Code-Überprüfung von TrueCrypt-Nachfolger

VeraCrypt-Audit findet kritische Schwachstellen

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

VeraCrypt ist eine der beliebtesten Lösungen zur Verschlüsselung von Daten.
VeraCrypt ist eine der beliebtesten Lösungen zur Verschlüsselung von Daten. (Bild: MarkusSpiske - Pixabay / CC0)

Die Verschlüsselungssoftware VeraCrypt wurde einem Code-Audit unterzogen. Die Experten haben in der TrueCrypt-Alternative einige kritische Schwachstellen gefunden, vor allem im Bootloader, der Verschlüsselungsbibliothek und einem veralteten Algorithmus. Nutzer sollten die Verschlüsselungssoftware sofort updaten.

Nach dem überraschenden Ende von TrueCrypt hat sich vor allem VeraCrypt als Alternative durchgesetzt. Das liegt nicht nur an der verständlichen Oberfläche, sondern auch daran, dass die Software bestehende TrueCrypt-Container öffnen kann. Um die allgemeine Sicherheit von VeraCrypt zu beurteilen fehlte aber bislang ein unabhängiges Audit des Programmcodes. 2016 hat das Quarkslab zusammen mit der Initiative Ostif ein Audit gestartet und nun ist endlich das Ergebnis da. Getestet wurde die Version 1.18 inklusive des damals verwendeten Bootloaders.

8 kritische, 3 mittlere, 15 niedrige Sicherheitslücken

Das Audit hat eine ganze Reihe von Problemen gefunden, acht davon wurden als Kritisch eingestuft. Die Implementierung der GOST 28147-89-Verschlüsselung wurde als komplett unsicher eingestuft, das gleiche gilt für die Bibliotheken, die XZIP und XUnzip bereitstellen. Dazu kommen eine ganze Reihe an Problemen, die durch den verwendeten Bootloader verursacht wurden. Dieser löscht beispielsweise Eingaben und sensitive Informationen nicht zuverlässig.

Laut dem Bericht wurden ein Großteil der Schwachstellen behoben, wenn auch nicht alle. Das liegt teilweise daran, dass die Änderungen einen tiefgehenden Eingriff in das Projekt verlangen, andere Funktionen hängen direkt mit der Möglichkeit zusammen, TrueCrypt-Container zu öffnen. Das komplette Audit umfasst 35 Seiten und kann als PDF kostenlos heruntergeladen werden.

Fazit: Updaten, jetzt!

Wer nur diesen Satz liest: VeraCrypt-Anwender sollten schnellstmöglich auf die Version 1.19 aktualisieren! Die gefundenen Schwachstellen sind teilweise so weitreichend, dass sie den Schutz der Nutzer kompromittieren können. In der aktuellen Version von VeraCrypt wurde ein Großteil – wenn auch nicht alles- bereinigt, vor allem die kritischen Sicherheitslücken wurden geschlossen. Das Changelog zeigt zudem weitere Verbesserungen, vor allem die Windows-Version wurde kräftig überarbeitet.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44329432 / Verschlüsselung)