Релиз VeraCrypt 1.24, форка TrueCrypt

После года разработки опубликован релиз проекта VeraCrypt 1.24, развивающего форк системы шифрования дисковых разделов TrueCrypt, прекратившей своё существование. VeraCrypt примечателен заменой используемого в TrueCrypt алгоритма RIPEMD-160 на SHA-512 и SHA-256, увеличением числа итераций хэширования, упрощением процесса сборки для Linux и macOS, устранением проблем, выявленных в процессе аудита исходных текстов TrueCrypt. При этом, VeraCrypt предоставляет режим совместимости с разделами TrueCrypt и содержит средства для преобразования TrueCrypt-разделов в формат VeraCrypt. Разработанный проектом VeraCrypt код распространяется под лицензией Apache 2.0, а заимствования из TrueCrypt продолжают поставляться под лицензией TrueCrypt License 3.0.

В новом выпуске:

  • Для не системных разделов максимальная длина паролей увеличена до 128 символов в кодировке UTF-8. Для обеспечения совместимости со старыми системами добавлена опция для ограничения максимального размера пароля 64 символами;
  • В качестве альтернативы инструкции CPU RDRAND добавлена поддержка библиотеки Jitterentropy, использующей для аппаратной генерации псевдослучайных чисел джиттер (jitter), основанный на учёте отклонения времени повторного исполнения определённого набора инструкций на CPU (CPU execution time jitter), которое зависит от множества внутренних факторов и непредсказуемо без физического контроля над CPU;
  • Проведена оптимизация производительности режима XTS на 64-разрядных системах с поддержкой инструкций SSE2. Оптимизации в среднем позволили поднять производительность на 10%;
  • Добавлен код для определения наличия в CPU поддержки инструкций RDRAND/RDSEED и процессоров Hygon. Решены проблемы с определением поддержки AVX2/BMI2;
  • Для Linux в CLI добавлена опция «—import-token-keyfiles», совместимая с неинтерактивным режимом;
  • Для Linux и macOS добавлена проверка наличия свободного места в ФС для размещения создаваемого файлового контейнера. Для отключения проверки предусмотрен флаг «—no-size-check»;
  • Для Windows реализован режим хранения ключей и паролей в памяти в зашифрованном виде, используя шифр ChaCha12, хэш t1ha и CSPRNG на основе ChaCha20. По умолчанию данный режим отключён, так как приводит к увеличению накладных расходов приблизительно на 10% и не позволяет переводить систему в спящий режим. Для Windows также добавлена защита от некоторых атак по извлечению данных из памяти, основанная на реализованном в KeePassXC методе ограничения доступа к памяти пользователей, не имеющих полномочий администратора. Добавлена очистка ключей перед завершением работы, перед перезагрузкой или (опционально) при подключении нового устройства. Внесены улучшения в загрузчик UEFI. Добавлена поддержка использования инструкций CPU RDRAND и RDSEED как дополнительного источника энтропии. Добавлен режим монтирования без присвоения разделу буквы.

Источник: opennet.ru