VeraCrypt: Audit deckt mehrere Sicherheitslücken auf, in Version 1.19 bereits behoben

veracrypt logoNachdem TrueCrypt nicht mehr weiterentwickelt wurde, trat VeraCrypt an dessen Stelle. Die Open Source-Verschlüssselung sollte unter die Lupe genommen werden, immerhin verlassen sich Nutzer darauf, dass diese auch sicher ist und verschlüsselte Inhalte eben nicht von anderen einsehbar sind. Das ist nur möglich, wenn es keine bekannten Lücken gibt. Um solche Lücken zu finden, wurde im August ein unabhängiger Audit angekündigt. Nun gibt es die Ergebnisse, auf der Suche nach Lücken wurde man mehrfach fündig. Diese sind allerdings bereits geschlossen, sodass für den Nutzer der aktuellen Version keine große Gefahr besteht.

Untersucht wurde VeraCrypt in Version 1.18. Gefunden wurden 8 kritische und 3 nicht ganz so schwerwiegende Angriffsmöglichkeiten, außerdem 15 Beanstandungspunkte. In Version 1.19 sind diese Lücken bereits nicht mehr vorhanden, einer der Vorteile eines solchen Audits, die Lücken werden gestopft, bevor sie ausgenutzt werden können. Die digitale Welt ist dadurch wieder ein Stück sicherer, vorausgesetzt man setzt diese Software auch ein. Details zu den Lücken gibt es bei OSTIF, wer es noch detaillierter mag, kann sich auch dieses PDF zu Gemüte führen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

21 Kommentare

  1. Ah sehr gut. Dann kann ich jetzt auch mit gutem Gewissen von Truecrypt wechseln

  2. Veracrypt Download: https://veracrypt.codeplex.com/
    (nur falls wer irgendeinen direkten Link im Beitrag gesucht hat)

  3. Vielen Dank Konstantin 🙂

  4. Nutze ich auch. Handhabung ist echt nicht schwer und heutzutage würde ich echt immer auf Nummer Sichergehen. Hab meine ganzen Steuersachen und so nen Kram in VC-Containern gespeichert. Die möchte ich ungern für jedermann zugänglich auf meinem Laptop haben.

  5. Normalerweise bin ich da nicht pingelig. Aber was im Text steht ist falsch: „In Version 1.19 sind diese Lücken bereits nicht mehr vorhanden“ Der englische Original-Text schreibt: „This public disclosure of these vulnerabilities coincides with the release of VeraCrypt 1.19 which fixes the vast majority of these high priority concerns. Some of these issues have not been fixed due to high complexity for the proposed fixes, but workarounds have been presented in the documentation for VeraCrypt.“ Außerdem wenn man das Original sehr genau ansieht sieht man dass die Liste der gefixten Bugs (obwohl rot markiert) nicht der Liste der roten kritischen Bugs entspricht… hier wird man leicht veräppelt!

  6. @therealmarv

    Hast du von dem Autor hier was anderes erwartet?;)
    Die „guten“ Meldungen darf ja nur noch Cachy übermitteln, der Rest ist eher für Spielenews und Clickbaitartikel etc. zuständig…

    Das Niveau ist echt net mehr das Gleiche:/

    • @mj: Hey Martin, das automatische Spam-System Akismet hat dich gefressen. Ich hab dich manuell freigeschaltet. Interessant aber, dass du hier liest, hast ja – so lese ich in den anderen Kommentaren – doch schon deinen Abschied verkündet und zig Mal erwähnt, wie scheiße wir hier eigentlich sind (und andere Kommentatoren beleidigt).

  7. Ich frage mich folgendes: wenn ich einen Container mit Version 1.18 erstellt habe und die Fehler erst in Version 1.19 beseitigt worden sind, ist der 1.18 Container dann nicht angreifbar? Muss ich einen neuen Container erstellen oder diesen erweitern, so dass er von den Erneuerungen der Version 1.19 profitiert?

  8. Mein kritischer Kommentar bezüglich des Niveaus hier und des Autors wird natürlich wieder nicht durchgewunken…

    Könnt ihr mit sachlicher Kritik nicht umgehen???

  9. Für eher unkritische Sachen kann man Trupax empfehlen, multiplattform, legt Truecrypt wie auch Veracrypt-Container an, aus Ordnern oder Dateien, extrem einfach im Gebrauch. Benötigte mal Java, jetzt nicht mehr.

  10. @Ralf Baue:
    Das habe ich mich auch schon gefragt. Bin gespannt. Aber ich kann es mir eigentlich nicht vorstellen, da das ja ziemlich viel Arbeit wäre, bei jedem Release alles „neu“ machen zu müssen.

  11. @MJ: Eigene Meinung != sachliche Kritik, besonders wenn nur beleidigt wird und Argumente fehlen

  12. Sachliche Kritik kam von therealmarv! Der hat aus dem Original zitiert und damit die mindestens schwammige, wenn nicht falsche Behauptung „sind in 1.19 gefixt“ widerlegt. Danke! MJ pauschalisiert, leider.

  13. Oh die Retter vom Sascha springen in die Bresche:P
    Und wo habe ich beleidigt? Das Niveau ist einfach mal gesunken und wenn man sich die einzelnen Artikel der Autoren anschaut, ist doch eine gewisse Linie zu erkennen…
    Wozu muss ich hier groß argumentieren, ihr springt ja trotzdem drauf an;)

    Der 2. Comment ist in dem Sinne hinfällig, da ich mal wieder dachte mein Comment wird zurückgehalten, sry

    • @Mj: „Wozu muss ich hier groß argumentieren, ihr springt ja trotzdem drauf an;)“ Genau Martin, das mache ich dann nun bei dir auch nicht mehr.

  14. @MJ „nicht durchgewunken“ ist totaler Quatsch… Du schreibst so, dass eine Maschine sofort erkennt, dass das Spam ist – ohne zutun jeglicher Personen… Weder von Caschy noch von anderen Autoren… Die müssen eher dafür sorgen dass die falschen Treffer der Maschine nicht komplett untergehen…

  15. @Konstantin

    Du hast meinen Comment diesbezüglich gelesen…
    Es kommt halt immer komisch rüber wenn der eigene Comment noch net da ist, aber andere dann schon….

    @cachy hab ich kein Problem damit:)

  16. Ich habe mich auch schon gewundert, wenn Kommentare nicht erschienen, eine Meldung „Ihr Kommentar wartet auf die Freischaltung“ habe ich auch noch nie gesehen, allerdings warte ich nach dem Senden eines Kommentars auch nie, bis ich etwas lesen könnte, aber sollte es eine solche Meldung nicht geben, vielleicht als Vorschlag betrachten.

    Von allgemeinen sinkendem Niveau zu sprechen empfinde ich dennoch als Pauschalisierung. Ich war auch schon dabei, als es allenfalls Gastartiken gab, die nicht vom Caschy waren, und mir hat der Blog damals auch besser gefallen. Ich bin aber nicht das Maß der Dinge. Ich befürchte, dass die Leserzahl seit dieser Zeit gestiegen ist. Ich muss eben akzeptieren, dass sich die Welt weiter gedreht hat und das Internet nicht mehr nur von Spezialisten genutzt wird, sondern vor allem von Amateuren, und die Entwicklung zum früher mal Web 2.0 genannten hat dafür gesorgt, dass die Schwelle, nicht nur zu konsumieren, sondern auch Inhalte zu generieren, gesunken ist. So lange man kritisch bleibt, ist das nicht weiter schlimm.

    Ich habe im Übrigen schon wirklich gute Artikel vom Sascha gelesen und ich habe den Eindruck, dass die Artikel sich von der Qualität weiterentwickeln. Das soll in keinem Fall eine Entschuldigung für die unklare bis falsche Formulierung sein, noch weniger verstehe ich aber, dass diese Formulierung nicht korrigiert wird, nachdem auf den Fehler hingewiesen wurde. Gerne an dieser Stelle auch ein Zitat einfügen. Immerhin ist die PDF verlinkt, wer es genau wissen will, kann es also nachlesen.

  17. Da kann ich Saujunge nur zustimmen. Zumal mittlerweile 4 Tage nach Saujunges Kommentar auch noch keine Korrektur vorgenommen wurde.

  18. @Fraggle: Sorry, sehe das erst jetzt: Was ist konkret falsch? Gerne auch per Mail, wenn ich nicht der Autor bin – dann bekomme ich nämlich keine Mail. Oder Sascha anpingen. Denn der lässt garantiert nichts konkret Falsches stehen, wenn er etwas mitbekommt 🙂
    @Saujunge: Es sind in den letzten Jahren sehr viele neue Leser dazu gekommen, ja

  19. @caschy:
    kein Problem. Korrekt ist, daß nicht alle Probleme in 1.19 gefixt sind. Realmarv zitierte dazu: This public disclosure of these vulnerabilities coincides with the release of VeraCrypt 1.19 which fixes the vast majority of these high priority concerns. Some of these issues have not been fixed due to high complexity for the proposed fixes, but workarounds have been presented in the documentation for VeraCrypt.“
    Sascha anpingen kann ich net, ich benutze kein FB o.ä. und Deine Mailadresse liegt zuhause, ich bin noch am Ort des schönsten Fußballspiels des DFB 2014 🙂