BSI veröffentlicht Sicherheitsanalyse von VeraCrypt
Über 6 Jahre ist es jetzt schon her als die irre Geschichte rund um das Verschlüsselungs-Werkzeug TrueCrypt geschah. Kurz danach machten sich diverse Verschlüsselungs-Tools auf und versprachen, das schwere Erbe anzutreten. Jeder wird da vermutlich seine Lösung gefunden haben für sich.
Eine recht bekannte Software und für viele quasi der „Nachfolger von TrueCrypt“ ist VeraCrypt, eine kostenlose Open-Source-Verschlüsselungssoftware für Windows, Linux und macOS. Die Software wurde im Auftrag des Bundesamts für Sicherheit in der Informationstechnik untersucht. Das Fraunhofer Institut für Sichere Informationstechnologie hat nun seinen Bericht veröffentlicht.
Bei der Untersuchung von VeraCrypt wurden keine gravierenden Schwachstellen identifiziert, so die Information. Allerdings wurde in mehreren Bereichen (z. B. im Entwicklungsprozess und beim Thema Code-Qualität) Verbesserungspotenzial festgestellt. Die Sicherheitsanalyse wurde dem VeraCrypt-Team vor der Veröffentlichung zur Verfügung gestellt. Dadurch sind bereits erste Verbesserungsvorschläge aus der Analyse in einen Patch der Software eingeflossen.
Also ist es jetzt offiziell möglich für den Staat, die Software zu knacken?
Da bleib ich doch bei Truecrypt für meine Clouddienste….
Ich gehe davon aus dass das als Scherz gemeint war. Falls nicht, vielleicht nochmal über Truecrypt informieren. Und damit meine ich nicht, dass die Entwicklung eingestellt wurde wegen angeblicher Sicherheitslücken, sondern dass auch dort das BSI bereits drüber geschaut hat und eine ähnliche Einstufung verwendete wie jetzt hier bei Veracrypt.
War auch mein erster Gedanke. 😛
@Sven: Der Bericht stammt vom BSI, nicht von der NSA… Beim BSI mache ich mir deutlich weniger Sorgen, dass die irgendwas hacken könnten. So glorreich, wie die sich immer mit möchtegern-schlauen Vorschlägen hervortun, haben die nur bedingt die Fähigkeiten das zu tun, was NSA und Co. so tun. 😉
Solange sie sich nur ueber Code-Qualität beschweren, ist alles töfte.
Das BSI ist ja auch kein Nachrichtendienst… ist schon ein wenig Vergleich von Äpfel und Birnen…
Ich hoffe das war jetzt ein Scherz.
Würde ich auch bei truecrypt 7.1a bleiben. Die Einstellung des Projekts und dann Fortführung über vercrypt war schon sehr dubios.
Inwiefern dubios?
Soll das logisch sein? Weil das Ende dubios war, willst du lieber bei einer nicht mehr weiter entwickelten Software bleiben, die bekannte Probleme hat? Die Geschichte des Truecrypt Erfinders kennst du wohl auch nicht? https://www.golem.de/news/paul-le-roux-der-truecrypt-erfinder-ein-drogenbaron-und-auftragskiller-1603-120058.html
Und dass in Veracrypt einige Sicherheitsverbesserungen eingeflossen sind interessiert dich auch nicht?
Wie kann man bei sicherheitsrelevanter Software so planlos unterwegs sein…
Warum nur kommen bei dieser Art Themen immer so hirnrissige Kommentare?
Warum nur haben wir die ständige Angst, das *unser* Staat uns an die Wäsche will. Ein Staat, der uns seit über 70 Jahren Frieden und Freiheit garantiert.
https://netzpolitik.org/2018/wie-man-in-69-jahren-einen-ueberwachungsstaat-aufbaut/
Welche Freiheit meinst Du da konkret?
Welche Unfreiheit meinst du?
Meine Antwort würde hier den Rahmen sprengen.
Die Freiheit, dass du diese Meinung haben und hier äußern kannst, ohne dass der Post sofort gelöscht wird, dein Sozialscore um 50 Punkte fällt und du Anrufe bekommst, das künftig zu unterlassen, wenn deine Kinder Abitur machen wollen.
Reicht da nicht der Vorschlag, e2e-Verschlüsselung für Behörden zu öffnen? Woher soll denn Vertrauen in unseren Staat kommen?
@Paubolix „seit über 70 Jahren Frieden und Freiheit garantiert“
Dazu fällt mir nur ein: „und seit Anbeginn auf dem rechten Auge blind ist“ – immerhin sind Faschos für deine Ruhe und Ordnung.
Vor 75 Jahren wollte uns der Staat an die Wäsche. Im Osten noch vor 30 Jahre. Die Vorsicht gegenüber dem Staat lässt sich relativ gut in der Geschichte begründen.
Das sollte eigentlich eine Antwort zu Paubolix Kommentar sein.
Ich empfehle die Podcastfolge „Cryptowars“ von Alternativlos. Da kann man gut lernen, was der Staat schon so alles getan hat. 😉
Da gebe ich dir Recht. Aber so ganz ohne Vertrauen und auch das Gute zu vermuten geht es auch nicht. Wir müssen nicht immer reflexartig den Teufel an die Wand mahlen. Insbesondere dann nicht, wenn es gar keine Begründung im konkreten Fall gibt.
Leider wohl nur Diskverschlüsselung, ich könnte gerne einen schnelleren Ersatz für Cryptomator brauchen.
Boxcryptor? Ich weiß, was jetzt kommt 😉
@Paubolix „Ich weiß, was jetzt kommt“
Dass ich keine Box crypten will, sondern Dateien/Ordner. Einen Linuxclient zur Installation gibt es ebenfalls nicht, nur Java portabel? Dazu „Melden Sie sich mit Ihrem Boxcryptor-Konto an“ zur Begrüßung, geht gar nicht.
Aber danke, für die Info. Passt leider nicht zu meiner Anforderung.
Eine Verschlüsselungssoftware, die statt Lock-Symbolen nur Rot/Grün Punkte darstellt, kommt mir nicht ins Haus. Ist einfach schlecht designt ohne Hirnschmalz.
Echt jetzt?
Ich hoffe, du trollst…
Bin rot/grün blind (wie 2mio Bürger) daher der Frust.
Aus persönlichem Interesse: Was stört an Cryptomator?
@gummibärchengrab „Was stört“
Das Kopieren von einem Container in einen anderen ist unsäglich lahm (30 Minuten d2d vs. 2 !Tage), ich probier jetzt mal die Dokan Beta.
Der dritte Abschnitt in dem BSI-Bericht ist schon eine ziemliche Klatsche:
VeraCrypt ist eine One Man Show, es gibt keinen üblichen Softwareentwicklungsprozess, der Großteil vom Code stammt von TrueCrypt und „questionable coding practices“ machen keinen besonders vertrauenserweckenden Eindruck.
Leider für Windows-Nutzer in meinen Augen alternativlos. Truecrypt funktioniert ab Windows 10 nicht mehr (jedenfalls für Systemverschlüsselung) und Bitlocker ist Microsoft closed source.
Mal gespannt, wie lange solche Tools in diesem Land noch erlaubt sind.