Für eine Verschlüsselungssoftware, wie es VeraCrypt ist, wäre eine kritische Sicherheitslücke ein “Genickbruch”. Um solche Schwachstellen zu finden sind teure Sicherheitsaudits nötig. VeraCrypt hat ein Sicherheitsaudit spendiert bekommen – die Bilanz steht für jeden zur Einsicht bereit! Quintessenz: Man kann ruhigen Gewissens VeraCrypt verwenden.
VeraCrypt hat sich, nach dem überraschendem und dubiosem Ende von TrueCrypt, zu einer der wenigen alternativen Produkte am Markt entwickelt. Der Fork von TrueCrypt genießt eine hohe Vertrauenswürdigkeit im Gegensatz zu z.B. der proprietären Verschlüsselungssoftware BitLocker von Windows.
Um die Sicherheit von VeraCrypt zu überprüfen wurde die Software beim EU-Projekt FOSSA 2 vorgeschlagen. Das Verschlüsselungsprogramm erreichte jedoch nur 2% und unterlag damit KeePass und dem Apache Webserver. Doch überraschend hat die Verschlüsselungssoftware trotzdem ein Sicherheitsaudit erhalten!
Warum ein Sicherheitsaudit her muss, um auf Nummer sicher zu gehen!
Code Reviews sind unglaublich aufwendige und damit teure Unterfangen. Wer schon einmal etwas programmiert hat, und den Code sich nach wenigen Wochen wieder angeschaut hat, der wird sich höchstwahrscheinlich, bei einem undokumentierten Code folgendes denken:
“Was zur Hölle hat sich der Programmierer dabei gedacht?“
Deshalb sind Code Reviews oder Sicherheitsaudits sehr zeitaufwendig. Die ohnehin schon komplexen Programme und Strukturen müssen nachvollzogen werden und auf diverse Schwachstellen hin geprüft werden. Hier braucht es einfach hochqualifizierte Mitarbeiter – die einen entsprechenden Stundensatz haben.
Die VeraCrypt Sicherheitsaudit Ergebnisse!
Untersucht wurde VeraCrypt in der Version 1.18 und der dazugehörige Bootloader. Zwar wurden auch alte Teile von TrueCrypt noch überprüft – der Hauptaugenmerk lag aber auf dem Code, welcher nach dem Fork hinzugefügt worden ist.
Gefunden wurden bei dem Audit folgende Sicherheitslücken:
- 8 kritische Sicherheitslücken
- 3 mittelschwere Sicherheitslücken
- 15 unkritische Sicherheitslücken
Durch die Version 1.19 von VeraCrypt wurden die kritischen Sicherheitslücken geschlossen. Die Entwickler konnten die Lücken schließen, bevor sie ausgenutzt werden konnten, da Ihnen die Ergebnisse zuerst zugekommen sind. Alle Lücken wurden aber nicht behoben – große Gefahr für Endnutzer, bei der Verwendung von VeraCrypt, bestehen dadurch aber nicht.
Wer hat das VeraCrypt Sicherheitsaudit bezahlt?
Ein Sicherheitsaudit ist teuer. Um eines bezahlen zu können, müssen Geldgeber gefunden werden. Verantwortlich für das Audit ist die gemeinnützige Organisation “The Open Source Technology Improvement Fund“. Das Geld kam durch eine Spende von DuckDuckGo und dem VPN-Dienst VikingVPN zustande. Die Ergebnisse sind öffentlich.
Das VeraCrypt Sicherheitsaudit führt zu einer erhöhten IT-Sicherheit für alle!
VeraCrypt ist das (kostenlose) Tool für Festplattenverschlüsselung. Die Frage die im Raum stand, ist die Frage nach der Sicherheit der Software. Sicherheitslücken oder gar Backdoors sind selten offensichtlich und oft schwierig zu finden. Den Zeitaufwand betreiben, auch wenn die Software Open-Source ist, private Personen selten. Für die kostspielige Untersuchung Geld zu finden ist jedoch gar nicht so leicht. Aus diesem Grund ist es nötig Geld zu akquirieren, um bezahlte Sicherheitsaudits durchführen zu lassen. Daher ist eine gute Nachricht, dass sich dem Sicherheitsaudit eine Organisation annimmt.
Die Geschichte hinter TrueCrypt ist mehr als unseriös – ein seriöses Audit von VeraCrypt würde helfen, einige Zweifler der Seriosität von VeraCrypt zu überzeugen. Dieses Audit hat dazu beigetragen, dass jeder der seine Festplatte oder Devices verschlüsselt, nun etwas sicherer ist.
Weitere Informationen und Quellen
[1] VeraCrypt bekommt Sicherheitsaudit (technique-blog)
[2] Veracrypt-Audit findet schwerwiegende Sicherheitslücken (Golem)
[3] The QuarksLab audit of VeraCrypt has been completed, and this is the public release of the results (ostif)
[4][PDF] VeraCrypt 1.18 Security Assessment – Technical Report (ostif)