加密软件TrueCrypt停止开发之后，VeraCrypt就一跃成为最受欢迎的开源磁盘加密软件，尤其受到政治活动家、记者和隐私保密人员的欢迎。

　　关于VeraCrypt

VeraCrypt 是TrueCrypt的分支，于2013年6月发布，法国安全顾问MounirIdrassi是项目的主要开发者。VeraCryp下载地址：https://veracrypt.codeplex.com/

由于VeraCrypt的大受欢迎，OSTIF（开源技术改进基金）的安全研究员在本月初（2016年8月）宣布将独立审查VeraCrypt。

八月初，OSTIC宣布利用DuckDuckGo（互联网搜索引擎）和VikingVPN提供的资金，雇佣来自QuarksLab的漏洞研究人员负责此次审查，旨在从VeraCrypt代码中寻找 0 day 漏洞和其他安全漏洞。

PGP加密通信被拦截

现在，出现了令人困扰的大问题：随着安全审计的进行，8月13日，OSTIF在其博客中证实，怀疑存在第三方截取了OSTIF，VeraCrypt 团队以及QuarksLab之间的邮件。随后，于今日，OSTIF宣布其关于VeraCrypt的安全审查出了意外，QuarkLab的PGP加密通信协议被秘密拦截了。

OSTIF 发言人表示：

“基于众多独立送信者的反馈，目前我们共有4封邮件消失无踪。不仅没收到邮件，在原本的已发送文件夹里也毫无痕迹。在OSTIF的研究中，这些消失无踪的邮件出现在Gmail的谷歌应用程序的版本中。”

VeraCrypt安全审查的信息保密级别可谓相当高，OSTIF要求QuarksLab研究团队使用重重加密的通讯方式，将一切关于审查的结果直接发送给VeraCrypt的主要人员。

这一严格的要求在项目开始之初就已被提出，以防0day漏洞落入不法之徒手中。因为一个VeraCrypt零日漏洞不仅对于国家是非常有价值的，对于零日漏洞市场亦如是。如果VeraCrypt零日漏洞流入黑市，任何一个网络安全监控厂商就可以从中获取任何他们感兴趣的信息。

安全审计小组的研究人员希望，在向VeraCrypt开发者上报发现的所有漏洞并进行修补之后，能在九月中旬对外公布他们的调查成果。在此之前，所有VeraCrypt审查项目的参与者都被要求保密。

然而4封PGP加密的电子邮件突然消失，每一封都由参与此项目的人员发送。而此次事件也引起大家对保密信息泄露的担忧，包括VeraCrypt中发现的漏洞。

OSTIF怀疑一些外部人员意图窃听或干扰VeraCrypt安全审查过程。OSTIF总结道：

“如果国家对于我们在做的事情感兴趣，我们一定在做一些正确的事。”

现在，OSTIF已经使用另一种替代（未公布）的加密通讯频道，进一步推进VeraCrypt审查项目。