Abo
  • IT-Karriere:

Truecrypt-Nachfolger: Veracrypt-Audit findet schwerwiegende Sicherheitslücken

Der Truecrypt-Fork Veracrypt wurde einem Security-Audit unterzogen. Dabei zeigten sich eine ganze Reihe von Sicherheitslücken in der Verschlüsselungssoftware. Beispielsweise eine uralte zlib-Version von 1998 und eine fehlerhafte Verwendung eines russischen Verschlüsselungsalgorithmus.

Artikel veröffentlicht am , Hanno Böck
Ein Audit des Veracrypt-Codes fand einige schwerwiegende Sicherheitslücken.
Ein Audit des Veracrypt-Codes fand einige schwerwiegende Sicherheitslücken. (Bild: Veracrypt)

Viel Arbeit für die Entwickler von Veracrypt: Bei einem Security-Audit der Firma Quarkslab fanden sich eine ganze Reihe von Sicherheitslücken. Veracrypt ist ein Fork des Programms Truecrypt, dessen Entwicklung unter ungeklärten Umständen eingestellt wurde.

Stellenmarkt
  1. DATAGROUP Köln GmbH, Köln, Wuppertal
  2. PAUL HARTMANN AG, Heidenheim an der Brenz

Der Audit betrachtete zunächst die früheren Audits des Veracrypt-Vorgängers Truecrypt, die vom Open Crypto Audit Project durchgeführt wurden. Auch Googles Project Zero hatte einige Sicherheitslücken in Truecrypt gefunden. Anschließend konzentrierte sich der Audit jedoch vor allem auf die Teile des Codes, die nach dem Fork von Truecrypt neu hinzugefügt wurden: den UEFI-Bootloader und neue Verschlüsselungsalgorithmen.

Uralter zlib-Code

Drei besonders problematische Fehler werden in dem Bericht hervorgehoben: zahlreiche Probleme mit den Kompressionsbibliotheken, mehrere Probleme mit Passwörtern und eine fehlerhafte Verwendung einer 64-Bit-Blockverschlüsselung.

Veracrypt enthält mehrere Kopien der Bibliothek zlib, die alle nicht mehr aktuell sind. Truecrypt nutzte bereits einen Fork der inflate-Funktion von zlib aus dem Jahr 2007. Besonders problematisch ist jedoch eine weitere Kopie dieser Funktion, die von zwei Tools namens Xzip und XUnZip stammt. Diese ist von 1998 und damit verwundbar für zahlreiche Sicherheitslücken, die in der Zwischenzeit in zlib gefunden wurden. Der Bericht verweist etwa auf eine Double-Free-Lücke aus dem Jahr 2002. zlib wurde erst vor kurzem im Rahmen des Mozilla Open Source Security Programms auditiert, in der aktuellen Version wurden dabei keine kritischen Lücken gefunden.

Auch der Code von Xzip und XUnZip selbst hat laut Quarkslab offensichtliche Sicherheitslücken. Veracrypt hat den Code von XZvip und XUnZip inzwischen entfernt und durch die Bibliothek libzip ersetzt. Dabei stellt sich natürlich die Frage, wie sicher libzip ist. Der Autor dieses Artikels fand innerhalb von wenigen Minuten einen Use-After-Free-Bug in einem bei libzip mitgelieferten Tool. Dieser Bug betrifft allerdings nur die Command-Line-Version von libzip und nicht die Bibliothek selbst. Trotzdem deutet das wohl darauf hin, dass libzip möglichst auch einem Audit unterzogen werden sollte.

Passwörter werden nicht korrekt aus dem Speicher gelöscht

Im Bootloader-Code bemängelt der Audit, dass der Speicher für Passwörter nicht korrekt überschrieben wird. Zwei unterschiedliche kritische Bugs werden dabei bemängelt: Im UEFI-Code werden Tastaturanschläge im Speicher gehalten. Der entsprechende Speicherbereich wird nicht überschrieben, was dazu führen kann, dass dieser später ausgelesen wird. Allerdings weisen die Auditoren auch darauf hin, dass es im Rahmen eines derartigen UEFI-Treibers offensichtlich keine hundertprozentig zuverlässige Möglichkeit gibt, diesen Speicher zu überschreiben.

Im älteren BIOS-Bootloader ist es möglich, dass später ausgeführter Code die Länge eines Passworts herausfindet. Zwar wird der Speicherbereich des Passworts selbst überschrieben, aber ein Pointer sowohl auf den Beginn als auch auf das Ende des Passworts verbleibt im Speicher.

GOST-Algorithmus mit 64 Bit

Die Veracrypt-Entwickler haben dem Code eine Reihe von neuen Algorithmen hinzugefügt, darunter den in Japan entwickelten Camellia-Algorithmus und eine ganze Reihe von Algorithmen aus den russischen GOST-Standards.

Der Audit bemängelt die Nutzung des Algorithmus GOST 28147-89 im Zusammenhang mit dem XTS-Modus. Dabei handelt es sich um eine Blockverschlüsselung mit einer Blockgröße von 64 Bit. XTS ist aber nur bei Algorithmen mit einer Blockgröße von 128 Bit sicher. Schwächen von 64-Bit-Blockverschlüsselungsalgorithmen waren auch die Grundlage des kürzlich publizierten Sweet32-Angriffs gegen TLS.

Der Algorithmus wurde aus der neuen Veracrypt-Version entfernt, damit verschlüsselte Container lassen sich jedoch weiterhin lesen.

Nicht alle Empfehlungen aus OCAP-Audit umgesetzt

Ausführlich geht der Quarkslab-Audit auch auf frühere Analysen des Truecrypt-Codes ein. Das Open Crypto Audit Project (OCAP) hatte den Code von Truecrypt ausführlich untersuchen lassen. Außerdem hatte James Forshaw von Googles Project Zero mehrere Lücken in Truecrypt gefunden.

Die schwerwiegenderen Probleme aus diesen Audits wurden in Veracrypt behoben, einige kleinere Probleme blieben jedoch bestehen. So wurde beispielsweise im OCAP-Audit festgestellt, dass der AES-Code von Truecrypt vermutlich Timing-Sidechannels hat. Behoben wurde dieses Problem nicht. Allerdings ist es laut dem Quarkslab-Audit eher unwarscheinlich, dass ein Angreifer hier eine Möglichkeit hat, diese auszunutzen.

Um den Audit von Quarkslab hatte es vorab einigen Wirbel gegeben. Die Initiative Ostif, die den Audit in Auftrag gegeben hat, hatte berichtet, dass E-Mails im Zusammenhang mit dem Audit aus unerklärlichen Gründen verschwunden waren. Allerdings handelte es sich dabei wohl nicht um einen unerklärbaren Angriff, sondern lediglich um eine Fehlkonfiguration im Mailprogramm.



Anzeige
Top-Angebote
  1. (Gutscheincode MSPC50) Alternate.de
  2. (u. a. Seagate Backup Plus Hub 8 TB für 149,00€, Toshiba 240-GB-SSD für 29,00€, Sandisk...
  3. 135,00€ (Bestpreis!)
  4. (u. a. The Elder Scrolls Online: Elsweyr für 15,99€, Diablo 3 Battlechest für 17,49€, Iratus...

Ferrum 23. Okt 2016

Hab es mittlerweile auch selbst herausgefunden. Es liegt tatsächlich am Passwort-Caching...

throgh 22. Okt 2016

Kleine Anmerkung noch, Berner: Du schlägst übrigens in die gleiche Kerbe wie einige...

throgh 21. Okt 2016

No problemo! :) Vielen Dank für das Feedback.

Wallbreaker 21. Okt 2016

Wozu sicher löschen, wenn man dem Problem gänzlich aus dem Weg gehen kann. Einfach jede...

Wallbreaker 21. Okt 2016

Das unter Linux ansässige dm-crypt/LUKS ist ausserordentlich valide.


Folgen Sie uns
       


Sony Xperia 1 - Test

Das Xperia 1 eignet sich dank seines breiten OLED-Displays hervorragend zum Filmeschauen. Im Test zeigt Sonys neues Smartphone aber noch weitere Stärken.

Sony Xperia 1 - Test Video aufrufen
Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energie Wo die Wasserstoffqualität getestet wird
  3. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen

IT-Arbeitsmarkt: Jobgarantie gibt es nie
IT-Arbeitsmarkt
Jobgarantie gibt es nie

Deutsche Unternehmen stellen weniger ein und entlassen mehr. Es ist zwar Jammern auf hohem Niveau, aber Fakt ist: Die Konjunktur lässt nach, was Arbeitsplätze gefährdet. Auch die von IT-Experten, die überall gesucht werden?
Ein Bericht von Peter Ilg

  1. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  2. IT-Fachkräftemangel Arbeit ohne Ende
  3. IT-Forensikerin Beweise sichern im Faradayschen Käfig

Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus

    •  /