• IT-Karriere:
  • Services:

Veracrypt und Truecrypt: Hidden-Volumes sind nicht versteckt

Eine kritische Sicherheitslücke in Veracrypt und Truecrypt ermöglicht Angreifern, die Existenz eines Hidden-Volumes zu beweisen. Ein Patch ist verfügbar, Nutzer müssen jedoch aktiv werden.

Artikel veröffentlicht am ,
Eine schwerwiegende Sicherheitslücke in Veracrypt wurde gepatcht.
Eine schwerwiegende Sicherheitslücke in Veracrypt wurde gepatcht. (Bild: Open Crypto Audit/Screenshot)

Entwickler Mounir Idrassi hat einen schwerwiegenden Bug in Veracrypt bestätigt, der noch aus dem Truecrypt-Code stammt und Angreifern ermöglicht, eigentlich versteckte Volumes zu entdecken.

Stellenmarkt
  1. Deutsches Elektronen-Synchrotron DESY, Hamburg
  2. Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Eschborn

Mit dem Konzept soll Nutzern "Plausible Deniability" ermöglicht werden, die Existenz weiterer verschlüsselter Daten soll damit verneint werden können. Dazu werden zwei Container erstellt, wobei der zweite innerhalb des ersten liegt. Beide Container verwenden unterschiedliche Passphrasen. Mit dem Konzept soll es ermöglicht werden, dass Nutzer unter Zwang ihr Passwort zu einem der Container herausgeben können, ohne ihre wichtigen Daten zu kompromittieren. Nach Angaben von Idrassi können Angreifer durch den Bug aber sehen, ob ein solches verstecktes Volume existiert oder nicht. Ein Update soll das Problem beheben, alte Volumes müssen aber in jedem Fall neu erzeugt werden.

Der Fehler wurde von Ivanov Aleksey gefunden. Er sei in der Lage, die versteckten Volumes in fast 100 Prozent der Fälle zu erkennen. Wie genau er diese findet, wollte er auch dem Veracrypt-Entwickler Idrassi nach dessen Angaben nicht mitteilen. Idrassi fand das Problem dann aber selbst: Normale Volumes enthalten einen Header und einige zufällige Daten. Volumes mit einer geheimen Instanz hingegen haben zwei Header und zufällige Daten. Diese Header sind zwar verschlüsselt, Angreifer könnten aber in der Lage sein, zwischen normalen und versteckten Volumes zu unterscheiden.

Fake-Header soll das Problem beheben

Mit Veracrypt ab Version 1.18a soll das Problem gelöst werden, indem bei jedem Volume der normale Header und ein Fake-Header mit zufällig generiertem Masterkey erstellt werden, wenn kein Hidden Volume vorhanden ist. Für Angreifer ließe sich so nicht beweisen, dass es tatsächlich einen zweiten Container gibt, heißt es im Veracrypt-Forum.

Wer auf den zusätzlichen Schutz von Hidden Volumes angewiesen ist, muss neue Container erzeugen - bestehende Dateien können nicht auf den neuesten Stand gebracht werden. Betroffen sind auch alle Container, die mit früheren Truecrypt-Versionen erstellt wurden, alle unterstützten Betriebssystemversionen sind ebenfalls betroffen.

Das Release auf Version 1.18a enthält einige weitere Verbesserungen und Bugfixes: In Windows soll die Verschlüsselung der Systempartition jetzt auch in Verbindung mit EFI möglich sein, außerdem wurde die Installationsdatei gegen DLL-Hijacking abgesichert.

Der Code von Veracrypt wird derzeit einem Audit unterzogen, die Ergebnisse sollen im September vorliegen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 399€
  2. (u. a. We Are The Dwarves für 0,75€, Dark Souls: Remastered für 13,99€, Anno 2205 Ultimate...
  3. (u. a. Black+Decker Akku-Schlagbohrschrauber BDCHD18KBST, 18Volt für 99,90€, Hazet...

Kartell1312 23. Aug 2018

Hallo Leute.... Seit dem Update, also gestern war noch alles super, jetzt bekomme ich...

Mingfu 23. Aug 2016

Das ist uns schon klar, dass das so sein sollte. Nur behaupten die gerade das Gegenteil...

M. 23. Aug 2016

Nein. Das versteckte Volume liegt im freien Speicherplatz des aeusseren Volumes, der...

M. 23. Aug 2016

Nein. Der versteckte Container befindet sich im freien Speicherplatz des aeusseren...

honk 23. Aug 2016

der freie Speicherplatz in einem Container ist mit zufallszahlen belegt - oder eben mit...


Folgen Sie uns
       


Wo steige ich in Star Citizen ein? - Tutorialvideo

Der Start in Star Citizen ist nicht für jeden Menschen einfach: Golem.de erklärt im Video, wo Neulinge anfangen können, was diese bereits erwartet und verrät ein paar Tipps zur Weltraumsimulation.

Wo steige ich in Star Citizen ein? - Tutorialvideo Video aufrufen
    •  /