Abo
  • Services:
Anzeige
Ein Audit des Veracrypt-Codes fand einige schwerwiegende Sicherheitslücken.
Ein Audit des Veracrypt-Codes fand einige schwerwiegende Sicherheitslücken. (Bild: Veracrypt)

Truecrypt-Nachfolger: Veracrypt-Audit findet schwerwiegende Sicherheitslücken

Ein Audit des Veracrypt-Codes fand einige schwerwiegende Sicherheitslücken.
Ein Audit des Veracrypt-Codes fand einige schwerwiegende Sicherheitslücken. (Bild: Veracrypt)

Der Truecrypt-Fork Veracrypt wurde einem Security-Audit unterzogen. Dabei zeigten sich eine ganze Reihe von Sicherheitslücken in der Verschlüsselungssoftware. Beispielsweise eine uralte zlib-Version von 1998 und eine fehlerhafte Verwendung eines russischen Verschlüsselungsalgorithmus.

Viel Arbeit für die Entwickler von Veracrypt: Bei einem Security-Audit der Firma Quarkslab fanden sich eine ganze Reihe von Sicherheitslücken. Veracrypt ist ein Fork des Programms Truecrypt, dessen Entwicklung unter ungeklärten Umständen eingestellt wurde.

Anzeige

Der Audit betrachtete zunächst die früheren Audits des Veracrypt-Vorgängers Truecrypt, die vom Open Crypto Audit Project durchgeführt wurden. Auch Googles Project Zero hatte einige Sicherheitslücken in Truecrypt gefunden. Anschließend konzentrierte sich der Audit jedoch vor allem auf die Teile des Codes, die nach dem Fork von Truecrypt neu hinzugefügt wurden: den UEFI-Bootloader und neue Verschlüsselungsalgorithmen.

Uralter zlib-Code

Drei besonders problematische Fehler werden in dem Bericht hervorgehoben: zahlreiche Probleme mit den Kompressionsbibliotheken, mehrere Probleme mit Passwörtern und eine fehlerhafte Verwendung einer 64-Bit-Blockverschlüsselung.

Veracrypt enthält mehrere Kopien der Bibliothek zlib, die alle nicht mehr aktuell sind. Truecrypt nutzte bereits einen Fork der inflate-Funktion von zlib aus dem Jahr 2007. Besonders problematisch ist jedoch eine weitere Kopie dieser Funktion, die von zwei Tools namens Xzip und XUnZip stammt. Diese ist von 1998 und damit verwundbar für zahlreiche Sicherheitslücken, die in der Zwischenzeit in zlib gefunden wurden. Der Bericht verweist etwa auf eine Double-Free-Lücke aus dem Jahr 2002. zlib wurde erst vor kurzem im Rahmen des Mozilla Open Source Security Programms auditiert, in der aktuellen Version wurden dabei keine kritischen Lücken gefunden.

Auch der Code von Xzip und XUnZip selbst hat laut Quarkslab offensichtliche Sicherheitslücken. Veracrypt hat den Code von XZvip und XUnZip inzwischen entfernt und durch die Bibliothek libzip ersetzt. Dabei stellt sich natürlich die Frage, wie sicher libzip ist. Der Autor dieses Artikels fand innerhalb von wenigen Minuten einen Use-After-Free-Bug in einem bei libzip mitgelieferten Tool. Dieser Bug betrifft allerdings nur die Command-Line-Version von libzip und nicht die Bibliothek selbst. Trotzdem deutet das wohl darauf hin, dass libzip möglichst auch einem Audit unterzogen werden sollte.

Passwörter werden nicht korrekt aus dem Speicher gelöscht

Im Bootloader-Code bemängelt der Audit, dass der Speicher für Passwörter nicht korrekt überschrieben wird. Zwei unterschiedliche kritische Bugs werden dabei bemängelt: Im UEFI-Code werden Tastaturanschläge im Speicher gehalten. Der entsprechende Speicherbereich wird nicht überschrieben, was dazu führen kann, dass dieser später ausgelesen wird. Allerdings weisen die Auditoren auch darauf hin, dass es im Rahmen eines derartigen UEFI-Treibers offensichtlich keine hundertprozentig zuverlässige Möglichkeit gibt, diesen Speicher zu überschreiben.

Im älteren BIOS-Bootloader ist es möglich, dass später ausgeführter Code die Länge eines Passworts herausfindet. Zwar wird der Speicherbereich des Passworts selbst überschrieben, aber ein Pointer sowohl auf den Beginn als auch auf das Ende des Passworts verbleibt im Speicher.

GOST-Algorithmus mit 64 Bit

Die Veracrypt-Entwickler haben dem Code eine Reihe von neuen Algorithmen hinzugefügt, darunter den in Japan entwickelten Camellia-Algorithmus und eine ganze Reihe von Algorithmen aus den russischen GOST-Standards.

Der Audit bemängelt die Nutzung des Algorithmus GOST 28147-89 im Zusammenhang mit dem XTS-Modus. Dabei handelt es sich um eine Blockverschlüsselung mit einer Blockgröße von 64 Bit. XTS ist aber nur bei Algorithmen mit einer Blockgröße von 128 Bit sicher. Schwächen von 64-Bit-Blockverschlüsselungsalgorithmen waren auch die Grundlage des kürzlich publizierten Sweet32-Angriffs gegen TLS.

Der Algorithmus wurde aus der neuen Veracrypt-Version entfernt, damit verschlüsselte Container lassen sich jedoch weiterhin lesen.

Nicht alle Empfehlungen aus OCAP-Audit umgesetzt

Ausführlich geht der Quarkslab-Audit auch auf frühere Analysen des Truecrypt-Codes ein. Das Open Crypto Audit Project (OCAP) hatte den Code von Truecrypt ausführlich untersuchen lassen. Außerdem hatte James Forshaw von Googles Project Zero mehrere Lücken in Truecrypt gefunden.

Die schwerwiegenderen Probleme aus diesen Audits wurden in Veracrypt behoben, einige kleinere Probleme blieben jedoch bestehen. So wurde beispielsweise im OCAP-Audit festgestellt, dass der AES-Code von Truecrypt vermutlich Timing-Sidechannels hat. Behoben wurde dieses Problem nicht. Allerdings ist es laut dem Quarkslab-Audit eher unwarscheinlich, dass ein Angreifer hier eine Möglichkeit hat, diese auszunutzen.

Um den Audit von Quarkslab hatte es vorab einigen Wirbel gegeben. Die Initiative Ostif, die den Audit in Auftrag gegeben hat, hatte berichtet, dass E-Mails im Zusammenhang mit dem Audit aus unerklärlichen Gründen verschwunden waren. Allerdings handelte es sich dabei wohl nicht um einen unerklärbaren Angriff, sondern lediglich um eine Fehlkonfiguration im Mailprogramm.


eye home zur Startseite
Ferrum 23. Okt 2016

Hab es mittlerweile auch selbst herausgefunden. Es liegt tatsächlich am Passwort-Caching...

throgh 22. Okt 2016

Kleine Anmerkung noch, Berner: Du schlägst übrigens in die gleiche Kerbe wie einige...

throgh 21. Okt 2016

No problemo! :) Vielen Dank für das Feedback.

Wallbreaker 21. Okt 2016

Wozu sicher löschen, wenn man dem Problem gänzlich aus dem Weg gehen kann. Einfach jede...

Wallbreaker 21. Okt 2016

Das unter Linux ansässige dm-crypt/LUKS ist ausserordentlich valide.



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Vaihingen
  2. byon gmbh, Frankfurt am Main
  3. AOK Systems GmbH, Bonn
  4. engram GmbH, Bremen


Anzeige
Hardware-Angebote
  1. 6,99€
  2. ab 179,99€
  3. 229,99€

Folgen Sie uns
       


  1. Elektrorennwagen

    VW will elektrisch auf den Pikes Peak

  2. Messung

    Über 23.000 Funklöcher in Brandenburg

  3. Star Wars Battlefront 2 Angespielt

    Sternenkrieger-Kampagne rund um den Todesstern

  4. Nach Wahlniederlage

    Netzpolitiker Klingbeil soll SPD-Generalsekrektär werden

  5. Adasky

    Autonome Autos sollen im Infrarot-Bereich sehen

  6. Münsterland

    Deutsche Glasfaser baut weiter in Nordrhein-Westfalen aus

  7. Infineon

    BSI zertifiziert unsichere Verschlüsselung

  8. R-PHY- und R-MACPHY

    Kabelnetzbetreiber müssen sich nicht mehr festlegen

  9. ePrivacy-Verordnung

    Ausschuss votiert für Tracking-Schutz und Verschlüsselung

  10. Lifetab X10605 und X10607

    LTE-Tablets direkt bei Medion bestellen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

  1. Re: Sollten lieber den Desktop komplett an MacOS...

    der_wahre_hannes | 21:51

  2. Re: Wenn man dem System Linux schaden wöllte,

    der_wahre_hannes | 21:49

  3. Re: Grundrecht auf 50/10 Mbit "Garantieren"

    bombinho | 21:36

  4. Re: 400-650g R1234yf pro Fahrzeug

    picaschaf | 21:26

  5. Re: Oder für den "Airbag" für die Batterie ?

    picaschaf | 21:25


  1. 18:37

  2. 18:18

  3. 18:03

  4. 17:50

  5. 17:35

  6. 17:20

  7. 17:05

  8. 15:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel