Abo
  • Services:
Anzeige
Eine schwerwiegende Sicherheitslücke in Veracrypt wurde gepatcht.
Eine schwerwiegende Sicherheitslücke in Veracrypt wurde gepatcht. (Bild: Open Crypto Audit/Screenshot)

Veracrypt und Truecrypt: Hidden-Volumes sind nicht versteckt

Eine schwerwiegende Sicherheitslücke in Veracrypt wurde gepatcht.
Eine schwerwiegende Sicherheitslücke in Veracrypt wurde gepatcht. (Bild: Open Crypto Audit/Screenshot)

Eine kritische Sicherheitslücke in Veracrypt und Truecrypt ermöglicht Angreifern, die Existenz eines Hidden-Volumes zu beweisen. Ein Patch ist verfügbar, Nutzer müssen jedoch aktiv werden.

Entwickler Mounir Idrassi hat einen schwerwiegenden Bug in Veracrypt bestätigt, der noch aus dem Truecrypt-Code stammt und Angreifern ermöglicht, eigentlich versteckte Volumes zu entdecken.

Anzeige

Mit dem Konzept soll Nutzern "Plausible Deniability" ermöglicht werden, die Existenz weiterer verschlüsselter Daten soll damit verneint werden können. Dazu werden zwei Container erstellt, wobei der zweite innerhalb des ersten liegt. Beide Container verwenden unterschiedliche Passphrasen. Mit dem Konzept soll es ermöglicht werden, dass Nutzer unter Zwang ihr Passwort zu einem der Container herausgeben können, ohne ihre wichtigen Daten zu kompromittieren. Nach Angaben von Idrassi können Angreifer durch den Bug aber sehen, ob ein solches verstecktes Volume existiert oder nicht. Ein Update soll das Problem beheben, alte Volumes müssen aber in jedem Fall neu erzeugt werden.

Der Fehler wurde von Ivanov Aleksey gefunden. Er sei in der Lage, die versteckten Volumes in fast 100 Prozent der Fälle zu erkennen. Wie genau er diese findet, wollte er auch dem Veracrypt-Entwickler Idrassi nach dessen Angaben nicht mitteilen. Idrassi fand das Problem dann aber selbst: Normale Volumes enthalten einen Header und einige zufällige Daten. Volumes mit einer geheimen Instanz hingegen haben zwei Header und zufällige Daten. Diese Header sind zwar verschlüsselt, Angreifer könnten aber in der Lage sein, zwischen normalen und versteckten Volumes zu unterscheiden.

Fake-Header soll das Problem beheben

Mit Veracrypt ab Version 1.18a soll das Problem gelöst werden, indem bei jedem Volume der normale Header und ein Fake-Header mit zufällig generiertem Masterkey erstellt werden, wenn kein Hidden Volume vorhanden ist. Für Angreifer ließe sich so nicht beweisen, dass es tatsächlich einen zweiten Container gibt, heißt es im Veracrypt-Forum.

Wer auf den zusätzlichen Schutz von Hidden Volumes angewiesen ist, muss neue Container erzeugen - bestehende Dateien können nicht auf den neuesten Stand gebracht werden. Betroffen sind auch alle Container, die mit früheren Truecrypt-Versionen erstellt wurden, alle unterstützten Betriebssystemversionen sind ebenfalls betroffen.

Das Release auf Version 1.18a enthält einige weitere Verbesserungen und Bugfixes: In Windows soll die Verschlüsselung der Systempartition jetzt auch in Verbindung mit EFI möglich sein, außerdem wurde die Installationsdatei gegen DLL-Hijacking abgesichert.

Der Code von Veracrypt wird derzeit einem Audit unterzogen, die Ergebnisse sollen im September vorliegen.


eye home zur Startseite
Mingfu 23. Aug 2016

Das ist uns schon klar, dass das so sein sollte. Nur behaupten die gerade das Gegenteil...

M. 23. Aug 2016

Nein. Das versteckte Volume liegt im freien Speicherplatz des aeusseren Volumes, der...

M. 23. Aug 2016

Nein. Der versteckte Container befindet sich im freien Speicherplatz des aeusseren...

honk 23. Aug 2016

der freie Speicherplatz in einem Container ist mit zufallszahlen belegt - oder eben mit...

plutoniumsulfat 22. Aug 2016

Du meinst Truecrypt ;)



Anzeige

Stellenmarkt
  1. Drägerwerk AG & Co. KGaA, Lübeck
  2. über Hanseatisches Personalkontor Bremen, Stuttgart
  3. DewertOkin GmbH, Hamburg
  4. Friedrich Lütze GmbH, Weinstadt


Anzeige
Blu-ray-Angebote
  1. (u. a. Resident Evil: Vendetta 14,99€, John Wick: Kapitel 2 9,99€, Fight Club 8,29€ und...
  2. 27,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Spielebranche

    Kopf-an-Kopf-Rennen zwischen Pro und X erwartet

  2. Thunderobot ST-Plus im Praxistest

    Da gehe ich doch lieber wieder draußen spielen!

  3. Fahrdienst

    Alphabet investiert in Lyft

  4. Virtuelles Haustier

    Bandai kündigt "Classic Mini"-Version des Tamagotchi an

  5. News

    Facebook testet Abos für Nachrichten-Artikel

  6. Elon Musk

    Baut The Boring Company den Hyperloop?

  7. Mobilfunkausrüster

    Ericsson macht hohen Verlust

  8. Luminar

    Lightroom-Konkurrenz bringt sich in Stellung

  9. Kleinrechner

    Tim Cook verspricht Update für Mac Mini

  10. Elektrorennwagen

    VW will elektrisch auf den Pikes Peak



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

  1. Re: Langweilt das nicht langsam mal?

    thecrew | 12:39

  2. Re: Ein Trauerspiel ... wir User müssen Apple an...

    Kondratieff | 12:38

  3. Freitag

    zilti | 12:38

  4. Re: Die If-Schleife hat wohl nicht funktioniert.

    azeu | 12:38

  5. Re: Kommt da evtl noch eine qwertz Version?

    ulink | 12:37


  1. 12:50

  2. 12:22

  3. 11:46

  4. 11:01

  5. 10:28

  6. 10:06

  7. 09:43

  8. 07:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel