News

VeraCrypt with minor flaws

10/12/2020

Fraunhofer SIT code analysis does not find vulnerabilities, but shows weaknesses in the development process and the code quality

Fraunhofer SIT press relase (German):
In der kostenlosen Open-Source-Verschlüsselungssoftware VeraCrypt wurden keine gravierenden Sicher­heits­lücken gefunden, allerdings gibt es Verbesserungsbedarf bei der Entwicklungspraxis und der Codequalität. Das ist das Ergebnis einer Sicherheitsanalyse der Expertinnen und Experten des Fraunhofer-Instituts für Sichere Informations­technologie SIT in Darmstadt, die im Auftrag des Bundesamts für Sicherheit in der Informationstechnik BSI durchgeführt wurde. Die vollständigen Ergebnisse der Analyse sind in einer Studie zusammengefasst, die von der Webseite des BSI heruntergeladen werden kann: https://www.bsi.bund.de/DE/Publikationen/Studien/VeraCrypt/veracrypt.html

Die beliebte Open-Source-Software VeraCrypt ermöglicht die Verschlüsselung von Festplatten sowie die Erstellung von verschlüsselten Containern, die Daten beinhalten. So können Daten auf einem Gerät vor fremdem Zugriff geschützt und auch sicher online verschickt werden, per E-Mail, über Dropbox oder ähnliches. „Diese Grundfunktionalitäten haben in keinem unserer Tests signifikante Sicherheitsprobleme gezeigt“, erklärt Dr. Steven Arzt, Leiter der Abteilung Sichere Softwareentwicklung am Fraunhofer SIT. Auch in den verwendeten VeraCrypt-Verschlüsselungsalgorithmen hatten die Forscher keine Schwachstellen gefunden.

Probleme in der Programmierpraxis

Allerdings bemängeln die Fraunhofer-Forscher die sehr fehleranfällige Art und Weise des Codierens, weil etablierte Praktiken und Richtlinien für die Entwicklung sicherer Software nicht berücksichtigt wurden. Der VeraCrypt-Code ist dadurch schlecht wartbar, wodurch gravierende Fehler in der Zukunft nicht ausgeschlossen werden können. „Wir empfehlen dem VeraCrypt-Projekt, bei der Implementierung von Verschlüsselungsfunktionen auf anerkannte und zuverlässige Open-Source-Bibliotheken umzusteigen, statt eigenen Krypto-Code zu entwickeln“, nennt Steven Arzt als Beispiel. Für den privaten Gebrauch sei VeraCrypt aktuell zwar sehr gut nutzbar, wenn im Zweifel auch flexibel auf eine andere Lösung gewechselt werden kann. Für den großflächigen Einsatz im Unternehmen sollte man allerdings die langfristige Entwicklerperspektive berücksichtigen, da hier ein möglicherweise notwendiger Wechsel mit hohem Aufwand verbunden ist. In jedem Fall empfehlen die Fraunhofer-Experten die Verwendung starker Passwörter.

Schutz vor Datendiebstahl

VeraCrypt biete vor allem dann einen guten Schutz, wenn Daten offline auf verschlüsselten Laufwerken gelagert werden, etwa auf einer Festplatte oder einem USB-Stick, so Steven Arzt. VeraCrypt schütze auch verschlüsselte Daten auf abgeschalteten Laptops, wenn diese gestohlen werden oder bei der Online-Übermittlung verschlüsselter Daten. VeraCrypt schützt aber prinzipbedingt nicht vor Angriffen auf ein laufendes System mit geöffnetem VeraCrypt-Container. Das Fraunhofer SIT hat die Ergebnisse der Analyse vor ihrer Veröffentlichung dem Hauptentwickler des VeraCrypt-Projekts mitgeteilt. Einige der Empfehlungen der Fraunhofer-Forscher sind bereits in die aktuelle Version von VeraCrypt eingeflossen.

Nachfolgeprojekt von TrueCrypt

VeraCrypt ist der Nachfolger des bekannten Projekts TrueCrypt, einer Verschlüsselungssoftware, deren Entwicklung 2014 plötzlich eingestellt wurde. VeraCrypt hat den größten Teil des Quellcodes von TrueCrypt übernommen und weist bis heute viele Ähnlichkeiten mit dem älteren Projekt auf. Das Fraunhofer SIT hatte 2015 – ebenfalls im Auftrag des BSI – bereits eine Sicherheitsanalyse von TrueCrypt durchgeführt. Die in TrueCrypt bekannten krypto­grafischen Mängel wurden mit dem Nachfolgeprojekt VeraCrypt größtenteils beseitigt. Die zuvor bereits bekannten Probleme in der Codequalität bestehen allerdings weiterhin.

Results of the VeraCrypt-Analysis (German): https://www.bsi.bund.de/DE/Publikationen/Studien/VeraCrypt/veracrypt.html

Results of the TrueCrypt-Analysis (German): https://www.bsi.bund.de/DE/Publikationen/Studien/TrueCrypt/truecrypt.html

More about the department Secure Software Engineering: https://www.sit.fraunhofer.de/en/offers/fields-of-expertise/secure-engineering/

Press release (German)

show all news