VeraCrypt é seguro?

VeraCrypt é seguro?

VeraCrypt

O VeraCrypt é um software de encriptação gratuito, baseado na versão 7.1a do TrueCrypt, que é desenvolvido pela empresa francesa IDRIX. A primeira versão do VeraCrypt foi lançada em Junho de 2013, no entanto este software só começou a ganhar mais popularidade a partir de Maio de 2014, aquando da descontinuação do TrueCrypt.

Ao contrário dos desenvolvedores de outros programas derivados do TrueCrypt, os desenvolvedores do VeraCrypt não só corrigiram as vulnerabilidades que foram identificadas no TrueCrypt, como também implementaram novas funcionalidades no software. Mas será que as vulnerabilidades identificadas no TrueCrypt foram corrigidas de forma segura no TrueCrypt? E será que não foram introduzidas novas vulnerabilidades ao implementar novas funções?

A organização Open Source Technology Improvement Fund (OSTIF) financiou uma auditoria ao VeraCrypt para dar resposta a estas questões. Esta auditoria, que incidiu sobre a versão 1.18 do software, foi encomendada à empresa Quarkslab, e decorreu de 16 de Agosto a 14 de Setembro de 2016.

O propósito desta auditoria era, numa primeira etapa, verificar se as vulnerabilidades que tinham sido identificadas na auditoria ao TrueCrypt, e as duas vulnerabilidades mais tarde identificadas por James Forshaw, tinham sido corrigidas de forma correcta. Na etapa seguinte, o propósito era avaliar a segurança das novas funcionalidades implementadas pelo desenvolvedor do VeraCrypt.

Relativamente às vulnerabilidades do TrueCrypt que foram tidas em conta, todas estas tinham sido corrigidas de forma correcta no VeraCrypt, com a excepção de uma “correcção de baixa importância que estava em falta para uma delas”. Entre as vulnerabilidades corrigidas, a Quarkslab destaca a vulnerabilidade de escalagem de privilégios identificada por James Forshaw.

No entanto, tanto vulnerabilidades que requerem “alterações substanciais do código ou da arquitectura do projecto” como vulnerabilidades que “conduzem a incompatibilidades com o TrueCrypt, como as que estão relacionadas com mecanismos criptográficos”, não foram corrigidas.

Das vulnerabilidades identificadas nas novas funcionalidades implementadas pelo desenvolvedor do VeraCrypt, a Quarkslab destacou três, que deveriam ser corrigidas rapidamente:

  • Algoritmo GOST 28147-89 não deveria ser utilizado
  • Bibliotecas de compressão encontravam-se desactualizadas ou mal escritas, devendo ser actualizadas ou substituídas
  • Se o sistema estivesse encriptado, a palavra-passe de boot (no modo UEFI) ou o seu tamanho (no modo Legado) poderia ser extraída por um atacante

 

Os resultados da auditoria, antes de serem divulgados publicamente, foram entregues aos desenvolvedores do VeraCrypt para que estes corrigissem as vulnerabilidades mais graves. A versão 1.19 do VeraCrypt contém correcções para a maior parte destas vulnerabilidades. Para se proteger contra as vulnerabilidades que não foram corrigidas devido à elevada complexidade das suas correcções, poderá consultar soluções alternativas na documentação do VeraCrypt.

A Quarkslab concluiu que o VeraCrypt é um projecto que está a “evoluir numa boa direcção”, reconhecendo que os seus desenvolvedores tiveram claramente em conta os resultados da auditoria. “A sua segurança está a melhorar, o que é uma coisa boa para as pessoas que querem utilizar software de encriptação de discos”, escreveram os autores da auditoria, Jean-Baptiste Bédrune e Marion Videau, no blog da empresa.

Em suma, o VeraCrypt é mais seguro do que o TrueCrypt, na medida em tem as suas vulnerabilidades mais graves corrigidas.

Clique aqui para fazer o download da versão 1.19 do VeraCrypt. Deixamos-lhe também as informações necessárias para poder verificar a integridade do ficheiro, através do método da assinatura digital ou do método do checksum:

Assinatura digital

Chave pública dos desenvolvedores do VeraCrypt: Clique aqui

Assinatura digital da versão 1.19 do VeraCrypt: Clique aqui

Checksum

SHA256: 79a2112bfddd34fc8fb7117c28a90e4cbeceb182daf57347f574864da5c943b0

SHA512: d01524943d1c8d578173cead697dd690c70a2ddf3b712ed4d40ebae84a746859fb53205580c33637bbf3de7b40aaa644a619e46f41be34ac2261f0e7c169fe3c