Verschlüsselung: Mails zu Veracrypt-Audit verschwinden spurlos

Ein Audit soll klären, ob der Truecrypt-Nachfolger Veracrypt Sicherheitslücken hat. Die Macher der Initiative berichten, dass der Versuch sabotiert werde - E-Mails würden unauffindbar verschwinden. Einer der beteiligten kritisiert die Veröffentlichung.

Artikel veröffentlicht am ,
Veracrypt soll auf Sicherheitslücken überprüft werden.
Veracrypt soll auf Sicherheitslücken überprüft werden. (Bild: Veracrypt)

Die Initiative Ostif plant ein Audit der Verschlüsselungssoftware Veracrypt, befürchtet dabei aber eine Ausspähung beziehungsweise einen Manipulationsversuch. Der private Open Source Technology Improvement Fund (Ostif) hat für das Audit Gelder von der alternativen Suchmaschine Duckduckgo und dem Provider VikingVPN gesammelt.

Stellenmarkt
  1. Sachbearbeiter (m/w/d) Digitalisierung
    Stadt Korntal-Münchingen, Korntal-Münchingen
  2. SAP SuccessFactors Consultant (w/m/d)
    VRG HR GmbH', verschiedene Standorte
Detailsuche

Das Audit soll von dem Unternehmen Quarkslab ab Mitte August durchgeführt werden. Die Ergebnisse sollen voraussichtlich im September veröffentlicht werden. Sollten Sicherheitslücken gefunden werden, werden die Ergebnisse erst vorgestellt, sobald alle Lücken gepatcht sind.

Die Macher des Audits beklagen in einem Blogpost, dass es Versuche gebe, das Vorhaben zu sabotieren. Die E-Mails zwischen Veracrypt, Ostif und Quarkslab werden mittels PGP verschlüsselt. Doch in dem von Ostif verwendeten Google-Apps-for-Business-Account seien schon vier Mails verschwunden. Die Mails seien abgesendet worden, aber nie bei den Empfängern angekommen, schreibt das Projekt. Außerdem seien sie nach dem Absenden auch nicht im "Senden"-Ordner vorhanden.

Neue Kommunikationskanäle sollen Vertraulichkeit garantieren

Das Projekt möchte mit alternativen Kommunikationskanälen auf die Vorkommnisse reagieren, um künftig eine reibungslose private Kommunikation zwischen den Parteien zu ermöglichen.

Golem Karrierewelt
  1. Deep-Dive Kubernetes – Observability, Monitoring & Alerting: virtueller Ein-Tages-Workshop
    22.09.2022, Virtuell
  2. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
Weitere IT-Trainings

Nach Beginn der NSA-Enthüllungen hatten mehrere Individuen ein Audit für Truecrypt per Crowdfunding finanziert, bei dem aber keine schwerwiegenden Sicherheitslücken gefunden wurden. Ein Audit ist aber keine Garantie: Später wurden mehrere Schwachstellen in den Windows-Treibern von Truecrypt gefunden.

Das Truecrypt-Team hatte die Entwicklung der Software im Jahr 2014 ohne Vorankündigung eingestellt, die Hintergründe sind bis heute unklar. Es gibt mehrere Forks des ursprünglichen Projektes, von denen Veracrypt die größte Verbreitung hat. Veracrypt wird von dem Franzosen Mounir Idrassi entwickelt. Idrassi will nicht nur Sicherheitslücken schließen, sondern auch neue Features hinzufügen, etwa die Unterstützung von UEFI und Secure Boot für Full-Disk-Encryption.

Ostif ist eine neue Initiative, die Bug-Bountys für Open-Source-Projekte zahlen und Audits für weitere Software durchführen will. Dahinter stehen Derek Zimmer, Mitgründer von VikingVPN, der Entwickler und IT-Auditor Amir Montazery und Zachary Graves.

Nachtrag vom 17. August 2016, 17:35 Uhr

Fred Raynal, CEO und Gründer von Quarkslab, hat die Mitteilung von Ostif mittlerweile kritisiert. Er sagte: "Ich denke, die Veröffentlichung war ein Fehler. Ich habe eine Nachricht verloren, die ich an Mounir Idrassi und Derek Zimmer geschickt habe. Diese hatten vorher dreimal ähnliche Probleme. Dann hat Derek das Statement herausgegeben, und er hätte das wirklich nicht tun sollen. Ich denke, dass auf meinem Rechner ein lokales Problem zwischen Mail.app und GPGMail vorliegt."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Rulf 31. Aug 2016

ich checke nur sporadisch... wer dringend etwas braucht, kann ja anrufen...

Neuro-Chef 17. Aug 2016

"Abends Rad fahren und dann Delphin in Joghurt-Sauce genießen hat bis auf Weiteres...

Anonymer Nutzer 16. Aug 2016

Der Unterschied ist, dass der Hersteller der Anwaltssoftware dem Berufsrecht...

dmark 16. Aug 2016

Das mit dem unterdrückten STARTTLS war so 2013/14 rum. Der Vollständigkeit halber: Vor...



Aktuell auf der Startseite von Golem.de
Microsoft
Exchange Server von gut versteckter Hintertür betroffen

Sicherheitsforscher haben eine Backdoor gefunden, die zuvor gehackte Exchange-Server seit 15 Monaten zugänglich hält.

Microsoft: Exchange Server von gut versteckter Hintertür betroffen
Artikel
  1. Ayn Loki Zero: Dieses PC-Handheld kostet nur 200 US-Dollar
    Ayn Loki Zero
    Dieses PC-Handheld kostet nur 200 US-Dollar

    Es ist das bisher günstigste Modell in einer Reihe von vielen: Der Loki Zero mit 6-Zoll-Display nutzt einen Athlon-Prozessor mit Vega-Grafik.

  2. US-Streaming: Immer mehr Netflix-Abonnenten kündigen nach einem Monat
    US-Streaming
    Immer mehr Netflix-Abonnenten kündigen nach einem Monat

    Netflix hat zunehmend Probleme, neue Abonnenten zu halten. Der Anteil an Neukunden, die nach einem Monat wieder kündigen, steigt.

  3. Ducati V21L: Ducatis elektrische Rennmaschine schafft 275 km/h
    Ducati V21L
    Ducatis elektrische Rennmaschine schafft 275 km/h

    Ducati testet seit einem halben Jahr ein Elektromotorrad für den Rennsport. Der italienische Hersteller nennt Details zu Leistung und Einsatz.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gigabyte RX 6800 679€ • Samsung SSD 2TB (PS5-komp.) 249,90€ • MindStar (Zotac RTX 3090 1.399€) • Top-Spiele-PC mit AMD Ryzen 7 RTX 3070 Ti 32GB 1.700€ • Nanoleaf günstiger • Alternate (TeamGroup DDR4-3600 16GB 49,99€) Switch OLED günstig wie nie: 333€ [Werbung]
    •  /