BSI veröffentlicht Sicherheitsanalyse von VeraCrypt

Über 6 Jahre ist es jetzt schon her als die irre Geschichte rund um das Verschlüsselungs-Werkzeug TrueCrypt geschah. Kurz danach machten sich diverse Verschlüsselungs-Tools auf und versprachen, das schwere Erbe anzutreten. Jeder wird da vermutlich seine Lösung gefunden haben für sich.

Eine recht bekannte Software und für viele quasi der „Nachfolger von TrueCrypt“ ist VeraCrypt, eine kostenlose Open-Source-Verschlüsselungssoftware für Windows, Linux und macOS. Die Software wurde im Auftrag des Bundesamts für Sicherheit in der Informationstechnik untersucht. Das Fraunhofer Institut für Sichere Informationstechnologie hat nun seinen Bericht veröffentlicht.

Bei der Untersuchung von VeraCrypt wurden keine gravierenden Schwachstellen identifiziert, so die Information. Allerdings wurde in mehreren Bereichen (z. B. im Entwicklungsprozess und beim Thema Code-Qualität) Verbesserungspotenzial festgestellt. Die Sicherheitsanalyse wurde dem VeraCrypt-Team vor der Veröffentlichung zur Verfügung gestellt. Dadurch sind bereits erste Verbesserungsvorschläge aus der Analyse in einen Patch der Software eingeflossen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

31 Kommentare

  1. Also ist es jetzt offiziell möglich für den Staat, die Software zu knacken?
    Da bleib ich doch bei Truecrypt für meine Clouddienste….

    • Ich gehe davon aus dass das als Scherz gemeint war. Falls nicht, vielleicht nochmal über Truecrypt informieren. Und damit meine ich nicht, dass die Entwicklung eingestellt wurde wegen angeblicher Sicherheitslücken, sondern dass auch dort das BSI bereits drüber geschaut hat und eine ähnliche Einstufung verwendete wie jetzt hier bei Veracrypt.

    • War auch mein erster Gedanke. 😛

    • DragonHunter says:

      @Sven: Der Bericht stammt vom BSI, nicht von der NSA… Beim BSI mache ich mir deutlich weniger Sorgen, dass die irgendwas hacken könnten. So glorreich, wie die sich immer mit möchtegern-schlauen Vorschlägen hervortun, haben die nur bedingt die Fähigkeiten das zu tun, was NSA und Co. so tun. 😉

      Solange sie sich nur ueber Code-Qualität beschweren, ist alles töfte.

    • Ich hoffe das war jetzt ein Scherz.

    • Würde ich auch bei truecrypt 7.1a bleiben. Die Einstellung des Projekts und dann Fortführung über vercrypt war schon sehr dubios.

  2. Warum nur kommen bei dieser Art Themen immer so hirnrissige Kommentare?

    Warum nur haben wir die ständige Angst, das *unser* Staat uns an die Wäsche will. Ein Staat, der uns seit über 70 Jahren Frieden und Freiheit garantiert.

  3. Vor 75 Jahren wollte uns der Staat an die Wäsche. Im Osten noch vor 30 Jahre. Die Vorsicht gegenüber dem Staat lässt sich relativ gut in der Geschichte begründen.

    • Das sollte eigentlich eine Antwort zu Paubolix Kommentar sein.

    • Ich empfehle die Podcastfolge „Cryptowars“ von Alternativlos. Da kann man gut lernen, was der Staat schon so alles getan hat. 😉

    • Da gebe ich dir Recht. Aber so ganz ohne Vertrauen und auch das Gute zu vermuten geht es auch nicht. Wir müssen nicht immer reflexartig den Teufel an die Wand mahlen. Insbesondere dann nicht, wenn es gar keine Begründung im konkreten Fall gibt.

  4. Leider wohl nur Diskverschlüsselung, ich könnte gerne einen schnelleren Ersatz für Cryptomator brauchen.

    • Boxcryptor? Ich weiß, was jetzt kommt 😉

      • @Paubolix „Ich weiß, was jetzt kommt“
        Dass ich keine Box crypten will, sondern Dateien/Ordner. Einen Linuxclient zur Installation gibt es ebenfalls nicht, nur Java portabel? Dazu „Melden Sie sich mit Ihrem Boxcryptor-Konto an“ zur Begrüßung, geht gar nicht.

        Aber danke, für die Info. Passt leider nicht zu meiner Anforderung.

    • C++ Embedgott says:

      Eine Verschlüsselungssoftware, die statt Lock-Symbolen nur Rot/Grün Punkte darstellt, kommt mir nicht ins Haus. Ist einfach schlecht designt ohne Hirnschmalz.

    • gummibärchengrab says:

      Aus persönlichem Interesse: Was stört an Cryptomator?

      • @gummibärchengrab „Was stört“

        Das Kopieren von einem Container in einen anderen ist unsäglich lahm (30 Minuten d2d vs. 2 !Tage), ich probier jetzt mal die Dokan Beta.

  5. Der dritte Abschnitt in dem BSI-Bericht ist schon eine ziemliche Klatsche:

    VeraCrypt ist eine One Man Show, es gibt keinen üblichen Softwareentwicklungsprozess, der Großteil vom Code stammt von TrueCrypt und „questionable coding practices“ machen keinen besonders vertrauenserweckenden Eindruck.

  6. Leider für Windows-Nutzer in meinen Augen alternativlos. Truecrypt funktioniert ab Windows 10 nicht mehr (jedenfalls für Systemverschlüsselung) und Bitlocker ist Microsoft closed source.

    Mal gespannt, wie lange solche Tools in diesem Land noch erlaubt sind.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.