Abo
  • Services:
Anzeige
Eine schwerwiegende Sicherheitslücke in Veracrypt wurde gepatcht.
Eine schwerwiegende Sicherheitslücke in Veracrypt wurde gepatcht. (Bild: Open Crypto Audit/Screenshot)

Veracrypt und Truecrypt: Hidden-Volumes sind nicht versteckt

Eine schwerwiegende Sicherheitslücke in Veracrypt wurde gepatcht.
Eine schwerwiegende Sicherheitslücke in Veracrypt wurde gepatcht. (Bild: Open Crypto Audit/Screenshot)

Eine kritische Sicherheitslücke in Veracrypt und Truecrypt ermöglicht Angreifern, die Existenz eines Hidden-Volumes zu beweisen. Ein Patch ist verfügbar, Nutzer müssen jedoch aktiv werden.

Entwickler Mounir Idrassi hat einen schwerwiegenden Bug in Veracrypt bestätigt, der noch aus dem Truecrypt-Code stammt und Angreifern ermöglicht, eigentlich versteckte Volumes zu entdecken.

Anzeige

Mit dem Konzept soll Nutzern "Plausible Deniability" ermöglicht werden, die Existenz weiterer verschlüsselter Daten soll damit verneint werden können. Dazu werden zwei Container erstellt, wobei der zweite innerhalb des ersten liegt. Beide Container verwenden unterschiedliche Passphrasen. Mit dem Konzept soll es ermöglicht werden, dass Nutzer unter Zwang ihr Passwort zu einem der Container herausgeben können, ohne ihre wichtigen Daten zu kompromittieren. Nach Angaben von Idrassi können Angreifer durch den Bug aber sehen, ob ein solches verstecktes Volume existiert oder nicht. Ein Update soll das Problem beheben, alte Volumes müssen aber in jedem Fall neu erzeugt werden.

Der Fehler wurde von Ivanov Aleksey gefunden. Er sei in der Lage, die versteckten Volumes in fast 100 Prozent der Fälle zu erkennen. Wie genau er diese findet, wollte er auch dem Veracrypt-Entwickler Idrassi nach dessen Angaben nicht mitteilen. Idrassi fand das Problem dann aber selbst: Normale Volumes enthalten einen Header und einige zufällige Daten. Volumes mit einer geheimen Instanz hingegen haben zwei Header und zufällige Daten. Diese Header sind zwar verschlüsselt, Angreifer könnten aber in der Lage sein, zwischen normalen und versteckten Volumes zu unterscheiden.

Fake-Header soll das Problem beheben

Mit Veracrypt ab Version 1.18a soll das Problem gelöst werden, indem bei jedem Volume der normale Header und ein Fake-Header mit zufällig generiertem Masterkey erstellt werden, wenn kein Hidden Volume vorhanden ist. Für Angreifer ließe sich so nicht beweisen, dass es tatsächlich einen zweiten Container gibt, heißt es im Veracrypt-Forum.

Wer auf den zusätzlichen Schutz von Hidden Volumes angewiesen ist, muss neue Container erzeugen - bestehende Dateien können nicht auf den neuesten Stand gebracht werden. Betroffen sind auch alle Container, die mit früheren Truecrypt-Versionen erstellt wurden, alle unterstützten Betriebssystemversionen sind ebenfalls betroffen.

Das Release auf Version 1.18a enthält einige weitere Verbesserungen und Bugfixes: In Windows soll die Verschlüsselung der Systempartition jetzt auch in Verbindung mit EFI möglich sein, außerdem wurde die Installationsdatei gegen DLL-Hijacking abgesichert.

Der Code von Veracrypt wird derzeit einem Audit unterzogen, die Ergebnisse sollen im September vorliegen.


eye home zur Startseite
Mingfu 23. Aug 2016

Das ist uns schon klar, dass das so sein sollte. Nur behaupten die gerade das Gegenteil...

M. 23. Aug 2016

Nein. Das versteckte Volume liegt im freien Speicherplatz des aeusseren Volumes, der...

M. 23. Aug 2016

Nein. Der versteckte Container befindet sich im freien Speicherplatz des aeusseren...

honk 23. Aug 2016

der freie Speicherplatz in einem Container ist mit zufallszahlen belegt - oder eben mit...

plutoniumsulfat 22. Aug 2016

Du meinst Truecrypt ;)



Anzeige

Stellenmarkt
  1. Flughafen Stuttgart GmbH, Stuttgart
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Deutsche Post DHL Group, Köln
  4. Woodmark Consulting AG, Düsseldorf


Anzeige
Spiele-Angebote
  1. 8,99€
  2. 4,99€
  3. 7,49€

Folgen Sie uns
       


  1. Search Light

    Google testet schlanke Such-App

  2. 3D-Drucker

    Neues Verfahren erkennt Manipulationen beim 3D-Druck

  3. AVS Device SDK

    Amazon bringt Alexa auf Raspberry Pi und andere Boards

  4. Adblock Plus

    OLG München erklärt Werbeblocker für zulässig

  5. Streaming

    Netflix plant 7 Milliarden US-Dollar für eigenen Content ein

  6. Coffee Lake

    Core i3 als Quadcores und Core i5 als Hexacores

  7. Starcraft Remastered im Test

    Klick, klick, klick, klick, klick als wär es 1998

  8. KB4034658

    Anniversary-Update-Update macht Probleme mit WSUS

  9. Container

    Githubs Kubernetes-Cluster überlebt regelmäßige Kernel-Panic

  10. Radeon RX Vega

    Mining-Treiber steigert MH/s deutlich



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

Breitbandausbau auf Helgoland: Deutschlands Hochseefelsen bekommt nur Vectoring
Breitbandausbau auf Helgoland
Deutschlands Hochseefelsen bekommt nur Vectoring
  1. Provider Dreamhost will keine Daten von Trump-Gegnern herausgeben
  2. Home Sharing Airbnb wehrt sich gegen Vorwürfe zu Großanbietern
  3. Illegale Waffen Migrantenschreck gibt es wieder - jetzt als Betrug

Google Home auf Deutsch im Test: "Tut mir leid, ich verstehe das nicht"
Google Home auf Deutsch im Test
"Tut mir leid, ich verstehe das nicht"
  1. Kompatibilität mit Sprachassistenten Trådfri-Update kommt erst im Herbst
  2. Smarte Lampen Ikeas Trådfri wird kompatibel mit Echo, Home und Homekit
  3. Lautsprecher-Assistent Google Home ab 8. August 2017 in Deutschland erhältlich

  1. Re: wer bekommt eigentlich alles Android 8?

    Crossfire579 | 17:39

  2. Re: Angeber-Specs

    Widdl | 17:31

  3. Re: Update? Wo denn? k.t.

    Eheran | 17:30

  4. Re: 11%, nimmt den Mehrtakt raus

    ms (Golem.de) | 17:29

  5. Re: REINES Android... hmm naja

    Widdl | 17:28


  1. 17:02

  2. 15:55

  3. 15:41

  4. 15:16

  5. 14:57

  6. 14:40

  7. 14:26

  8. 13:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel