“Zahlreiche Sicherheitslücken in VeraCrypt gefunden” – so titelten verschiedene IT-Newsseiten ihre Berichte über das Ergebnis des Software-Audits an. Das stimmt natürlich, trotzdem ist die Kernbotschaft eigentlich eine andere: Mit dem vom Open Source Technology Improvement Fund (OSTIF) in Auftrag gegebenen und durch die IT-Firma Quarkslab erstellten Gutachten können wir nun zunächst einmal davon ausgehen, dass VeraCrypt und sein Entwickler Mounir Idrassi grundsätzlich vertrauenswürdig ist. Die Chancen dafür standen ja ohnehin eigentlich schon besser als bei TrueCrypt, dessen Macher anonym blieben.
Wenn man mit Idrassi selbst spricht, dann verfliegen Zweifel an seiner Integrität ohnehin sehr schnell (was natürlich noch kein sicherheits-belastbarer Beweis ist 🙂 ); er ist enthusiastisch und gibt auch eigene Fehler unumwunden zu – wie etwa die im Audit bemängelte Verwendung veralteter und unsicherer Komprimierungs-Softwarebibliotheken. Obwohl mittlerweile auch aus der Open-Source-Community zahlreiche Beiträge zum Programmcode kommen – bislang ist VeraCrypt halt im wesentlichen ein Ein-Mann- und Freizeit-Projekt; und die Ressourcen von Mounir Idrassi sind begrenzt.
Immerhin ist jetzt auch der russische Entwickler Alex Kolotnikov mit an Bord – er zeichnet für den UEFI-Bootloader verantwortlich. Damit ist nun endlich auch auf neueren Computern und z.B. unter Windows 10 die komplette Verschlüsselung des Systems möglich. Und die ist unbedingt anzuraten, wenn man ein ernsthafteres Sicherheitsbedürfnis hat, als etwa nur die eigene Pornosammlung vor der Ehefrau zu verstecken: Auf einem normalen Windows reißen die unzähligen temporären Datenspuren, die Speicherdumps für den Schlafmodus oder Schnellstart, die Schattenkopien, Miniaturbildchen und automatischen Sicherungen alle Verschlüsselungs-Versuche gleichzeitig mit dem Hintern wieder ein, wie es so schön heißt. 🙂
Das gilt auch, wenn man sein Windows auf einer SSD eingerichtet hat – das Filesystem mit Clustern und Sektoren ist ja nur vorgegaukelt. Tatsächlich kopieren aber der SSD-Controller und Optimierungsalgorithmen wie das Wear-Leveling munter den Inhalt von Flash-Speicherzellen kreuz und quer auf dem Medium herum – zumindest vom Dateisystem her gibt es keine verlässliche Methode, Daten zu löschen. Und ob der “Secure Erase”-Befehl bzw. der Hardwareverschlüsselung des SSD-Hersteller letztlich vertrauenswürdig ist, ist schon wieder eine Frage des Glaubens, nicht des Wissens. Zu wenig für hohe Sicherheitsanforderungen.
Das einzige Szenario, das auch Mounir Idrassi für sicher halten würde: Die fabrikneue SSD komplett als Laufwerk bzw. Partition verschlüsseln und dann “on demand” mit Veracrypt als logisches Laufwerk zu mounten – in diesem Fall würden ausschließlich verschlüsselte Daten auf die SSD geschrieben, weil Windows das “eigentliche” Laufwerk für nicht partioniert hält und keinen Zugriff hat. In diesem Fall würden also auch die Wear-Leveling-Mechanismen nur verschlüsselte Speicherzelleninhalte umkopieren.
Auch wenn das noch keine offizielle Ankündigung ist – man kann wohl davon ausgehen, dass das BSI bzw. das Fraunhofer-Institut SIT, das ja Ende 2015 Truecrypt begutachtet hatte, in nicht allzu ferner Zukunft auch den Code von Veracrypt unter die Lupe nimmt. Mit einem zweiten Audit wäre dann auch das Argument eines Zweiflers im Heise-Forum entkräftet, Veracrypt-Programmierer und die Gutachter bei Quarkslab wären Franzosen, für beide würde ein Gesetz gelten, das der französischen Regierung eine Hintertür einräume.
Ein solches Gesetz gibt es nicht, entgegnet Mounir Idrassi – da habe der Zweifler wohl ungare Planspiele bestimmter Politiker mit der Realität verwechselt. Er selbst würde sofort die Arbeit an Veracrypt einstellen und das Projekt öffentlich für beendet erklären, falls irgendjemand von ihm verlange, die Software absichtlich unsicher zu machen.
Verschlüsselungssoftware VeraCrypt – Unabhängige Überprüfung abgeschlossen
Deutschlandfunk – Computer und Kommunikation vom 22.10.2016 (Moderation: Manfred Kloiber)