• IT-Karriere:
  • Services:

Truecrypt-Nachfolger: Veracrypt-Audit findet schwerwiegende Sicherheitslücken

Der Truecrypt-Fork Veracrypt wurde einem Security-Audit unterzogen. Dabei zeigten sich eine ganze Reihe von Sicherheitslücken in der Verschlüsselungssoftware. Beispielsweise eine uralte zlib-Version von 1998 und eine fehlerhafte Verwendung eines russischen Verschlüsselungsalgorithmus.

Artikel veröffentlicht am , Hanno Böck
Ein Audit des Veracrypt-Codes fand einige schwerwiegende Sicherheitslücken.
Ein Audit des Veracrypt-Codes fand einige schwerwiegende Sicherheitslücken. (Bild: Veracrypt)

Viel Arbeit für die Entwickler von Veracrypt: Bei einem Security-Audit der Firma Quarkslab fanden sich eine ganze Reihe von Sicherheitslücken. Veracrypt ist ein Fork des Programms Truecrypt, dessen Entwicklung unter ungeklärten Umständen eingestellt wurde.

Stellenmarkt
  1. WILO SE, Dortmund
  2. Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Bonn

Der Audit betrachtete zunächst die früheren Audits des Veracrypt-Vorgängers Truecrypt, die vom Open Crypto Audit Project durchgeführt wurden. Auch Googles Project Zero hatte einige Sicherheitslücken in Truecrypt gefunden. Anschließend konzentrierte sich der Audit jedoch vor allem auf die Teile des Codes, die nach dem Fork von Truecrypt neu hinzugefügt wurden: den UEFI-Bootloader und neue Verschlüsselungsalgorithmen.

Uralter zlib-Code

Drei besonders problematische Fehler werden in dem Bericht hervorgehoben: zahlreiche Probleme mit den Kompressionsbibliotheken, mehrere Probleme mit Passwörtern und eine fehlerhafte Verwendung einer 64-Bit-Blockverschlüsselung.

Veracrypt enthält mehrere Kopien der Bibliothek zlib, die alle nicht mehr aktuell sind. Truecrypt nutzte bereits einen Fork der inflate-Funktion von zlib aus dem Jahr 2007. Besonders problematisch ist jedoch eine weitere Kopie dieser Funktion, die von zwei Tools namens Xzip und XUnZip stammt. Diese ist von 1998 und damit verwundbar für zahlreiche Sicherheitslücken, die in der Zwischenzeit in zlib gefunden wurden. Der Bericht verweist etwa auf eine Double-Free-Lücke aus dem Jahr 2002. zlib wurde erst vor kurzem im Rahmen des Mozilla Open Source Security Programms auditiert, in der aktuellen Version wurden dabei keine kritischen Lücken gefunden.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Auch der Code von Xzip und XUnZip selbst hat laut Quarkslab offensichtliche Sicherheitslücken. Veracrypt hat den Code von XZvip und XUnZip inzwischen entfernt und durch die Bibliothek libzip ersetzt. Dabei stellt sich natürlich die Frage, wie sicher libzip ist. Der Autor dieses Artikels fand innerhalb von wenigen Minuten einen Use-After-Free-Bug in einem bei libzip mitgelieferten Tool. Dieser Bug betrifft allerdings nur die Command-Line-Version von libzip und nicht die Bibliothek selbst. Trotzdem deutet das wohl darauf hin, dass libzip möglichst auch einem Audit unterzogen werden sollte.

Passwörter werden nicht korrekt aus dem Speicher gelöscht

Im Bootloader-Code bemängelt der Audit, dass der Speicher für Passwörter nicht korrekt überschrieben wird. Zwei unterschiedliche kritische Bugs werden dabei bemängelt: Im UEFI-Code werden Tastaturanschläge im Speicher gehalten. Der entsprechende Speicherbereich wird nicht überschrieben, was dazu führen kann, dass dieser später ausgelesen wird. Allerdings weisen die Auditoren auch darauf hin, dass es im Rahmen eines derartigen UEFI-Treibers offensichtlich keine hundertprozentig zuverlässige Möglichkeit gibt, diesen Speicher zu überschreiben.

Im älteren BIOS-Bootloader ist es möglich, dass später ausgeführter Code die Länge eines Passworts herausfindet. Zwar wird der Speicherbereich des Passworts selbst überschrieben, aber ein Pointer sowohl auf den Beginn als auch auf das Ende des Passworts verbleibt im Speicher.

GOST-Algorithmus mit 64 Bit

Die Veracrypt-Entwickler haben dem Code eine Reihe von neuen Algorithmen hinzugefügt, darunter den in Japan entwickelten Camellia-Algorithmus und eine ganze Reihe von Algorithmen aus den russischen GOST-Standards.

Der Audit bemängelt die Nutzung des Algorithmus GOST 28147-89 im Zusammenhang mit dem XTS-Modus. Dabei handelt es sich um eine Blockverschlüsselung mit einer Blockgröße von 64 Bit. XTS ist aber nur bei Algorithmen mit einer Blockgröße von 128 Bit sicher. Schwächen von 64-Bit-Blockverschlüsselungsalgorithmen waren auch die Grundlage des kürzlich publizierten Sweet32-Angriffs gegen TLS.

Der Algorithmus wurde aus der neuen Veracrypt-Version entfernt, damit verschlüsselte Container lassen sich jedoch weiterhin lesen.

Nicht alle Empfehlungen aus OCAP-Audit umgesetzt

Ausführlich geht der Quarkslab-Audit auch auf frühere Analysen des Truecrypt-Codes ein. Das Open Crypto Audit Project (OCAP) hatte den Code von Truecrypt ausführlich untersuchen lassen. Außerdem hatte James Forshaw von Googles Project Zero mehrere Lücken in Truecrypt gefunden.

Die schwerwiegenderen Probleme aus diesen Audits wurden in Veracrypt behoben, einige kleinere Probleme blieben jedoch bestehen. So wurde beispielsweise im OCAP-Audit festgestellt, dass der AES-Code von Truecrypt vermutlich Timing-Sidechannels hat. Behoben wurde dieses Problem nicht. Allerdings ist es laut dem Quarkslab-Audit eher unwarscheinlich, dass ein Angreifer hier eine Möglichkeit hat, diese auszunutzen.

Um den Audit von Quarkslab hatte es vorab einigen Wirbel gegeben. Die Initiative Ostif, die den Audit in Auftrag gegeben hat, hatte berichtet, dass E-Mails im Zusammenhang mit dem Audit aus unerklärlichen Gründen verschwunden waren. Allerdings handelte es sich dabei wohl nicht um einen unerklärbaren Angriff, sondern lediglich um eine Fehlkonfiguration im Mailprogramm.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 8,75€
  2. gratis (bis 22.04.)
  3. 4,25
  4. 4,49€

Ferrum 23. Okt 2016

Hab es mittlerweile auch selbst herausgefunden. Es liegt tatsächlich am Passwort-Caching...

throgh 22. Okt 2016

Kleine Anmerkung noch, Berner: Du schlägst übrigens in die gleiche Kerbe wie einige...

throgh 21. Okt 2016

No problemo! :) Vielen Dank für das Feedback.

Wallbreaker 21. Okt 2016

Wozu sicher löschen, wenn man dem Problem gänzlich aus dem Weg gehen kann. Einfach jede...

Wallbreaker 21. Okt 2016

Das unter Linux ansässige dm-crypt/LUKS ist ausserordentlich valide.


Folgen Sie uns
       


Der Konsolen-PC - Fazit

Seit es AMDs RDNA-2-Grafikkarten gibt, kann eine Next-Gen-Konsole leicht nachgebaut werden. Wir schauen, was es dazu braucht und ob der Konsolen-PC etwas taugt.

Der Konsolen-PC - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /