TrueCrypt hat Sicherheitslücken
TrueCrypt – das war einfach Jahre eine Bank, wenn es um das Verschlüsseln von Dateien, Partitionen oder ganzer Festplatten ging. Mitte 2014 das überraschende Ende des Projektes mit vielen Spekulationen, warum dies wohl so ist. Mal wurde den Entwicklern fehlende Lust nachgesagt, mal war von einem Hack oder der US-Regierung als Grund die Rede. Bereits im April 2014 hatte man das Tool auf Backdoors oder absichtlicher Lücken untersucht, die iSEC konnte in der ersten Kontrolle allerdings nichts entdecken. Auch ein weiterer Audit blieb ohne großartige Befunde.
Nun aber will James Forshaw, seines Zeichens Sicherheitsforscher bei Google, gleich zwei kritische Lücken entdeckt haben. Grund ist hier die Version, die man unter Windows installieren kann. Die hier mitgelieferten Treiber haben Schwachstellen, über die ein Angreifer theoretisch Systemrechte erlangen kann, auch wenn er nur über ein eingeschränktes Konto verfügt.
Die Lücken tragen die Bezeichnungen CVE-2015-7538 (kritisch) und CVE-2015-7539 und werden durch das Projektende von TrueCrypt nicht mehr geschlossen. Wohl aber die jüngst veröffentlichte Version von VeraCrypt schließt diese Lücken. VeraCrypt selbst ist auch Open Source, basiert auf Code von TrueCrypt und wird noch aktiv entwickelt. Offiziell werden in den nächsten Tagen weitere Details zu den Bugs genannt. Was interessant ist: warum ist das Ganze nicht bei den vorherigen Audits aufgefallen? Und letzten Endes kann man festhalten – mit ihrer Aussage „Using TrueCrypt is not secure as it may contain unfixed security issues“ hatten die Entwickler 2014 ja nun nicht Unrecht…
Trotzdem bleibt TrueCrypt die erste Wahl, weil es einfach keine alternative Heutzutage gibt, der ich mehr traue…
Warum ist VeraCrypt keine Alternative dazu?
Es wäre hilfreich darauf hinzuweisen, dass es auch nach der Enthüllung dieser beiden Sicherheitslücken keinen Hinweis darauf gibt, dass es Schwächen in der eigentlichen Verschlüsselung gäbe.
Wer z.B. seinen mit TrueCrypt verschlüsselten USB Stick verliert muss sich also weiterhin keine Sorgen um die Vertraulichkeit der darauf gespeicherten Daten machen.
Interessant ist, dass VeraCrypt jetzt plötzlich in den ganzen Blogs auftaucht, vorher aber nie erwähnt wurde. Irgendwie kann ich auch keine Information darüber finden, auf welcher Basis VeraCrypt läuft. Die Version 7.1a von TrueCrypt gilt ja noch als sicher, die Version 7.2 steht ja schon im Verdacht, dass sie nicht ganz sauber ist, weil keiner weiß, warum TrueCrypt nicht mehr weiterentwickelt wird.
„VeraCrypt is a free disk encryption software brought to you by IDRIX (https://www.idrix.fr) and that is based on TrueCrypt 7.1a.“
Quelle: https://veracrypt.codeplex.com/
War jetzt nicht so ganz schwer.
Persönlich würde mich mal wieder ein ausführlicher Blogeintrag zu den Alternativen zu Truecrypt interessieren. Könntet Ihr das nicht mal angehen? Für mich wäre das Kriterium: Ist sicher genug, dass ein gehoben gebildeter Ganove schon sicher sein müsste, etwas zu finden, damit er sich die Arbeit macht, meinen Container zu knacken. Sicherheit gegen NSA & Co gibt es sowieso praktisch nicht.
Ich bin mit VeraCrypt ganz zufrieden. War eines der ersten Forks die entstanden. Mich verblüfft eher die Unkenntnis einiger die noch nie was von VeraCrypt gehört haben. Ich nutze das Tool von Anfang an und die Software erfährt oft updates und die Entwickler sind auch sehr zugänglich, was ich sehr gut finde und auf mich vertrauenswürdig wirkt.
Früher oder später wird TC ersetzt, aber erst wenn eine Open Source Alternative ein oder mehrere Audits besteht. Bei VC wurde ja meines Wissens nach bislang keines durchgeführt.
Was mich bei Veracrypt noch etwas stört ist die Tatsache, dass noch kein unabhängiges Audit durchgeführt wurde.
Es reicht mir völlig zu wissen, daß beim Diebstahl von externen Festplatten, USB-Sticks oder PCs den Dieben keine Daten in die Hände fallen. Da es denen in nahezu allen Fällen nur um die Hardware geht, ist es mir egal. Die Mühe, eine Verschlüsselung zu knacken macht sich keiner von denen. Und Alle, die Angst vor der NSA oder der CIA haben, sollten mal zum Arzt gehen.
VeraCrypt wollte ich mir sowieso schonmal ansehen. Nichtsdestotrotz scheinen ja die Daten an sich nicht betroffen zu sein. Die bleiben verschlüsselt sicher verwahrt.
Naja, erst einmal abwarten. Wobei es nicht so heiß ist, wie es gestrickt wird. Bei dem einen Bug können lediglich gemountet Container enmountet werden, mehr nicht. Bei dem anderen scheint es wohl zu reichen, wenn man Truecrypt nicht installiert, sondern portable verwendet. Zumindest wird dann die Möglichkeit zeitlich beschränkt, nämlich nur dann, wenn man Truecrypt wirklich laufen läßt.
@Timon:
1. Dass über VeraCrypt mehr berichtet wird, nachdem eine Sicherheitslücke in TrueCrypt identifiziert worden sein soll, ist selbstverständlich. Dass vorher nicht darüber berichtet worden wäre, ist offensichtlich Quatsch.
2. „die Version 7.2 steht ja schon im Verdacht, dass sie nicht ganz sauber ist“. Auch das ist Quatsch. 7.1a ist die letzte normal funktionierende Version, 7.2 ermöglicht nur noch das *Ent*schlüsseln vorhandener Container.
3. „Irgendwie kann ich auch keine Information darüber finden, auf welcher Basis VeraCrypt läuft.“ Mag sein, das liegt dann aber an dir.
4. Grundsätzlich: Wie sicher eine Verschlüsselung nun genau ist, ist ein vielfach überschätztes Thema… https://xkcd.com/538/ 😉
Zu VeraCrypt: Wegen der Berichterstattung über diesen Bug verwende ich es seit heute. Das Interface ist bis auf einpaar Erweiterungen identisch. Sei Version 1.0f (Dezember 2014) kann es auch alte Truecrypt-Container mounten (read/write) und somit ohne Aufwand Truecrypt ersetzen (allerdings muss der Truecrypt-Modus bei jeder Passworteingabe manuell gewählt werden).
@Timon Wenn ich nach LifeHacker Artikel gehe sollte es jedenfalls oft genug erwähnt worden sein – woher sonst die Nutzerzahl? Mir selbst war es aber auch nicht bekannt. Als Truecrypt eingestellt wurde (Mai 2015, 7 Monate vor vollem Truecrypt-Support in VeraCrypt), hätte der Umstieg die Neuerstellung aller Volumes erfordert.
Insgesamt galt damals: TrueCrypt ist laut Audit sicher, solange keine Lücken bekannt werden einfach 7.1a weiterverwenden. Vermutlich haben daher viele, jedenfalls ich, die Nachfolger nicht groß wahrgenommen.
@mac @Unwissender Kernteile von VeraCrypt sollten mit dem Teil von Truecrypt, für den ein Audit durchgeführt wurde, übereinstimmen. Ich kann aber nicht beurteilen, wie nützlich diese Aussage ist.
Das Problem, das Caschy hier anspricht, weist keinerlei Fehler in der Verschlüsselung auf, das steht da auch nirgends. Richtig, verlorene externe Speicher sind immer noch nicht durch Bugs angreifbar, und darauf bezog sich auch das Audit. Falsch ist, dass der Einsatz von TrueCrypt unbedenklich wäre, denn nach dem Laden des Treibers, was bei installierten Versionen nun mal passiert, kann ein Angriff (nicht auf die Verschlüsselung, sondern auf den Rechner) erweiterte Rechte (da ein Treiber betroffen ist, wahrscheinlich sogar Systemrechte, nicht bloß Admin-Rechte) liefern. In einem solchen Fall ist ziemlich unerheblich, dass die Daten verschlüsselt gespeichert sind.
@Yann
Boxcryptor ist keine Alternative, das ist unfassbar langsam. Für Sachen die man nur in die Dropbox schieben – und vorher verschlüsseln will – ist das noch ok. Aber nur wenn man die Daten nicht sofort braucht.
Dem Support war das völlig egal. Das gleiche habe ich auch von anderen Testern gehört.
Ein Bericht über TrueCrypt Alternativen würde mich auch interessieren. Ich bleibe vorerst auch dabei. Mir reicht es, gut abgesichert zu sein, falls die Festplatte bzw. der Laptop verloren geht oder gestohlen wird. In diesem Fall soll niemand an meine Daten kommen. Ich denke, dass TrueCrypt dafür immer noch ziemlich sicher ist.
Boxcryptor 1 würde ich nicht mehr nutzen nach dem veröffentlichen Bug in EncFS. Soweit ich weiß setzt Boxcryptor 2 auf eine andere Verschlüsselung, hab nur nicht herausgefunden welche. Kann da jemand weiterhelfen?
Kann man TrueCrypt-verschlüsselte Laufwerke mit VeraCrypt öffnen (Kenntnis des Passworts vorausgesetzt)?
@Cal
Jep, hat bei mir mit externer 3TB Festplatte einwandfrei funktioniert. Allerdings wurde von mir bisher nur der Lesezugriff getestet.