Abo
  • Services:

Veracrypt und Truecrypt: Hidden-Volumes sind nicht versteckt

Eine kritische Sicherheitslücke in Veracrypt und Truecrypt ermöglicht Angreifern, die Existenz eines Hidden-Volumes zu beweisen. Ein Patch ist verfügbar, Nutzer müssen jedoch aktiv werden.

Artikel veröffentlicht am ,
Eine schwerwiegende Sicherheitslücke in Veracrypt wurde gepatcht.
Eine schwerwiegende Sicherheitslücke in Veracrypt wurde gepatcht. (Bild: Open Crypto Audit/Screenshot)

Entwickler Mounir Idrassi hat einen schwerwiegenden Bug in Veracrypt bestätigt, der noch aus dem Truecrypt-Code stammt und Angreifern ermöglicht, eigentlich versteckte Volumes zu entdecken.

Stellenmarkt
  1. ColocationIX GmbH, Bremen
  2. BWI GmbH, deutschlandweit

Mit dem Konzept soll Nutzern "Plausible Deniability" ermöglicht werden, die Existenz weiterer verschlüsselter Daten soll damit verneint werden können. Dazu werden zwei Container erstellt, wobei der zweite innerhalb des ersten liegt. Beide Container verwenden unterschiedliche Passphrasen. Mit dem Konzept soll es ermöglicht werden, dass Nutzer unter Zwang ihr Passwort zu einem der Container herausgeben können, ohne ihre wichtigen Daten zu kompromittieren. Nach Angaben von Idrassi können Angreifer durch den Bug aber sehen, ob ein solches verstecktes Volume existiert oder nicht. Ein Update soll das Problem beheben, alte Volumes müssen aber in jedem Fall neu erzeugt werden.

Der Fehler wurde von Ivanov Aleksey gefunden. Er sei in der Lage, die versteckten Volumes in fast 100 Prozent der Fälle zu erkennen. Wie genau er diese findet, wollte er auch dem Veracrypt-Entwickler Idrassi nach dessen Angaben nicht mitteilen. Idrassi fand das Problem dann aber selbst: Normale Volumes enthalten einen Header und einige zufällige Daten. Volumes mit einer geheimen Instanz hingegen haben zwei Header und zufällige Daten. Diese Header sind zwar verschlüsselt, Angreifer könnten aber in der Lage sein, zwischen normalen und versteckten Volumes zu unterscheiden.

Fake-Header soll das Problem beheben

Mit Veracrypt ab Version 1.18a soll das Problem gelöst werden, indem bei jedem Volume der normale Header und ein Fake-Header mit zufällig generiertem Masterkey erstellt werden, wenn kein Hidden Volume vorhanden ist. Für Angreifer ließe sich so nicht beweisen, dass es tatsächlich einen zweiten Container gibt, heißt es im Veracrypt-Forum.

Wer auf den zusätzlichen Schutz von Hidden Volumes angewiesen ist, muss neue Container erzeugen - bestehende Dateien können nicht auf den neuesten Stand gebracht werden. Betroffen sind auch alle Container, die mit früheren Truecrypt-Versionen erstellt wurden, alle unterstützten Betriebssystemversionen sind ebenfalls betroffen.

Das Release auf Version 1.18a enthält einige weitere Verbesserungen und Bugfixes: In Windows soll die Verschlüsselung der Systempartition jetzt auch in Verbindung mit EFI möglich sein, außerdem wurde die Installationsdatei gegen DLL-Hijacking abgesichert.

Der Code von Veracrypt wird derzeit einem Audit unterzogen, die Ergebnisse sollen im September vorliegen.



Anzeige
Top-Angebote
  1. (u. a. Optoma HD144X Full HD 339,99€, Acer H6517ABD 389,99€, Optoma UHD300X 4K 869,99€)

Kartell1312 23. Aug 2018

Hallo Leute.... Seit dem Update, also gestern war noch alles super, jetzt bekomme ich...

Mingfu 23. Aug 2016

Das ist uns schon klar, dass das so sein sollte. Nur behaupten die gerade das Gegenteil...

M. 23. Aug 2016

Nein. Das versteckte Volume liegt im freien Speicherplatz des aeusseren Volumes, der...

M. 23. Aug 2016

Nein. Der versteckte Container befindet sich im freien Speicherplatz des aeusseren...

honk 23. Aug 2016

der freie Speicherplatz in einem Container ist mit zufallszahlen belegt - oder eben mit...


Folgen Sie uns
       


Der Güterzug der Zukunft - Bericht

Auf der Innotrans 2018 haben Verkehrsforscher des Deutschen Zentrums für Luft- und Raumfahrt ein Konzept für den Güterzug der Zukunft vorgestellt.

Der Güterzug der Zukunft - Bericht Video aufrufen
Mobile-Games-Auslese: Tinder auf dem Eisernen Thron - für unterwegs
Mobile-Games-Auslese
Tinder auf dem Eisernen Thron - für unterwegs

Fantasy-Fanservice mit dem gelungenen Reigns - Game of Thrones, Musikpuzzles in Eloh und Gehirnjogging in Euclidean Skies: Die neuen Mobile Games für iOS und Android bieten Spaß für jeden Geschmack.
Von Rainer Sigl

  1. Mobile Gaming Microsoft Research stellt Gamepads für das Smartphone vor
  2. Mobile-Games-Auslese Bezahlbare Drachen und dicke Bären
  3. Mobile-Games-Auslese Städtebau und Lebenssimulation für unterwegs

Wet Dreams Don't Dry im Test: Leisure Suit Larry im Land der Hipster
Wet Dreams Don't Dry im Test
Leisure Suit Larry im Land der Hipster

Der Möchtegernfrauenheld Larry Laffer kommt zurück aus der Gruft: In einem neuen Adventure namens Wet Dreams Don't Dry reist er direkt aus den 80ern ins Jahr 2018 - und landet in der Welt von Smartphone und Tinder.
Ein Test von Peter Steinlechner

  1. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller
  2. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Battlefield 5 im Test: Klasse Kämpfe unter Freunden
Battlefield 5 im Test
Klasse Kämpfe unter Freunden

Umgebungen und Szenario erinnern an frühere Serienteile, das Sammeln von Ausrüstung motiviert langfristig, viele Gebiete sind zerstörbar: Battlefield 5 setzt auf Multiplayermatches für erfahrene Squads. Wer lange genug kämpft, findet schon vor der Erweiterung Firestorm ein bisschen Battle Royale.

  1. Dice Raytracing-Systemanforderungen für Battlefield 5 erschienen
  2. Dice Zusatzinhalte für Battlefield 5 vorgestellt
  3. Battle Royale Battlefield 5 schickt 64 Spieler in Feuerring

    •  /