![[Mer]Curius](https://curius.de/wp-content/uploads/2021/01/favicon_114.png)
![[Mer]Curius](https://curius.de/wp-content/uploads/2021/01/favicon_76.png)
Die verbreitete Verschlüsselungslösung TrueCrypt wurde in einer aufsehenerregenden Aktion 2014 eingestellt. Infolgedessen etablierten sich eine Reihe von Forks, unter denen VeraCrypt heute die populärste Lösung sein dürfte. Sehr viele Anwender nutzen aber immer noch die originale TrueCrypt-Lösung in Version 7.1a.
Neben grundsätzlichen Bedenken gegen neue Lösungen in diesem sicherheitsensiblen Bereich, dürfte dies auch daran liegen, dass neue VeraCrypt Container inkompatibel mit der alten TrueCrypt-Lösung sind (VeraCrypt kann aber durchaus auch alte TrueCrypt Container verarbeiten) und ein Wechsel somit auf allen Systemen erfolgen muss, die auf den Container zugreifen können sollen. Man verweist in dem Zusammenhang gerne auf den Audit von 2015, bei dem keine schwerwiegenden Lücken gefunden wurden.
Das ist aber nicht mehr zeitgemäß, da seitdem zahlreiche Sicherheitslücken gefunden wurden. Googles Projekt Zero hatte bereits 2015 sicherheitsrelevante Lücken unter den Nummern CVE-2015-7358 und CVE-2015-7359 veröffentlicht. Beide sind in VeraCrypt bereits behoben, in der eingestellten letzten TrueCrypt-Version natugemäß nicht.
Bei einem Audit von VeraCrypt nahm nochmal den vorangegangenen Audit unter die Lupe und vor allem die neu hinzugefügten Bestandteile. Hier fand man einige Lücken, was zur Kritik an VeraCrypt führte und manche in ihrem Festhalten an TrueCrypt bestätigte. Diese Lücken können jedoch behoben werden, da VeraCrypt aktiv entwickelt wird. Problematisch sind hier insbesondere enthaltene Bibliotheken wie beispielsweise zlib, die in der Vergangenheit schwere Sicherheitslücken aufwiesen. TrueCrypt ist auf uralte Versionen oder sogar dubiose Forks festgenagelt, da die Macher die Software bereits in den Jahren vor der ihrer Einstellung nur noch schleppend entwickelten. Diese Bibliotheken von Dritten sind sowieso ein großes Problem, da hier faktisch separate Audits notwendig sind um die Sicherheit zu gewährleisten.
Teilweise konnte man bei VeraCrypt unproblematische Fehler nicht schließen, um die Kompatibilität zu TrueCrypt nicht zu verlieren. Hier wird die verbreitete Nutzung des originalen TrueCrypt zum Risiko für alle anderen Anwender.
Zusammengefasst: Ersetzt endlich TrueCrypt durch einen Nachfolger. VeraCrypt dürfte hier die Lösung der Wahl sein.
![[Mer]Curius](https://curius.de/wp-content/uploads/2021/01/logo.png){kind=logo}