TrueCrypt sollte ersetzt werden!

Die verbreitete Verschlüsselungslösung TrueCrypt wurde in einer aufsehenerregenden Aktion 2014 eingestellt. Infolgedessen etablierten sich eine Reihe von Forks, unter denen VeraCrypt heute die populärste Lösung sein dürfte. Sehr viele Anwender nutzen aber immer noch die originale TrueCrypt-Lösung in Version 7.1a.

Neben grundsätzlichen Bedenken gegen neue Lösungen in diesem sicherheitsensiblen Bereich, dürfte dies auch daran liegen, dass neue VeraCrypt Container inkompatibel mit der alten TrueCrypt-Lösung sind (VeraCrypt kann aber durchaus auch alte TrueCrypt Container verarbeiten) und ein Wechsel somit auf allen Systemen erfolgen muss, die auf den Container zugreifen können sollen. Man verweist in dem Zusammenhang gerne auf den Audit von 2015, bei dem keine schwerwiegenden Lücken gefunden wurden.

Das ist aber nicht mehr zeitgemäß, da seitdem zahlreiche Sicherheitslücken gefunden wurden. Googles Projekt Zero hatte bereits 2015 sicherheitsrelevante Lücken unter den Nummern CVE-2015-7358 und CVE-2015-7359 veröffentlicht. Beide sind in VeraCrypt bereits behoben, in der eingestellten letzten TrueCrypt-Version natugemäß nicht.

Bei einem Audit von VeraCrypt nahm nochmal den vorangegangenen Audit unter die Lupe und vor allem die neu hinzugefügten Bestandteile. Hier fand man einige Lücken, was zur Kritik an VeraCrypt führte und manche in ihrem Festhalten an TrueCrypt bestätigte. Diese Lücken können jedoch behoben werden, da VeraCrypt aktiv entwickelt wird. Problematisch sind hier insbesondere enthaltene Bibliotheken wie beispielsweise zlib, die in der Vergangenheit schwere Sicherheitslücken aufwiesen. TrueCrypt ist auf uralte Versionen oder sogar dubiose Forks festgenagelt, da die Macher die Software bereits in den Jahren vor der ihrer Einstellung nur noch schleppend entwickelten. Diese Bibliotheken von Dritten sind sowieso ein großes Problem, da hier faktisch separate Audits notwendig sind um die Sicherheit zu gewährleisten.

Teilweise konnte man bei VeraCrypt unproblematische Fehler nicht schließen, um die Kompatibilität zu TrueCrypt nicht zu verlieren. Hier wird die verbreitete Nutzung des originalen TrueCrypt zum Risiko für alle anderen Anwender.

Zusammengefasst: Ersetzt endlich TrueCrypt durch einen Nachfolger. VeraCrypt dürfte hier die Lösung der Wahl sein.

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Mehr aus dem Blog

Realitäten sind grau

Wenn es um proprietäre und freie Software (im öffentlichen Dienst) geht, wird gerne ein Schwarz-Weiß-Bild gezeichnet. Dort der böse proprietäre Monopolist, der immer die...

Zwischenruf: Der Bund zahlt für Microsoft und die Open-Source-Peergroup lässt tief blicken

Ungefähr einmal im Jahr sind die Lizenzkosten von Microsoft in gewissen Kreisen ein Thema. Über 200 Millionen zahlt der Bund mittlerweile für seine IT....

Schwerpunktseite zu Synology überarbeitet

2019 habe ich mir eine Synology DS218 zugelegt und damit die Zeit der Do-it-yourself-Lösungen mit FreeNAS & Co. beendet. Das war wohl eine meiner...

Neues von Mullvad

VPNs werden oft mit Anonymität assoziiert. Das ist Unsinn. Trotzdem haben VPNs ihre Berechtigung. Mullvad speichert nach neuesten Erkenntnissen wirklich keine Daten und bringt...