Das französische Cybersecurity-Unternehmen QuarksLab hat bei einer vom Open Source Technology Improvement Fund (OSTIF) mitfinanzierten Überprüfung der Verschlüsselungssoftware VeraCrypt insgesamt 26 Schwachstellen gefunden. Acht der Sicherheitslücken werden als “kritisch” eingestuft. Sie erlauben es Unbefugten unter anderem erlauben, Passwörter auszulesen.
Vier der als kritisch eingestuften Lücken stecken im VeraCrypt-Bootloader. Er kommt auf Computern zum Einsatz, die das Unified Extensible Firmware Interface (UEFI) nutzen. Dabei werden zum Beispiel Eingaben nach der Authentifizierung nicht korrekt gelöscht.
Der UEFI-Support ist eine der wichtigsten Neuerungen, die VeraCrypt, das die Nachfolge des 2014 eingestellten TrueCrypt angetreten hat, mitbrachte. VeraCrypt ist auch die erste Open-Source-Lösung überhaupt, die einen UEFI-kompatiblen Bootloader bietet. Mounir Idrassi, Chefentwickler von VeraCrypt, begründet gegenüber Computerworld damit auch die hohe Fehlerquote in dieser Komponente: Da es sich um eine “junge” Funktion handle, sei sie nicht so ausgereift wie die restliche, auf TrueCrypt basiernde Codebasis.
Die meisten der von QuarksLab entdeckten Sicherheitslücken behebt die Anfang der Woche zur Verfügung gestellte Version 1.19 von VeraCrypt. Einige Probleme in dem von TrueCrypt übernommenen Code bleiebn jedoch ungepatcht. Änderungen würden Idrassi zufolge die Abwärtskompatibilität zu TrueCrypt einschränken.
Entfernt haben die Entwickler den russischen Verschlüsselungsstandard GOST 28147-89. Dessen Implementierung wurde bei der Prüfung als unsicher eingestuft. Mit dem Algorithmus erstellte Container lassen sich zwar weiterhin entschlüsseln, allerdings können keine neuen Container mehr angelegt werden. Auch die Bibliotheken XZip und XUnzip wurden aufgrund zahlreicher Fehler aus VeraCrypt entfernt und durch libzip ersetzt.
VeraCrypt ist eine der wenigen kostenlosen Anwendungen, die unter Windows eine vollständige Laufwerksverschlüsselung ermöglicht, die auch das Betriebssystem umfasst. Das von Microsoft angebotene Bitlocker ist aktuell den Windows-Editionen Professional und Enterprise vorbehalten.
Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.