È passato più di un anno e mezzo da quando gli sviluppatori di VeraCrypt hanno rilasciato l’ultima versione del celeberrimo software in grado di creare volumi crittografati e proteggere il contenuto di partizioni e intere unità, comprese quelle di sistema (che accolgono l’installazione del sistema operativo).
A inizio ottobre 2023 VeraCrypt si presenta in una veste ampiamente rinnovata: l’applicazione si allontana in via definitiva da TrueCrypt, programma di cui è di fatto un fork, un progetto derivato.
La decisione di interrompere lo sviluppo del predecessore di VeraCrypt, TrueCrypt, fu per molti inaspettata e ancora oggi è avvolta da un alone di mistero (risale a maggio 2014). Il software open source aveva guadagnato una grande popolarità per la sua robustezza e affidabilità. Alcuni ritengono che gli sviluppatori abbiano ricevuto pressioni legali o governative per chiudere il progetto, che vi fossero vulnerabilità irrisolvibili rapidamente o che il software fosse in qualche modo insicuro.
Fatto sta che dalle ceneri di TrueCrypt è sorto proprio VeraCrypt che ElcomSoft, dopo un’attenta analisi, ha giudicato come uno dei software crittografici più sicuri ad oggi pubblicamente disponibili.
Da oggi si può dire che VeraCrypt prosegue completamente sui propri binari non consentendo più l’apertura dei volumi crittografati con il vecchio TrueCrypt.
Le principali novità di VeraCrypt
Posto che l’elenco completo delle correzioni e delle nuove funzionalità introdotte in VeraCrypt 1.26.7 è consultabile nel changelog ufficiale, vogliamo soffermarci sui cambiamenti più degni di nota.
VeraCrypt resta compatibile con i sistemi Windows, macOS e Linux: c’è anche la versione per la piattaforma ARM utilizzabile, ad esempio, sui single-board computer Raspberry Pi. Lo sviluppatore, tuttavia, informa che d’ora in avanti VeraCrypt è da intendersi come progettato per funzionare solo su Windows 10 e Windows 11. Sebbene l’applicazione possa essere eventualmente utilizzata anche con le precedenti versioni del sistema operativo Microsoft, non ci sono più garanzie circa il suo corretto funzionamento.
Supporto per le carte EMV come token di sicurezza
Tra le aggiunte più di rilievo c’è il supporto per le smart card bancarie EMV, che gli utenti possono d’ora in poi utilizzare come keyfile per volumi non di sistema. EMV, acronimo di Europay, MasterCard e Visa, corrisponde a uno standard di sicurezza e a una tecnologia per le carte di pagamento con chip integrato. L’implementazione in VeraCrypt supporta tutte le carte bancarie conformi con lo standard EMV. Il sistema non richiede l’inserimento del PIN della carta o una configurazione separata del modulo PKCS#11. Il keyfile sicuro utilizzato per proteggere i dati di VeraCrypt è generato dalle informazioni univoche codificate nella carta bancaria.
Gli utenti di VeraCrypt che hanno aggiornato il loro software all’ultima versione possono abilitare la funzione portandosi su Parametri, Preferenze, Altre Impostazioni, Token di sicurezza, Enable EMV Support. È ovviamente richiesto un lettore di smart card compatibile per utilizzare la nuova funzionalità di sicurezza.
Algoritmo BLAKE2s per la cifratura dei volumi
BLAKE2 è un algoritmo di hashing crittografico progettato per essere più veloce e sicuro di altri algoritmi esistenti, come SHA-1 e SHA-3. È progettato per essere estremamente veloce, sia nell’implementazione hardware che software, e ovviamente è considerato molto affidabile.
L’algoritmo può essere utilizzato in diverse modalità: ad esempio, oltre alla funzione di hash standard, può essere usato come una funzione di hash a lunghezza estensibile (XOF) per generare output di lunghezza variabile.
VeraCrypt abbraccia da oggi BLAZE2s che è una delle varianti di BLAKE2: è ottimizzata per le piattaforme a 32 bit rendendosi quindi adatta ai dispositivi embedded e ai sistemi che dispongono di un insieme di risorse limitato.
Protezione della memoria
ElcomSoft diceva a suo tempo che l’estrazione e l’utilizzo delle chiavi On-the-fly encryption (OTFE) rimaneva uno dei pochi metodi utilizzabili per forzare l’accesso ai dati protetti con VeraCrypt. Ciononostante, un eventuale attacco era, in passato, già piuttosto limitato: l’aggressore avrebbe dovuto disporre fisicamente del dispositivo protetto con VeraCrypt al fine di esaminare il contenuto della memoria RAM.
Su Windows, VeryCrypt abilita ora la protezione della memoria per impostazione predefinita, con una serie di vantaggi concreti in termini di sicurezza. In generale, tutti i processi non amministrativi non sono in grado di leggere il contenuto della memoria occupata da VeraCrypt ed estrarre eventualmente informazioni riservate.
L’autore di VeraCrypt spiega che le applicazioni di accessibilità che si occupano di leggere ad alta voce il contenuto dello schermo potrebbero non funzionare più. In questo caso è possibile disattivare la protezione della memoria accedendo al menu Parametri, Preferenze, Altre Impostazioni, Prestazioni/Configurazione del driver quindi spuntando la casella Disable memory protection for Accessibility tools compatibility.
VeraCrypt, inoltre, poggia su di una nuova politica che evita l’iniezione di codice all’interno dei suoi processi da parte di altri programmi contemporaneamente in esecuzione sulla macchina.
Prima di installare la nuova versione di VeraCrypt, suggeriamo di rimuovere qualunque precedente versione eventualmente sul sistema in uso. In un altro articolo ci siamo focalizzati sulle differenze tra VeraCrypt e BitLocker: quest’ultima è la soluzione per la cifratura dei dati che Microsoft propone di default agli utenti di Windows. È anche in grado di proteggere l’unità in cui è installato Windows, esattamente come fa VeraCrypt.
Credit immagine in apertura: iStock.com/BlackJack3D