TrueCrypt wurde angeblich geknackt

truecrypt unsicher
Im Quellcode der Verschlüsselungssoftware TrueCrypt wurden von Googles Project Zero zwei neue Sicherheitslücken gefunden, von denen mindestens eine als kritisch eingestuft wurde. Noch ist unklar, ob damit auch der Zugriff auf verschlüsselte Daten möglich ist.


James Forshaw von Project Zero (Google) hat auf Twitter auf bislang unbekannte Sicherheitslücken bei TrueCrypt hingewiesen. Forshaw wundert sich in seinem Tweet, wie die Lücken beim letzten Audit übersehen werden konnten. Beim zweistufigen Testverfahren wurden bis auf ein paar kleinere Probleme keine brisanten Schwachstellen gefunden. Forshaw glaubt aber nicht an eigens von den Programmierern installierte Hintertüren, die man mithilfe der Sicherheitslücken aktivieren könne. Wenn überhaupt geschah der Einbau unabsichtlich. Bei VeraCrypt sind diese Lücken übrigens nicht vorhanden.

TrueCrypt: Details zu den Bugs lassen auf sich warten

Der genaue Umfang der Lücken soll erst in einigen Tagen veröffentlicht werden. Damit sollen alle Nutzer die Gelegenheit erhalten, auf die neueste Version von VeraCrypt (Version 1.15) oder eine andere Verschlüsselungssoftware umzusteigen. Das Problem: VeraCrypt wurde bisher noch gar keinem Audit unterzogen und ist damit nicht zwingend sicherer. Jochim Selzer führt im Interview bei tarnkappe.info zudem aus, dass noch immer die Lizenzierung des Quellcodes von VeraCrypt ungeklärt ist. Somit hängt nach Ansicht des Diplom Mathematikers ein mächtiges Damoklesschwert über dem französischen Softwareprojekt.

Die kommerzielle Konkurrenz hat die Ankündigung heute bereits in eigenen Pressemitteilungen verarbeitet. Beispielsweise wirbt Anbieter Steganos für den Einsatz der hauseigenen Software Steganos Safe 15, die im Handel regulär knapp 30 Euro kostet. Für Umsteiger soll es die Verschlüsselungssoftware für Windows bis Jahresende umsonst geben. In der Pressemitteilung wird nicht ausgeführt, ob für die Anwender nach dem 1.1.2016 Kosten anfallen werden.

veracrypt strong security for the paranoidBis zu einem möglichen Umstieg sollte man aber so oder so abwarten, wie kritisch die neuen Lücken sind. Denn mit „Gewissheit“, wie Steganos ausführt, steht de facto noch gar nichts fest. Bekannt ist bisher nur, dass die Bugs in einem Windows-Treiber verborgen sein sollen. Die Linux-Nutzer sind bei dieser Problematik offenbar außen vor.

Zudem gilt: Besser mit TrueCrypt die eigenen Daten als überhaupt nicht verschlüsseln. Verschiedene behördliche und private Ermittler gaben gegenüber der Redaktion unlängst bekannt, dass maximal fünf Prozent aller Durchsuchten ihre Geräte verschlüsselt haben.

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.

Vielleicht gefällt dir auch

8 Kommentare

  1. hartmut sagt:

    „In der Pressemitteilung wird nicht ausgeführt, ob für die Anwender nach dem 1.1.2016 Kosten anfallen werden.“

    Wie sollen denn dann Kosten erhoben werden, wenn ich vor dem 1.1.2016 eine Seriennummer erhalten habe?
    Wenn man auf Steganos Safe 17 upgraden will, fallen natürlich Kosten an.

  2. Murksel sagt:

    Mit dem Treiber für Windows sollen sich die Nutzerrechte erhöhen lassen.
    Dies ist ein sehr ernstes Problem hat aber nichts mit der Verschlüsselung an sich zu tun.

  3. peter sagt:

    Ich finde die Überschrift ein bisschen reisserisch, dafür das die Verschlüsselung nicht geknackt wurde und es auch keine Anzeichen dafür gibt. Es wurden Sicherheitslücken im Windows Treiber gefunden die einem Angreifer bzw. Benutzer ohne Admin rechte wohl irgendwie erlaubt an höhere rechte zu kommen. Hat irgendwie nix mit „TrueCrypt wurde angeblich geknackt“ zu tun. Da hat keiner was geknackt!
    Ob die Lücken ausgenutzt werden können um unberechtigterweise an die verschlüsselten Inhalte zu kommen ist doch noch völlig unklar wie du selber schreibst.
    Warum die damit Geldverdienenden Mitbewerber das trotzdem erstmal so ausdrücken sollte klar sein.

    https://www.heise.de/security/meldung/VeraCrypt-entledigt-sich-alter-Sicherheitsluecken-2832494.html
    https://www.golem.de/news/truecrypt-sicherheitsluecken-in-open-source-verschluesselung-1509-116596.html
    usw.

  4. Gero sagt:

    VeraCrypt = NSA
    TrueCrytp = NSA (zumindest die letzte „offizielle“ Version)

  1. 27. Oktober 2018

    […] Monat begann apokalyptisch mit einer handfesten Hiobsbotschaft für Nerds. Die Verschlüsselungs-Software TrueCrypt weist einige ernst zu nehmende Sicherheitslücken auf. Das ist schlimm genug für Diejenigen, die mit dieser Software ihre umfangreiche Sammlung von […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.