加密軟件TrueCrypt停止開發(fā)之后，VeraCrypt就一躍成為最受歡迎的開源磁盤加密軟件，尤其受到政治活動(dòng)家、記者和隱私保密人員的歡迎。

　　關(guān)于VeraCrypt

VeraCrypt 是TrueCrypt的分支，于2013年6月發(fā)布，法國安全顧問MounirIdrassi是項(xiàng)目的主要開發(fā)者。VeraCryp下載地址：https://veracrypt.codeplex.com/

由于VeraCrypt的大受歡迎，OSTIF（開源技術(shù)改進(jìn)基金）的安全研究員在本月初（2016年8月）宣布將獨(dú)立審查VeraCrypt。

八月初，OSTIC宣布利用DuckDuckGo（互聯(lián)網(wǎng)搜索引擎）和VikingVPN提供的資金，雇傭來自QuarksLab的漏洞研究人員負(fù)責(zé)此次審查，旨在從VeraCrypt代碼中尋找 0 day 漏洞和其他安全漏洞。

PGP加密通信被攔截

現(xiàn)在，出現(xiàn)了令人困擾的大問題：隨著安全審計(jì)的進(jìn)行，8月13日，OSTIF在其博客中證實(shí)，懷疑存在第三方截取了OSTIF，VeraCrypt 團(tuán)隊(duì)以及QuarksLab之間的郵件。隨后，于今日，OSTIF宣布其關(guān)于VeraCrypt的安全審查出了意外，QuarkLab的PGP加密通信協(xié)議被秘密攔截了。

OSTIF 發(fā)言人表示：

“基于眾多獨(dú)立送信者的反饋，目前我們共有4封郵件消失無蹤。不僅沒收到郵件，在原本的已發(fā)送文件夾里也毫無痕跡。在OSTIF的研究中，這些消失無蹤的郵件出現(xiàn)在Gmail的谷歌應(yīng)用程序的版本中。”

VeraCrypt安全審查的信息保密級別可謂相當(dāng)高，OSTIF要求QuarksLab研究團(tuán)隊(duì)使用重重加密的通訊方式，將一切關(guān)于審查的結(jié)果直接發(fā)送給VeraCrypt的主要人員。

這一嚴(yán)格的要求在項(xiàng)目開始之初就已被提出，以防0day漏洞落入不法之徒手中。因?yàn)橐粋€(gè)VeraCrypt零日漏洞不僅對于國家是非常有價(jià)值的，對于零日漏洞市場亦如是。如果VeraCrypt零日漏洞流入黑市，任何一個(gè)網(wǎng)絡(luò)安全監(jiān)控廠商就可以從中獲取任何他們感興趣的信息。

安全審計(jì)小組的研究人員希望，在向VeraCrypt開發(fā)者上報(bào)發(fā)現(xiàn)的所有漏洞并進(jìn)行修補(bǔ)之后，能在九月中旬對外公布他們的調(diào)查成果。在此之前，所有VeraCrypt審查項(xiàng)目的參與者都被要求保密。

然而4封PGP加密的電子郵件突然消失，每一封都由參與此項(xiàng)目的人員發(fā)送。而此次事件也引起大家對保密信息泄露的擔(dān)憂，包括VeraCrypt中發(fā)現(xiàn)的漏洞。

OSTIF懷疑一些外部人員意圖竊聽或干擾VeraCrypt安全審查過程。OSTIF總結(jié)道：

“如果國家對于我們在做的事情感興趣，我們一定在做一些正確的事。”

現(xiàn)在，OSTIF已經(jīng)使用另一種替代（未公布）的加密通訊頻道，進(jìn)一步推進(jìn)VeraCrypt審查項(xiàng)目。