VeraCrypt : TrueCrypt-Alternative ist laut Audit sicher

, 48 Kommentare
VeraCrypt: TrueCrypt-Alternative ist laut Audit sicher
Bild: Mitchell Haindfield (CC BY 2.0)

Die Verschlüsselungssoftware VeraCrypt wurde in Version 1.18 einem Audit unterzogen. Die meisten der gefundenen Probleme sind in der aktuellen Version 1.19 bereits behoben. Der Audit wurde von OSTIF beauftragt und von der Sicherheitsfirma QuarksLab durchgeführt.

Der Audit der Verschlüsselungssoftware VeraCrypt ist abgeschlossen. Es wurden insgesamt acht kritische Lücken in dem Programm und dessen Bootloader gefunden. Außerdem wurden drei Verwundbarkeiten mit mittlerer Schwere sowie 15 Probleme mit niedriger Einstufung gefunden. Fünf von den acht kritischen Problemen betrafen den Bootloader und sind in der aktuellen Version bereinigt.

Unsichere Methoden entfernt

Zudem wurde der sowjetrussische 256-Bit Blockverschlüsselungsstandard GOST 28147-89 entfernt. Damit verschlüsselte Volumes können zwar noch entschlüsselt werden, neue aber nicht mehr angelegt werden. Die Experten von QuarksLab hielten die Implementierung für unsicher. Ebenfalls entfernt wurden XZip und XUnzip, sie wurden mit der sichereren Zip-Bibliothek libzip ersetzt. Diese hat sich bereits in vielen Open-Source-Projekten bewährt.

Nach Ansicht der Experten von OSTIF ist VeraCrypt nach dem Audit wesentlich sicherer als davor. OSTIF ist eine gemeinnützige Organisation, die Geld sammelt, um Sicherheits-Audits zu finanzieren und Bug Bounties einzurichten. OSTIF unterstützt Audits und Bug Bounties für OpenSSL, OpenVPN, GnuPG und OTR. Die mit dem Audit beauftragten QuarksLabs sind ein hochspezialisiertes französisches Sicherheitsunternehmen.

VeraCrypt profitierte vom Ableben von TrueCrypt

Die untersuchte Verschlüsselungssoftware VeraCrypt rückte in den Fokus, nachdem im Jahr 2014 der Platzhirsch TrueCrypt unter leicht mysteriösen Umständen eingestellt wurde. VeraCrypt, das bereits 2012 als kompatible Abspaltung von TrueCrypt entstanden war, gewann viele Anwender, da nach dem Ableben von TrueCrypt unklar war, wie sicher der Code des eingestellten Projekts ist. Dazu trug auch bei, dass dessen Entwickler immer im Dunklen blieben und aus der Anonymität heraus auch im Nachhinein einer Änderung der in Teilen umstrittenen Lizenz eine Absage erteilten.

Ein 2015 durchgeführter Audit von TrueCrypt in mehreren Teilschritten ergab keine Hintertüren und relativ wenige sicherheitsrelevante Probleme. Auch ein weiterer Audit des Fraunhofer Instituts im gleichen Jahr ergab keine gravierenden Probleme.

Der ausführliche Report (PDF) des Audits von VeraCrypt liegt als 44-seitiges PDF-Dokument vor.

Downloads

  • VeraCrypt

    4,4 Sterne

    Eine Verschlüsselungssoftware, die auf der Code-Basis von TrueCrypt aufsetzt.

    • Version 1.19 Deutsch