(Bild: Chris Potter, CC BY 2.0 )
Sicherheitsforscher haben ein Audit von VeraCrypt durchgeführt und mehrere kritische Schwachstellen entdeckt. Die abgesicherte Version 1.19 ist bereits erschienen.
Die Sicherheits-Prüfung der Verschlüsselungs-Anwendung VeraCrypt ist abgeschlossen. Sicherheitsforscher von QuarksLab haben acht kritische, drei mittelschwere und 15 als niedrig eingestufte Schwachstellen gefunden. Die gefährlichsten Lücken haben die Entwickler in der aktuellen Version 1.19 geschlossen, berichtet der Open Source Technology Improvement Fund (OSTIF), der QuarksLab mit dem Audit beauftragt hat.
Verschlüsselung aufbrechen
Ab sofort ist die Blockverschlüsselung GOST 28147-89 nicht mehr in VeraCrypt verfügbar. Den Sicherheitsforschern zufolge war die Implementierung fehlerhaft und unter gewissen Voraussetzungen können Angreifer Daten entschlüsseln. Wer die Blockverschlüsselung genutzt hat, sollte sich dem Risiko bewusst sein. Auch die Kompressions-Bibliotheken XUnzip und XZip haben die Entwickler aus Sicherheitsgründen entfernt und durch libzip ersetzt.
Weitere kritische Lücken haben die Entwickler im alten und neuen Bootloader geschlossen. Dank des neuen Bootloaders aus dem August diesen Jahres kann VeraCrypt Windows auch auf UEFI-Systemen komplett verschlüsseln. Hätte ein Angreifer die Lücken ausgenutzt, hätte er unter anderem Rückschlüsse auf Passwörter ziehen und Speicherfehler provozieren können.
Einige als unkritisch geltende Schwachstellen haben die Entwickler bewusst nicht gefixt, da Korrekturen die Kompatibilität zum Vorgänger TrueCrypt gefährden würden. Weiterführende Details zum Audit und den gefunden Schwachstellen handeln die Sicherheitsforscher in einem ausführlichen Bericht ab.
Weitere Audits geplant
Diese Überprüfung war nur durchführbar, weil die Betreiber der Suchmaschine DuckDuckGo 25.000 US-Dollar gespendet haben. Der OSTIF hofft auf weitere Spenden aus der Community, damit in Zukunft weitere Audits realistisch sind.
(des)