Abo
  • Services:

Truecrypt-Nachfolger: Veracrypt-Audit findet schwerwiegende Sicherheitslücken

Der Truecrypt-Fork Veracrypt wurde einem Security-Audit unterzogen. Dabei zeigten sich eine ganze Reihe von Sicherheitslücken in der Verschlüsselungssoftware. Beispielsweise eine uralte zlib-Version von 1998 und eine fehlerhafte Verwendung eines russischen Verschlüsselungsalgorithmus.

Artikel veröffentlicht am , Hanno Böck
Ein Audit des Veracrypt-Codes fand einige schwerwiegende Sicherheitslücken.
Ein Audit des Veracrypt-Codes fand einige schwerwiegende Sicherheitslücken. (Bild: Veracrypt)

Viel Arbeit für die Entwickler von Veracrypt: Bei einem Security-Audit der Firma Quarkslab fanden sich eine ganze Reihe von Sicherheitslücken. Veracrypt ist ein Fork des Programms Truecrypt, dessen Entwicklung unter ungeklärten Umständen eingestellt wurde.

Stellenmarkt
  1. über duerenhoff GmbH, Schwäbisch Hall
  2. FTI Ticketshop GmbH, München

Der Audit betrachtete zunächst die früheren Audits des Veracrypt-Vorgängers Truecrypt, die vom Open Crypto Audit Project durchgeführt wurden. Auch Googles Project Zero hatte einige Sicherheitslücken in Truecrypt gefunden. Anschließend konzentrierte sich der Audit jedoch vor allem auf die Teile des Codes, die nach dem Fork von Truecrypt neu hinzugefügt wurden: den UEFI-Bootloader und neue Verschlüsselungsalgorithmen.

Uralter zlib-Code

Drei besonders problematische Fehler werden in dem Bericht hervorgehoben: zahlreiche Probleme mit den Kompressionsbibliotheken, mehrere Probleme mit Passwörtern und eine fehlerhafte Verwendung einer 64-Bit-Blockverschlüsselung.

Veracrypt enthält mehrere Kopien der Bibliothek zlib, die alle nicht mehr aktuell sind. Truecrypt nutzte bereits einen Fork der inflate-Funktion von zlib aus dem Jahr 2007. Besonders problematisch ist jedoch eine weitere Kopie dieser Funktion, die von zwei Tools namens Xzip und XUnZip stammt. Diese ist von 1998 und damit verwundbar für zahlreiche Sicherheitslücken, die in der Zwischenzeit in zlib gefunden wurden. Der Bericht verweist etwa auf eine Double-Free-Lücke aus dem Jahr 2002. zlib wurde erst vor kurzem im Rahmen des Mozilla Open Source Security Programms auditiert, in der aktuellen Version wurden dabei keine kritischen Lücken gefunden.

Auch der Code von Xzip und XUnZip selbst hat laut Quarkslab offensichtliche Sicherheitslücken. Veracrypt hat den Code von XZvip und XUnZip inzwischen entfernt und durch die Bibliothek libzip ersetzt. Dabei stellt sich natürlich die Frage, wie sicher libzip ist. Der Autor dieses Artikels fand innerhalb von wenigen Minuten einen Use-After-Free-Bug in einem bei libzip mitgelieferten Tool. Dieser Bug betrifft allerdings nur die Command-Line-Version von libzip und nicht die Bibliothek selbst. Trotzdem deutet das wohl darauf hin, dass libzip möglichst auch einem Audit unterzogen werden sollte.

Passwörter werden nicht korrekt aus dem Speicher gelöscht

Im Bootloader-Code bemängelt der Audit, dass der Speicher für Passwörter nicht korrekt überschrieben wird. Zwei unterschiedliche kritische Bugs werden dabei bemängelt: Im UEFI-Code werden Tastaturanschläge im Speicher gehalten. Der entsprechende Speicherbereich wird nicht überschrieben, was dazu führen kann, dass dieser später ausgelesen wird. Allerdings weisen die Auditoren auch darauf hin, dass es im Rahmen eines derartigen UEFI-Treibers offensichtlich keine hundertprozentig zuverlässige Möglichkeit gibt, diesen Speicher zu überschreiben.

Im älteren BIOS-Bootloader ist es möglich, dass später ausgeführter Code die Länge eines Passworts herausfindet. Zwar wird der Speicherbereich des Passworts selbst überschrieben, aber ein Pointer sowohl auf den Beginn als auch auf das Ende des Passworts verbleibt im Speicher.

GOST-Algorithmus mit 64 Bit

Die Veracrypt-Entwickler haben dem Code eine Reihe von neuen Algorithmen hinzugefügt, darunter den in Japan entwickelten Camellia-Algorithmus und eine ganze Reihe von Algorithmen aus den russischen GOST-Standards.

Der Audit bemängelt die Nutzung des Algorithmus GOST 28147-89 im Zusammenhang mit dem XTS-Modus. Dabei handelt es sich um eine Blockverschlüsselung mit einer Blockgröße von 64 Bit. XTS ist aber nur bei Algorithmen mit einer Blockgröße von 128 Bit sicher. Schwächen von 64-Bit-Blockverschlüsselungsalgorithmen waren auch die Grundlage des kürzlich publizierten Sweet32-Angriffs gegen TLS.

Der Algorithmus wurde aus der neuen Veracrypt-Version entfernt, damit verschlüsselte Container lassen sich jedoch weiterhin lesen.

Nicht alle Empfehlungen aus OCAP-Audit umgesetzt

Ausführlich geht der Quarkslab-Audit auch auf frühere Analysen des Truecrypt-Codes ein. Das Open Crypto Audit Project (OCAP) hatte den Code von Truecrypt ausführlich untersuchen lassen. Außerdem hatte James Forshaw von Googles Project Zero mehrere Lücken in Truecrypt gefunden.

Die schwerwiegenderen Probleme aus diesen Audits wurden in Veracrypt behoben, einige kleinere Probleme blieben jedoch bestehen. So wurde beispielsweise im OCAP-Audit festgestellt, dass der AES-Code von Truecrypt vermutlich Timing-Sidechannels hat. Behoben wurde dieses Problem nicht. Allerdings ist es laut dem Quarkslab-Audit eher unwarscheinlich, dass ein Angreifer hier eine Möglichkeit hat, diese auszunutzen.

Um den Audit von Quarkslab hatte es vorab einigen Wirbel gegeben. Die Initiative Ostif, die den Audit in Auftrag gegeben hat, hatte berichtet, dass E-Mails im Zusammenhang mit dem Audit aus unerklärlichen Gründen verschwunden waren. Allerdings handelte es sich dabei wohl nicht um einen unerklärbaren Angriff, sondern lediglich um eine Fehlkonfiguration im Mailprogramm.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. 5€ inkl. FSK-18-Versand
  3. 5€ inkl. FSK-18-Versand

Ferrum 23. Okt 2016

Hab es mittlerweile auch selbst herausgefunden. Es liegt tatsächlich am Passwort-Caching...

throgh 22. Okt 2016

Kleine Anmerkung noch, Berner: Du schlägst übrigens in die gleiche Kerbe wie einige...

throgh 21. Okt 2016

No problemo! :) Vielen Dank für das Feedback.

Wallbreaker 21. Okt 2016

Wozu sicher löschen, wenn man dem Problem gänzlich aus dem Weg gehen kann. Einfach jede...

Wallbreaker 21. Okt 2016

Das unter Linux ansässige dm-crypt/LUKS ist ausserordentlich valide.


Folgen Sie uns
       


LG V40 ThinQ - Test

Das V40 Thinq ist LGs jüngstes Top-Smartphone, das mit drei Kameras auf der Rückseite und zwei auf der Vorderseite in den Handel kommt.

LG V40 ThinQ - Test Video aufrufen
Raspberry Pi: Spieglein, Spieglein, werde smart!
Raspberry Pi
Spieglein, Spieglein, werde smart!

Ein Spiegel, ein ausrangierter Monitor und ein Raspberry Pi sind die grundlegenden Bauteile, mit denen man sich selbst einen Smart Mirror basteln kann. Je nach Interesse können dort dann das Wetter, Fahrpläne, Nachrichten oder auch stimmungsvolle Bilder angezeigt werden.
Eine Anleitung von Christopher Bichl

  1. IoT mit LoRa und Raspberry Pi Die DNA des Internet der Dinge
  2. Bewegungssensor auswerten Mit Wackeln programmieren lernen
  3. Raspberry Pi Cam Babycam mit wenig Aufwand selbst bauen

Ottobock: Wie ein Exoskelett die Arbeit erleichtert
Ottobock
Wie ein Exoskelett die Arbeit erleichtert

Es verleiht zwar keine Superkräfte. Bei der Arbeit in unbequemer Haltung zum Beispiel mit dem Akkuschrauber unterstützt das Exoskelett Paexo von Ottobock aber gut, wie wir herausgefunden haben. Exoskelette mit aktiver Unterstützung sind in der Entwicklung.
Ein Erfahrungsbericht von Werner Pluta


    Tesla: Kleiner Gewinn, ungewisse Zukunft
    Tesla
    Kleiner Gewinn, ungewisse Zukunft

    Tesla erzielt im vierten Quartal 2018 einen kleinen Gewinn. Doch mit Entlassungen, Schuldenberg, Preisanhebungen beim Laden, Wegfall des Empfehlungsprogramms und zunehmendem Wettbewerb durch andere Hersteller sieht die Zukunft des Elektroauto-Herstellers durchwachsen aus.
    Eine Analyse von Dirk Kunde

    1. Tesla Model 3 Tesla macht alle Varianten des Model 3 günstiger
    2. Kundenprotest Tesla senkt Supercharger-Preise wieder
    3. Stromladetankstellen Tesla erhöht Supercharger-Preise drastisch

      •  /