VeraCrypt es una utilidad de software gratuito disponible en origen que se utiliza para el cifrado sobre la marcha (OTFE). [5] Puede crear un disco virtual encriptado dentro de un archivo o encriptar una partición [6] o (en Windows ) todo el dispositivo de almacenamiento con autenticación previa al arranque . [7]
Desarrollador (es) | IDRIX (con sede en París , Francia) [1] |
---|---|
Versión inicial | 22 de junio de 2013 |
Lanzamiento estable | 1.24-Update7 (7 de agosto de 2020 [2] ) [±] |
Repositorio | |
Escrito en | C , C ++ , ensamblado |
Sistema operativo |
|
Plataforma | IA-32 y x64 |
Disponible en | 37 idiomas [3] |
Tipo | Software de encriptación de disco |
Licencia |
|
Sitio web | www |
VeraCrypt es una bifurcación del proyecto TrueCrypt descontinuado . [8] Se publicó inicialmente el 22 de junio de 2013. Se han implementado muchas mejoras de seguridad y se han solucionado los problemas planteados por las auditorías de código TrueCrypt . VeraCrypt incluye implementaciones optimizadas de funciones de hash criptográficas y cifrados que aumentan el rendimiento en las CPU modernas .
Modelo de licencia y fuente
VeraCrypt heredó una cantidad sustancial de código de su predecesor TrueCrypt y también heredó la licencia TrueCrypt disponible en origen para esos archivos. Esta licencia no es una de las muchas licencias de código abierto ampliamente utilizadas y no es una licencia de software libre según la lista de licencias de la Free Software Foundation (FSF), ya que contiene restricciones de distribución y responsabilidad de derechos de autor. [9]
Las nuevas partes de VeraCrypt tienen licencia de Apache License 2.0 desde la versión 1.19. [4]
Esquema de cifrado
Algoritmos
Los cifrados individuales compatibles con VeraCrypt son AES , Serpent , Twofish , Camellia y Kuznyechik . El cifrado Magma se eliminó en la versión 1.19 en respuesta a una auditoría de seguridad. [10] Además, se encuentran disponibles diez combinaciones diferentes de algoritmos en cascada : AES-Twofish, AES-Twofish-Serpent, Camellia-Kuznyechik, Camellia-Serpent, Kuznyechik-AES, Kuznyechik-Serpent-Camellia, Kuznyechik-Twofish, Serpent-AES, Serpiente-Dos peces-AES y Dos peces-Serpiente. [11] Las funciones hash criptográficas disponibles para su uso en VeraCrypt son RIPEMD-160 , SHA-256 , SHA-512 , Streebog y Whirlpool . [12]
Modos de operacion
VeraCrypt usa el modo de operación XTS . [13]
Llaves
La clave de cabecera y la clave de cabecera secundaria (modo XTS) se generan utilizando PBKDF2 con un 512- bit sal y 200.000 a 655.331 iteraciones utilizado por defecto (que puede ser personalizado por el usuario para comenzar tan bajo como 2048), dependiendo del hash subyacente función utilizada. [14]
Negación plausible
Al igual que con su predecesor TrueCrypt , VeraCrypt admite la negación plausible [15] al permitir que se cree un único "volumen oculto" dentro de otro volumen. [16] Además, las versiones para Windows de VeraCrypt tienen la capacidad de crear y ejecutar un sistema operativo encriptado oculto cuya existencia puede ser negada . [17]
La documentación de VeraCrypt enumera muchas formas en las que las funciones ocultas de negación de volumen de VeraCrypt pueden verse comprometidas (por ejemplo, por software de terceros que puede filtrar información a través de archivos temporales, miniaturas, etc., a discos no cifrados) y posibles formas de evitar esto. [18]
Actuación
VeraCrypt soporta encriptación paralelizada [19] : 63 para sistemas multinúcleo y, bajo Microsoft Windows, operaciones de lectura y escritura canalizadas (una forma de procesamiento asincrónico) [19] : 63 para reducir el impacto en el rendimiento de la encriptación y desencriptación. En los procesadores que admiten el conjunto de instrucciones AES-NI , VeraCrypt admite AES acelerado por hardware para mejorar aún más el rendimiento. [19] : 64 En CPU de 64 bits, VeraCrypt utiliza una implementación de ensamblaje optimizada de Twofish y Camellia. [20]
Mejoras de seguridad
- El equipo de desarrollo de VeraCrypt consideró que el formato de almacenamiento TrueCrypt era demasiado vulnerable a un ataque de la Agencia de Seguridad Nacional (NSA), por lo que creó un nuevo formato incompatible con el de TrueCrypt. Esta es una de las principales diferencias entre VeraCrypt y su competidor CipherShed , que continúa usando el formato TrueCrypt. VeraCrypt todavía es capaz de abrir y convertir volúmenes en formato TrueCrypt. [20] [21]
- Una auditoría de seguridad independiente de TrueCrypt publicada el 29 de septiembre de 2015 encontró que TrueCrypt incluye dos vulnerabilidades en el controlador de instalación de Windows que permiten a un atacante la ejecución de código arbitrario y la escalada de privilegios a través del secuestro de DLL . [22] Esto se corrigió en VeraCrypt en enero de 2016. [23]
- Mientras TrueCrypt utiliza 1.000 iteraciones del PBKDF2 - RIPEMD160 algoritmo para particiones del sistema, veracrypt utiliza cualquiera de 200,000 o 327,661 iteraciones por defecto (que es adaptable por el usuario para ser tan bajo como 2.048), dependiendo del algoritmo utilizado. [14] Para contenedores estándar y otras particiones, VeraCrypt usa 655,331 iteraciones de RIPEMD160 y 500,000 iteraciones de SHA-2 y Whirlpool por defecto (que el usuario puede personalizar para que sea tan bajo como 16,000). [14] Si bien estas configuraciones predeterminadas hacen que VeraCrypt sea más lento para abrir particiones cifradas, también hace que los ataques de adivinación de contraseñas sean más lentos. [24]
- Además, desde la versión 1.12, una nueva función llamada "Multiplicador de iteraciones personales" (PIM) proporciona un parámetro cuyo valor se utiliza para controlar el número de iteraciones utilizadas por la función de derivación de claves de encabezado, lo que hace que los ataques de fuerza bruta sean potencialmente aún más difíciles. Veracrypt listo para usar usa un valor PIM razonable para mejorar la seguridad, [25] pero los usuarios pueden proporcionar un valor más alto para mejorar la seguridad. La principal desventaja de esta función es que hace que el proceso de apertura de archivos cifrados sea aún más lento. [25] [26] [27] [28]
- Se solucionó una vulnerabilidad en el cargador de arranque en Windows y también se realizaron varias optimizaciones. Los desarrolladores agregaron soporte para SHA-256 a la opción de cifrado de arranque del sistema y también solucionaron un problema de seguridad ShellExecute. Los usuarios de Linux y macOS se benefician de la compatibilidad con discos duros con tamaños de sector superiores a 512. Linux también recibió soporte para el formateo NTFS de volúmenes.
- Las contraseñas Unicode son compatibles con todos los sistemas operativos desde la versión 1.17 (excepto para el cifrado del sistema en Windows). [20]
- VeraCrypt agregó la capacidad de iniciar particiones del sistema usando UEFI en la versión 1.18a. [20]
- En la versión 1.22 se agregó la opción para habilitar / deshabilitar la compatibilidad con el comando TRIM para unidades del sistema y que no son del sistema. [20]
- Borrar las claves de cifrado del sistema de la RAM durante el apagado / reinicio ayuda a mitigar algunos ataques de arranque en frío , agregados en la versión 1.24. [20]
- El cifrado de RAM para claves y contraseñas en sistemas de 64 bits se agregó en la versión 1.24. [20]
Auditoría VeraCrypt
QuarksLab realizó una auditoría de la versión 1.18 en nombre del Fondo para la mejora de la tecnología de código abierto (OSTIF), que tomó 32 días-hombre y se publicó el 17 de octubre de 2016. [20] [29] [30] Las principales vulnerabilidades identificadas en esta auditoría se resolvió en la versión 1.19, lanzada el mismo día. [31]
Precauciones de seguridad
Existen varios tipos de ataques a los que todo cifrado de disco basado en software es vulnerable. Al igual que con TrueCrypt, la documentación de VeraCrypt instruye a los usuarios a seguir varias precauciones de seguridad para mitigar estos ataques, [18] [32] varias de las cuales se detallan a continuación.
Claves de cifrado almacenadas en la memoria
VeraCrypt almacena sus claves en RAM ; en algunas computadoras personales, la DRAM mantendrá su contenido durante varios segundos después de que se corte la energía (o más si se baja la temperatura). Incluso si hay alguna degradación en el contenido de la memoria, varios algoritmos pueden recuperar las claves. Este método, conocido como ataque de arranque en frío (que se aplicaría en particular a una computadora portátil obtenida mientras estaba en modo de encendido, suspendido o con pantalla bloqueada), se usó con éxito para atacar un sistema de archivos protegido por las versiones 4.3ay de TrueCrypt . 5.0a en 2008. [33] Con la versión 1.24, VeraCrypt agregó la opción de cifrar las claves y contraseñas en RAM en sistemas Windows de 64 bits , con una sobrecarga de CPU de menos del 10%, y la opción de borrar todas las claves de cifrado. de la memoria cuando se conecta un nuevo dispositivo. [20]
Seguridad física
La documentación de VeraCrypt establece que VeraCrypt no puede proteger los datos en una computadora si un atacante accedió físicamente a ella y luego VeraCrypt se usa nuevamente en la computadora comprometida por el usuario. Esto no afecta el caso común de una computadora robada, perdida o confiscada. [34] El atacante que tenga acceso físico a una computadora puede, por ejemplo, instalar un registrador de teclas de hardware o software , un dispositivo de control de bus que captura memoria o instalar cualquier otro hardware o software malicioso , lo que permite al atacante capturar datos no cifrados (incluido el cifrado claves y contraseñas) o para descifrar datos cifrados utilizando contraseñas capturadas o claves de cifrado. Por tanto, la seguridad física es una premisa básica de un sistema seguro. Ataques como este a menudo se denominan " ataques de sirvientas malvadas ". [35]
Software malicioso
Algunos tipos de malware están diseñados para registrar las pulsaciones de teclas , incluidas las contraseñas escritas, que luego pueden enviarse al atacante a través de Internet o guardarse en una unidad local no cifrada desde la que el atacante podría leerlo más tarde, cuando obtenga acceso físico a la computadora. [36]
Modulo de plataforma confiable
La sección de preguntas frecuentes del sitio web veracrypt [37] establece que el Trusted Platform Module (TPM) no se puede confiar en la seguridad, ya que si el atacante tiene acceso físico o administrativa a un ordenador y se utiliza después, el equipo puede haber sido modificado por parte del atacante: por ejemplo, un componente malintencionado, como un registrador de pulsaciones de teclas de hardware, podría haberse utilizado para capturar la contraseña u otra información confidencial. Dado que el TPM no evita que un atacante modifique maliciosamente la computadora, VeraCrypt no admite ni admitirá TPM.
Ver también
- Software de encriptación de disco
- Comparación de software de cifrado de disco
Referencias
- ^ "Contáctenos - IDRIX" . Consultado el 16 de noviembre de 2016 .
- ^ "Notas de la versión" . 7 de agosto de 2020 . Consultado el 9 de agosto de 2020 .
- ^ "Paquete VeraCrypt 1.0f (Todos los archivos y sus firmas)" . IDRIX . Consultado el 4 de enero de 2015 .
- ^ a b "root / License.txt" . VeraCrypt . Fundación TrueCrypt. 17 de octubre de 2016 . Consultado el 23 de julio de 2018 .
- ^ "Sitio oficial de VeraCrypt"
- ^ "Volumen de VeraCrypt" . Sitio web oficial de VeraCrypt . Consultado el 16 de febrero de 2015 .
- ^ "Sistemas operativos compatibles con el cifrado del sistema" . Sitio web oficial de VeraCrypt . Consultado el 16 de febrero de 2015 .
- ^ Rubens, Paul (13 de octubre de 2014). "VeraCrypt una alternativa digna de TrueCrypt" . eSecurity Planet . Quinstreet Enterprise. Archivado desde el original el 3 de diciembre de 2018 . Consultado el 16 de febrero de 2015 .
- ^ Phipps, Simon (15/11/2013), "¿TrueCrypt o falso? El proyecto de código abierto debe limpiar su acto" , InfoWorld , archivado desde el original el 22 de marzo de 2019 , consultado el 20 de mayo de 2014
- ^ Pauli, Darren (18 de octubre de 2016). "Auditoría ve VeraCrypt matar la recuperación de contraseñas críticas, fallas de cifrado" . El registro . Archivado desde el original el 15 de noviembre de 2018.
- ^ "Algoritmos de cifrado" . Documentación de VeraCrypt . IDRIX . Consultado el 31 de marzo de 2018 .
- ^ "Algoritmos hash" . Documentación de VeraCrypt . IDRIX . Consultado el 31 de marzo de 2018 .
- ^ "Modos de funcionamiento" . Documentación de VeraCrypt . IDRIX . Consultado el 31 de marzo de 2018 .
- ^ a b c "Recuento de iteraciones, sal y derivación de claves de encabezado" . Documentación de VeraCrypt . IDRIX . Consultado el 19 de febrero de 2019 .
- ^ "Negabilidad plausible" . Documentación de VeraCrypt . IDRIX . Consultado el 31 de marzo de 2018 .
- ^ "Volumen oculto" . Documentación de VeraCrypt . IDRIX . Consultado el 31 de marzo de 2018 .
- ^ a b "Requisitos de seguridad y precauciones relativas a volúmenes ocultos" . Documentación de VeraCrypt . IDRIX . Consultado el 31 de marzo de 2018 .
- ^ a b c "Guía del usuario de VeraCrypt" (1.0f ed.). IDRIX. 2015-01-04.
- ^ a b c d e f g h i "Notas de la versión de VeraCrypt"
- ^ Castle, Alex (marzo de 2015). "¿Dónde estamos con TrueCrypt?". PC máximo . p. 59.
- ^ Constantin, Lucian (29 de septiembre de 2015). "La falla de TrueCrypt recientemente descubierta permite comprometer el sistema por completo" . PCWorld . Archivado desde el original el 19 de abril de 2019.
- ^ CVE-2016-1281: Los instaladores de Windows TrueCrypt y VeraCrypt permiten la ejecución de código arbitrario con elevación de privilegios
- ^ Rubens, Paul (30 de junio de 2016). "VeraCrypt una digna alternativa a TrueCrypt" . eSecurity Planet . Archivado desde el original el 3 de diciembre de 2018.
- ^ a b "PIM" . veracrypt.fr . Consultado el 7 de junio de 2017 .
- ^ Khandelwal, Swati (11 de agosto de 2015). "El software de cifrado VeraCrypt 1.12 agrega una nueva función PIM para aumentar la seguridad de la contraseña" . The Hacker News . Archivado desde el original el 10 de abril de 2019 . Consultado el 5 de junio de 2017 .
- ^ Brinkmann, Martin (7 de agosto de 2015). "La alternativa de TrueCrypt VeraCrypt 1.12 se envía con una característica PIM interesante" . Ghacks . Archivado desde el original el 10 de abril de 2019 . Consultado el 5 de junio de 2017 .
- ^ "Transcripción del episodio # 582" . GRC.com . Consultado el 5 de junio de 2017 .
- ^ "Los resultados de la auditoría de VeraCrypt" . OSTIF. 17 de octubre de 2016. Archivado desde el original el 12 de mayo de 2019 . Consultado el 18 de octubre de 2016 .
- ^ QuarksLab (17 de octubre de 2016). Evaluación de seguridad de VeraCrypt 1.18 (PDF) (Informe). OSTIF. Archivado (PDF) desde el original el 7 de agosto de 2018 . Consultado el 18 de octubre de 2016 .
- ^ Bédrune, Jean-Baptiste; Videau, Marion (17 de octubre de 2016). "Evaluación de seguridad de VeraCrypt: correcciones y evoluciones de TrueCrypt" . QuarksLab. Archivado desde el original el 7 de mayo de 2019 . Consultado el 18 de octubre de 2016 .
- ^ "Requisitos y precauciones de seguridad" . Documentación de VeraCrypt . IDRIX . Consultado el 16 de febrero de 2015 .
- ^ Halderman, J. Alex ; et al. (Julio de 2008). Para que no recordemos: ataques de arranque en frío sobre claves de cifrado (PDF) . 17º Simposio de Seguridad de USENIX. Archivado (PDF) desde el original el 12 de mayo de 2019.
- ^ "Seguridad física" . Documentación de VeraCrypt . IDRIX. 2015-01-04 . Consultado el 4 de enero de 2015 .
- ^ Schneier, Bruce (23 de octubre de 2009). " Ataques de " Evil Maid "en discos duros cifrados" . Schneier sobre seguridad . Archivado desde el original el 25 de mayo de 2014 . Consultado el 24 de mayo de 2014 .
- ^ "Malware" . Documentación de VeraCrypt . IDRIX. 2015-01-04 . Consultado el 4 de enero de 2015 .
- ^ "Preguntas frecuentes:" Algunos programas de cifrado utilizan TPM para prevenir ataques. ¿VeraCrypt también lo usará? " " . Consultado el 5 de mayo de 2018 .
enlaces externos
- Página web oficial
- Evaluación de seguridad VeraCrypt 1.18