TrueCrypt hat Sicherheitslücken

Bildschirmfoto 2015-09-30 um 12.32.32TrueCrypt – das war einfach Jahre eine Bank, wenn es um das Verschlüsseln von Dateien, Partitionen oder ganzer Festplatten ging. Mitte 2014 das überraschende Ende des Projektes mit vielen Spekulationen, warum dies wohl so ist. Mal wurde den Entwicklern fehlende Lust nachgesagt, mal war von einem Hack oder der US-Regierung als Grund die Rede. Bereits im April 2014 hatte man das Tool auf Backdoors oder absichtlicher Lücken untersucht, die iSEC konnte in der ersten Kontrolle allerdings nichts entdecken. Auch ein weiterer Audit blieb ohne großartige Befunde.

Nun aber will James Forshaw, seines Zeichens Sicherheitsforscher bei Google, gleich zwei kritische Lücken entdeckt haben. Grund ist hier die Version, die man unter Windows installieren kann. Die hier mitgelieferten Treiber haben Schwachstellen, über die ein Angreifer theoretisch Systemrechte erlangen kann, auch wenn er nur über ein eingeschränktes Konto verfügt.

Die Lücken tragen die Bezeichnungen CVE-2015-7538 (kritisch) und CVE-2015-7539 und werden durch das Projektende von TrueCrypt nicht mehr geschlossen. Wohl aber die jüngst veröffentlichte Version von VeraCrypt schließt diese Lücken. VeraCrypt selbst ist auch Open Source, basiert auf Code von TrueCrypt und wird noch aktiv entwickelt. Offiziell werden in den nächsten Tagen weitere Details zu den Bugs genannt. Was interessant ist: warum ist das Ganze nicht bei den vorherigen Audits aufgefallen? Und letzten Endes kann man festhalten – mit ihrer Aussage „Using TrueCrypt is not secure as it may contain unfixed security issues“ hatten die Entwickler 2014 ja nun nicht Unrecht…

(via threatpost)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

37 Kommentare

  1. Trotzdem bleibt TrueCrypt die erste Wahl, weil es einfach keine alternative Heutzutage gibt, der ich mehr traue…

  2. Warum ist VeraCrypt keine Alternative dazu?

  3. Es wäre hilfreich darauf hinzuweisen, dass es auch nach der Enthüllung dieser beiden Sicherheitslücken keinen Hinweis darauf gibt, dass es Schwächen in der eigentlichen Verschlüsselung gäbe.
    Wer z.B. seinen mit TrueCrypt verschlüsselten USB Stick verliert muss sich also weiterhin keine Sorgen um die Vertraulichkeit der darauf gespeicherten Daten machen.

  4. Interessant ist, dass VeraCrypt jetzt plötzlich in den ganzen Blogs auftaucht, vorher aber nie erwähnt wurde. Irgendwie kann ich auch keine Information darüber finden, auf welcher Basis VeraCrypt läuft. Die Version 7.1a von TrueCrypt gilt ja noch als sicher, die Version 7.2 steht ja schon im Verdacht, dass sie nicht ganz sauber ist, weil keiner weiß, warum TrueCrypt nicht mehr weiterentwickelt wird.

  5. „VeraCrypt is a free disk encryption software brought to you by IDRIX (https://www.idrix.fr) and that is based on TrueCrypt 7.1a.“
    Quelle: https://veracrypt.codeplex.com/

    War jetzt nicht so ganz schwer.

  6. Persönlich würde mich mal wieder ein ausführlicher Blogeintrag zu den Alternativen zu Truecrypt interessieren. Könntet Ihr das nicht mal angehen? Für mich wäre das Kriterium: Ist sicher genug, dass ein gehoben gebildeter Ganove schon sicher sein müsste, etwas zu finden, damit er sich die Arbeit macht, meinen Container zu knacken. Sicherheit gegen NSA & Co gibt es sowieso praktisch nicht.

  7. Ich bin mit VeraCrypt ganz zufrieden. War eines der ersten Forks die entstanden. Mich verblüfft eher die Unkenntnis einiger die noch nie was von VeraCrypt gehört haben. Ich nutze das Tool von Anfang an und die Software erfährt oft updates und die Entwickler sind auch sehr zugänglich, was ich sehr gut finde und auf mich vertrauenswürdig wirkt.

  8. Früher oder später wird TC ersetzt, aber erst wenn eine Open Source Alternative ein oder mehrere Audits besteht. Bei VC wurde ja meines Wissens nach bislang keines durchgeführt.

  9. Was mich bei Veracrypt noch etwas stört ist die Tatsache, dass noch kein unabhängiges Audit durchgeführt wurde.

  10. Karl Kurzschluss says:

    Es reicht mir völlig zu wissen, daß beim Diebstahl von externen Festplatten, USB-Sticks oder PCs den Dieben keine Daten in die Hände fallen. Da es denen in nahezu allen Fällen nur um die Hardware geht, ist es mir egal. Die Mühe, eine Verschlüsselung zu knacken macht sich keiner von denen. Und Alle, die Angst vor der NSA oder der CIA haben, sollten mal zum Arzt gehen.

  11. VeraCrypt wollte ich mir sowieso schonmal ansehen. Nichtsdestotrotz scheinen ja die Daten an sich nicht betroffen zu sein. Die bleiben verschlüsselt sicher verwahrt.

  12. Naja, erst einmal abwarten. Wobei es nicht so heiß ist, wie es gestrickt wird. Bei dem einen Bug können lediglich gemountet Container enmountet werden, mehr nicht. Bei dem anderen scheint es wohl zu reichen, wenn man Truecrypt nicht installiert, sondern portable verwendet. Zumindest wird dann die Möglichkeit zeitlich beschränkt, nämlich nur dann, wenn man Truecrypt wirklich laufen läßt.

  13. @Timon:

    1. Dass über VeraCrypt mehr berichtet wird, nachdem eine Sicherheitslücke in TrueCrypt identifiziert worden sein soll, ist selbstverständlich. Dass vorher nicht darüber berichtet worden wäre, ist offensichtlich Quatsch.

    2. „die Version 7.2 steht ja schon im Verdacht, dass sie nicht ganz sauber ist“. Auch das ist Quatsch. 7.1a ist die letzte normal funktionierende Version, 7.2 ermöglicht nur noch das *Ent*schlüsseln vorhandener Container.

    3. „Irgendwie kann ich auch keine Information darüber finden, auf welcher Basis VeraCrypt läuft.“ Mag sein, das liegt dann aber an dir.

    4. Grundsätzlich: Wie sicher eine Verschlüsselung nun genau ist, ist ein vielfach überschätztes Thema… https://xkcd.com/538/ 😉

  14. Zu VeraCrypt: Wegen der Berichterstattung über diesen Bug verwende ich es seit heute. Das Interface ist bis auf einpaar Erweiterungen identisch. Sei Version 1.0f (Dezember 2014) kann es auch alte Truecrypt-Container mounten (read/write) und somit ohne Aufwand Truecrypt ersetzen (allerdings muss der Truecrypt-Modus bei jeder Passworteingabe manuell gewählt werden).

    @Timon Wenn ich nach LifeHacker Artikel gehe sollte es jedenfalls oft genug erwähnt worden sein – woher sonst die Nutzerzahl? Mir selbst war es aber auch nicht bekannt. Als Truecrypt eingestellt wurde (Mai 2015, 7 Monate vor vollem Truecrypt-Support in VeraCrypt), hätte der Umstieg die Neuerstellung aller Volumes erfordert.

    Insgesamt galt damals: TrueCrypt ist laut Audit sicher, solange keine Lücken bekannt werden einfach 7.1a weiterverwenden. Vermutlich haben daher viele, jedenfalls ich, die Nachfolger nicht groß wahrgenommen.

    @mac @Unwissender Kernteile von VeraCrypt sollten mit dem Teil von Truecrypt, für den ein Audit durchgeführt wurde, übereinstimmen. Ich kann aber nicht beurteilen, wie nützlich diese Aussage ist.

  15. Das Problem, das Caschy hier anspricht, weist keinerlei Fehler in der Verschlüsselung auf, das steht da auch nirgends. Richtig, verlorene externe Speicher sind immer noch nicht durch Bugs angreifbar, und darauf bezog sich auch das Audit. Falsch ist, dass der Einsatz von TrueCrypt unbedenklich wäre, denn nach dem Laden des Treibers, was bei installierten Versionen nun mal passiert, kann ein Angriff (nicht auf die Verschlüsselung, sondern auf den Rechner) erweiterte Rechte (da ein Treiber betroffen ist, wahrscheinlich sogar Systemrechte, nicht bloß Admin-Rechte) liefern. In einem solchen Fall ist ziemlich unerheblich, dass die Daten verschlüsselt gespeichert sind.

  16. @Yann
    Boxcryptor ist keine Alternative, das ist unfassbar langsam. Für Sachen die man nur in die Dropbox schieben – und vorher verschlüsseln will – ist das noch ok. Aber nur wenn man die Daten nicht sofort braucht.

    Dem Support war das völlig egal. Das gleiche habe ich auch von anderen Testern gehört.

  17. Ein Bericht über TrueCrypt Alternativen würde mich auch interessieren. Ich bleibe vorerst auch dabei. Mir reicht es, gut abgesichert zu sein, falls die Festplatte bzw. der Laptop verloren geht oder gestohlen wird. In diesem Fall soll niemand an meine Daten kommen. Ich denke, dass TrueCrypt dafür immer noch ziemlich sicher ist.

  18. Boxcryptor 1 würde ich nicht mehr nutzen nach dem veröffentlichen Bug in EncFS. Soweit ich weiß setzt Boxcryptor 2 auf eine andere Verschlüsselung, hab nur nicht herausgefunden welche. Kann da jemand weiterhelfen?

  19. Kann man TrueCrypt-verschlüsselte Laufwerke mit VeraCrypt öffnen (Kenntnis des Passworts vorausgesetzt)?

  20. @Cal
    Jep, hat bei mir mit externer 3TB Festplatte einwandfrei funktioniert. Allerdings wurde von mir bisher nur der Lesezugriff getestet.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.