функций будет включать совместимость с UEFI (чтобы эта программа работала, к примеру, с Windows 8 и 10) и совместимостью со стенографией — используемой для сокрытия информации в таких вещах как цифровые файлы изображений.
Очевидный вопрос, рассматривает ли Идрасси возможность объединения усилий с командой проекта CipherShed. Он сказал, что он связывался с Биллом Коксом (Bill Cox), членом комитета по управлению проектом CipherShed ещё в июне и спрашивал помощи, но он слишком занят. «У меня нет много времени, но я, конечно, могу способствовать патчами и вещами вроде этого», сказал он.
Но есть и другие причины, почему Идрасси неохотно вмешивается.
«Главная особенность, которая у меня есть и по которой мы не нашли согласия: CipherShed думает, что это нормально продолжать использовать формат TrueCrypt (использующий меньшее количество итераций). Но мы не рассматриваем его достаточно безопасным — не для обеспечения высокого уровня безопасности против людей или организаций с громадными ресурсами», сказал он.
Эффект АНБ
Идрасси намекнул, что нарушение совместимости с TrueCrypt является хорошей идеей также и по другой причине. «В течение более чем 10 лет правоохранительные органы развивали инфраструктуру и инструменты для судебной экспертизы томов TrueCrypt», сказал он.
Изменение формата и добавление сложности, следовательно, это не то, что приветствуют специальные органы, которые, мы предполагаем, делают проблемной внедрение этого и участие в развитии VeraCrypt для любых базирующихся в США разработчиков. «Если вы принимаете участие в проекте вроде этого, тогда вы будете «на карандаше» Соединённых Штатов. Мы базируемся во Франции, следовательно, для нас это не проблема», сказал он.
Как результат, у VeraCrypt есть немного доноров, кроме самого Идрасси. «Это не игра», сказал он. «Это очень серьёзно и мы делаем это как профессионалы. Мы очень прозрачны: проект публичный, власти Франции уведомлены о нём. Но поэтому-то и не много людей участвуют».
Без конспирологии TrueCrypt
В том, что TrueCrypt была покинута её разработчиками, Идраси не видит причин для беспокойства. «Я уверен, что люди вовлечённые в TrueCrypt не были анонимными и специальные органы знали, кто они», сказал он. «Но когда вы смотрите в этот код, появляется мысль, что этим людям было 40 лет в 1995. Следовательно, сейчас им по 60, и они возможно устали или ушли на пенсию.
«Когда они остановили проект они знали, это вызовет новые инициативы. Я безусловно не верю, что в этом есть что-то подозрительное», сказал Идрасси.