c't 14/2016
S. 136
Hintergrund
Verschlüsselungs-Software
Aufmacherbild

TrueCrypt ist tot, es lebe VeraCrypt

Ein Blick hinter die Kulissen des Verschlüsselungs-Tools VeraCrypt

Die Verschlüsselungs-Software VeraCrypt ist bereit, das Erbe von TrueCrypt anzutreten. Doch handelt es sich um einen würdigen und vor allem vertrauenswürdigen Nachfolger? Wir haben VeraCrypt auf den Zahn gefühlt und auch mit dem Haupt-Entwickler gesprochen.

Dass private oder sogar geschäftliche Daten in falsche Hände geraten, passiert schneller als man denkt; schließlich bleibt ein tragbarer Computer schnell mal im Zug liegen. Da hilft auch kein Windows-Passwort: Dieses sperrt zwar den direkten Zugriff auf den Computer, aber selbst unerfahrene Daten-Diebe können über ein Live-System auf die Festplatte zugreifen oder sie bauen diese einfach aus.

Um die eigenen Daten effektiv vor Fremdzugriffen zu schützen, muss man sie verschlüsseln. Im Folgenden geht es nicht um den Versand von verschlüsselten E-Mails oder das Chiffrieren von einzelnen Dateien, sondern um die Verschlüsselung von Bereichen eines Datenträgers; das kann ein spezielles Verzeichnis, ein kompletter USB-Stick oder das ganze System sein.

Insbesondere für Privatanwender war Festplatten-Verschlüsselung traditionell eine Domäne von TrueCrypt. Das kostenlose Verschlüsselungs-Tool genoss vor allem bei Windows-Nutzern einen hohen Status. Zwar bringt Windows von Haus aus Bitlocker mit, die Verschlüsselungslösung ist aber nicht in der weit verbreiteten Home-Version enthalten. Zudem muss man bei der Nutzung Microsoft vertrauen. Der Konzern dokumentiert die Verschlüsselung jedoch nicht transparent, schließlich ist Bitlocker kein Open Source. Außerdem ist bei der Bitlocker-Nutzung oft unklar, wer wann über den Schlüssel verfügt. Ehe man sich versieht, landet dieser sogar in der Cloud von Microsoft. Für Bitlocker spricht wiederum der Support, wovon vor allem Firmen-Kunden profitieren können.

Verschlüsseln mit VeraCrypt

Völlig unvermittelt stellten die Entwickler das Open-Source-Projekt TrueCrypt 2014 ein; die Gründe dafür sind bis heute ungeklärt. Eine Fraktion vertritt die Theorie, dass die Entwickler das jahrelang ohne jegliche Gegenleistung gepflegte Projekt schlicht aus Zeitgründen eingestellt haben. Andere vermuten ein Einmischen der NSA, die eine Hintertür in TrueCrypt verankern wollte. Nach dieser Theorie haben sich die Entwickler geweigert und die Verschlüsselungs-Software lieber fallengelassen. Auf der Projekt-Webseite prangt seitdem der Hinweis, dass TrueCrypt nicht mehr sicher sei, weil es nicht behobene Sicherheitslücken enthalten könnte.

Sicherheitschecks

Wie sicher TrueCrypt wirklich ist, wurde in mehreren unabhängigen Audits vor und nach der Einstellung des Projektes von verschiedenen Institutionen untersucht. Für zwei Prüfungen zeichnet das extra dafür gegründete Open Crypto Audit Project (OCAP) verantwortlich. Vom OPAC beauftragte Sicherheitsforscher analysierten den Quellcode und die im Internet verfügbaren Binärdateien der letzten voll funktionsfähigen TrueCrypt-Version 7.1a. Dabei stießen sie zwar auf 15 Schwachstellen, stuften davon aber keine als kritisch ein. Zudem fanden die Kryptologen keine vorsätzlich eingebaute Hintertür.

Kommentare lesen (9 Beiträge)