Suchen

Code-Überprüfung von TrueCrypt-Nachfolger VeraCrypt-Audit findet kritische Schwachstellen

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Die Verschlüsselungssoftware VeraCrypt wurde einem Code-Audit unterzogen. Die Experten haben in der TrueCrypt-Alternative einige kritische Schwachstellen gefunden, vor allem im Bootloader, der Verschlüsselungsbibliothek und einem veralteten Algorithmus. Nutzer sollten die Verschlüsselungssoftware sofort updaten.

Firmen zum Thema

VeraCrypt ist eine der beliebtesten Lösungen zur Verschlüsselung von Daten.
VeraCrypt ist eine der beliebtesten Lösungen zur Verschlüsselung von Daten.
(Bild: MarkusSpiske - Pixabay / CC0 )

Nach dem überraschenden Ende von TrueCrypt hat sich vor allem VeraCrypt als Alternative durchgesetzt. Das liegt nicht nur an der verständlichen Oberfläche, sondern auch daran, dass die Software bestehende TrueCrypt-Container öffnen kann. Um die allgemeine Sicherheit von VeraCrypt zu beurteilen fehlte aber bislang ein unabhängiges Audit des Programmcodes. 2016 hat das Quarkslab zusammen mit der Initiative Ostif ein Audit gestartet und nun ist endlich das Ergebnis da. Getestet wurde die Version 1.18 inklusive des damals verwendeten Bootloaders.

8 kritische, 3 mittlere, 15 niedrige Sicherheitslücken

Das Audit hat eine ganze Reihe von Problemen gefunden, acht davon wurden als Kritisch eingestuft. Die Implementierung der GOST 28147-89-Verschlüsselung wurde als komplett unsicher eingestuft, das gleiche gilt für die Bibliotheken, die XZIP und XUnzip bereitstellen. Dazu kommen eine ganze Reihe an Problemen, die durch den verwendeten Bootloader verursacht wurden. Dieser löscht beispielsweise Eingaben und sensitive Informationen nicht zuverlässig.

Laut dem Bericht wurden ein Großteil der Schwachstellen behoben, wenn auch nicht alle. Das liegt teilweise daran, dass die Änderungen einen tiefgehenden Eingriff in das Projekt verlangen, andere Funktionen hängen direkt mit der Möglichkeit zusammen, TrueCrypt-Container zu öffnen. Das komplette Audit umfasst 35 Seiten und kann als PDF kostenlos heruntergeladen werden.

Fazit: Updaten, jetzt!

Wer nur diesen Satz liest: VeraCrypt-Anwender sollten schnellstmöglich auf die Version 1.19 aktualisieren! Die gefundenen Schwachstellen sind teilweise so weitreichend, dass sie den Schutz der Nutzer kompromittieren können. In der aktuellen Version von VeraCrypt wurde ein Großteil – wenn auch nicht alles- bereinigt, vor allem die kritischen Sicherheitslücken wurden geschlossen. Das Changelog zeigt zudem weitere Verbesserungen, vor allem die Windows-Version wurde kräftig überarbeitet.

(ID:44329432)

Über den Autor

 Moritz Jäger

Moritz Jäger

IT Journalist