Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Bild von Tumisu via pixabay / Lizenz: CC0 Creative Commons

TrueCrypt sollte ersetzt werden!

Die verbreitete Verschlüsselungslösung TrueCrypt wurde in einer aufsehenerregenden Aktion 2014 eingestellt. Infolgedessen etablierten sich eine Reihe von Forks, unter denen VeraCrypt heute die populärste Lösung sein dürfte. Sehr viele Anwender nutzen aber immer noch die originale TrueCrypt-Lösung in Version 7.1a.

Neben grundsätzlichen Bedenken gegen neue Lösungen in diesem sicherheitsensiblen Bereich, dürfte dies auch daran liegen, dass neue VeraCrypt Container inkompatibel mit der alten TrueCrypt-Lösung sind (VeraCrypt kann aber durchaus auch alte TrueCrypt Container verarbeiten) und ein Wechsel somit auf allen Systemen erfolgen muss, die auf den Container zugreifen können sollen. Man verweist in dem Zusammenhang gerne auf den Audit von 2015, bei dem keine schwerwiegenden Lücken gefunden wurden.

Das ist aber nicht mehr zeitgemäß, da seitdem zahlreiche Sicherheitslücken gefunden wurden. Googles Projekt Zero hatte bereits 2015 sicherheitsrelevante Lücken unter den Nummern CVE-2015-7358 und CVE-2015-7359 veröffentlicht. Beide sind in VeraCrypt bereits behoben, in der eingestellten letzten TrueCrypt-Version natugemäß nicht.

Bei einem Audit von VeraCrypt nahm nochmal den vorangegangenen Audit unter die Lupe und vor allem die neu hinzugefügten Bestandteile. Hier fand man einige Lücken, was zur Kritik an VeraCrypt führte und manche in ihrem Festhalten an TrueCrypt bestätigte. Diese Lücken können jedoch behoben werden, da VeraCrypt aktiv entwickelt wird. Problematisch sind hier insbesondere enthaltene Bibliotheken wie beispielsweise zlib, die in der Vergangenheit schwere Sicherheitslücken aufwiesen. TrueCrypt ist auf uralte Versionen oder sogar dubiose Forks festgenagelt, da die Macher die Software bereits in den Jahren vor der ihrer Einstellung nur noch schleppend entwickelten. Diese Bibliotheken von Dritten sind sowieso ein großes Problem, da hier faktisch separate Audits notwendig sind um die Sicherheit zu gewährleisten.

Teilweise konnte man bei VeraCrypt unproblematische Fehler nicht schließen, um die Kompatibilität zu TrueCrypt nicht zu verlieren. Hier wird die verbreitete Nutzung des originalen TrueCrypt zum Risiko für alle anderen Anwender.

Zusammengefasst: Ersetzt endlich TrueCrypt durch einen Nachfolger. VeraCrypt dürfte hier die Lösung der Wahl sein.


Bilder:

Einleitungs- und Beitragsbild von Tumisu via pixabay / Lizenz: CC0 Creative Commons

"

Tags: Verschlüsselung, VeraCrypt, TrueCrypt

Die Kommentarfunktion auf [Mer]Curius soll allen interessierten Leserinnen und Lesern einen Austausch ermöglichen. Kritische Meinungen zum Artikel selbst oder anderen Kommentaren sind ausdrücklich erwünscht. Gleichwohl werden Kommentare vor ihrer Veröffentlichung geprüft. Sie erscheinen daher nicht im unmittelbaren Anschluss nach dem Verfassen.


Die Angabe einer E-Mail Adresse ist optional und lediglich notwendig, wenn ein Abonnement zukünftiger Kommentare gewünscht ist.


Informationen zu verarbeiteten personenbezogenen Daten entnehmen Sie bitte der Datenschutzerklärung. Mit dem Verfassen eines Kommentars akzeptieren Sie diese Datenschutzbedingungen.

Lade Kommentar... Das Kommentar wird neu geladen in 00:00.

Verfasse den ersten Kommentar.

Schreibe etwas...
Sie sind Gast
oder als Gast schreiben
  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Systemen Weiterlesen
  • 1