Finde uns auf facebook.com Finde uns bei twitter Finde uns bei google+
VeryCrypt

VeraCrypt – Der TrueCrypt Nachfolger


Etwa ein Jahr ist es nun her, seit die anonymen Entwickler hinter der beliebten Verschlüsselungssoftware TrueCrypt den Hinweis auf ihrer Webseite veröffentlichten, dass sie Entwicklung eingestellt werde und damit auch die Sicherheit nicht mehr gewährleistet werden kann. Zwar wurde zuletzt noch eine Finalversion mit der Revisionsnummer 7.2 veröffentlicht und über SourceFourge verteilt, jedoch hatte diese einen stark eingeschränkten Funktionsumfang und sollte lediglich zur Entschlüsselung und damit der Erleichterung dienen, auf andere Verschlüsselungsprogramme umzusteigen.

Aus TrueCrypt wird VeraCrypt

2012 sollte Mounir Idrassi, seines Zeichens Geschäftsführer des Sicherheitsunternehmens Idrix, den Code hinter TrueCrypt für einen Kunden überprüfen und entdeckte dabei Schwachstellen im sogenannten Key-Derivation-Mechanismus. Eine solche Funktion kümmert sich darum, aus einer Pseudo-Zufallsfunktion geheime Passwörter abzuleiten, wie sie beispielsweise in der AES-Verschlüsselung genutzt werden. Idrassi schloss die Sicherheitslücke und sendete das Ergebnis seinem Kunden. Der daraus resultierende „Fork“ sollte sich später zu VeraCrypt entwickeln, dem zwar inoffiziellen, aber mittlerweile durchaus als solcher akzeptierte, Nachfolger von TrueCrypt. Doch nicht nur der Name hat sich geändert. Im Zuge der Neuveröffentlichung seines Forks änderte Degrassi kurzerhand die Lizenz und stellte VeraCrypt unter die GPL, eine wesentlich freiere und offenere Lizenz als die für TrueCrypt genutzte „TrueCrypt Licence Version 3.0“.

Das gleiche Programm und dennoch anders?

VeraCrypt basiert vollständig auf dem Quellcode der 2012 von Degrassi benutzten TrueCrypt-Version und trotzdem handelt es sich nicht um ein Plagiat. Dies liegt daran, dass in der Fachsprache der Softwareentwicklung Programme, die sich zwar bestehenden Quelltext zu Nutze machen, aber ab einem bestimmten Punkt im gedachten Zeitstrang parallel entwickelt werden als „Fork“ oder manchmal auch als „Derivat“ bezeichnet werden. Dies ist bei Programmen mit offenem Quellcode häufig anzutreffen. Als Beispiel seien hier die fast schon unzählbaren Linux-Distributionen, OpenOffice und LibreOffice, aber auch Mozilla mit Firefox, Galeon und Ephiphany genannt. Letzterer ist sogar ein Fork aus einem bereits bestehenden Derivat. Möglich werden Forks durch teilweise oder gänzliche Quelloffenheit, können im Prinzip aber auch dann vorkommen, wenn Rechteinhaber und/oder Entwickler von Programmen wechseln.

Die Philosophie hinter VeraCrypt

Wie schon bei TrueCrypt werden alle mit VeraCrypt erstellten Container nach dem Prinzip der glaubhaften Abstreitbarkeit verschlüsselt. Zwar wird auf den Volumes im Regelfall der gewünschte Speicher von der Verschlüsselungssoftware reserviert, jedoch geschieht dies in diesem Falle durch das Auffüllen eines sichtbaren Containers mit zufälligen Daten. Der eigentlich wichtige Teil der verschlüsselten Daten versteckt sich also hinter einer weiteren, sichtbaren kryptographischen Schicht, die sogar in der Lage ist, Daten aufzunehmen, um Angreifer noch weiter zu verwirren. Hierfür sind zwei Passwörter nötig. Eines für den weniger sensiblen, das andere für den sensiblen Datenbereich. Auch hinsichtlich der Nutzerführung, des Designs und der Bedienung sind VeraCrypt und TrueCrypt nur im Detail voneinander zu unterscheiden. Zudem ist VeraCrypt zumindest teilweise abwärtskompatibel und erlaubt die Entschlüsselung bestehender Container nach TrueCrypt-Algorithmen.

Tipp: Ein ausführliches Step-by-Step Tutorial für VeraCrypt gibt es hier:

www.homepage-baukasten.de/howto/veracrypt-tutorial-dateien-und-ordner-verschluesseln

Wie sicher sind Open-Source-Verschlüsselungen?

Man könnte meinen, da der Quellcode vollständig bekannt ist, lassen sich die Verschlüsselungs-Algorithmen von Programmen wie TrueCrypt oder VeryCrypt entsprechend schnell aushebeln. Faktisch ist dies allerdings nicht der Fall, denn durch die Verwendung mehrerer Zufallsmechanismen und Pseudo-Zufallsmechanismen sowie der stark erhöhten Hash-Iterationen (Bei TrueCrypt waren das lediglich 1000, bei Veracrypt bis zu 655.331) wird der Verschlüsselungs-Algorithmus basierend auf der Auditierung des Quellcodes von TrueCrypt und der gesammelten Erfahrungen von Experten als „vermutlich sicher“ eingestuft. Schwachstellen könnten die sogenannte „Kaltstartattacke“ oder Hardware-Keylogger sein, was allerdings bei jeglicher Verschlüsselungssoftware dieser Art der Fall ist. Im Normalfall werden Open-Source-Verschlüsselungen sogar oft als sicherer eingestuft als propietäre Programme, da diese wie im Falle von bit.locker von Microsoft einen Wiederherstellungsschlüssel innerhalb eines Cloud-Speichers ablegt, der bei entsprechender Kompromittierung ausgenutzt werden kann.

Keine Kommentare zu: VeraCrypt – Der TrueCrypt Nachfolger

Hinterlasse eine Antwort

Pflichtfelder sind mit einem * markiert.