23. August 2016 - Datensicherheit

Verschlüsselung: Trügerische Sicherheit bei GnuPGP

Gleich zwei bekannte Anwendungen, die eigentlich die Datensicherheit erhöhen sollen, haben in den vergangenen Tagen für negative Schlagzeilen gesorgt: GnuPGP und Veracrypt.

GnuPGP und Veracrypt mit Schwachstellen Auch bekannte Verschlüsselungs-Tools sind nicht garantiert sicher (Bild: maxkabakov / iStock / Thinkstock)

GnuPG ist eine ebenso beliebte wie verbreitete Anwendung zur Verschlüsselung von E-Mails, aber auch von Dateien. Leider schlummert im Quellcode ein unangenehmer Fehler.

Das gilt auch für die Software Veracrypt, mit der sich ebenfalls Dateien, aber auch ganze Partitionen verschlüsseln lassen.

GnuPGP – erzeugt keine Zufallszahlen

Um den öffentlichen und privaten Schlüssel eines Anwenders zu erstellen, benötigt GnuPG Zufallszahlen, die das Programm eigentlich erzeugen soll. Wie aktuelle Meldungen verraten, sind die Zufallszahlen indes leider nicht so zufällig, wie dies wünschenswert gewesen wäre.

Grund dafür ist ein Softwarefehler in einer der benötigten Bibliotheken. So ist es offenbar gelungen, die Zufallszahlen vorherzusagen. Derzeit ist aber noch nicht bekannt, welche unmittelbaren Auswirkungen der Fehler auf die erzeugten Schlüssel haben.

Der Ratschlag lautet daher, nicht überhastet neue Schlüssel anzulegen. Dennoch sollte die weitere Entwicklung des Themas verfolgt werden, um nötigenfalls rechtzeitig Gegenmaßnahmen einleiten zu können.

Veracrypt – versteckte Container sind nicht sicher

Gravierender sind die Probleme, die bei der Software Veracrypt erkannt wurden. Das Programm dient zur Verschlüsselung von Dateien oder Festplatten.

Eine besondere Funktion bietet die Möglichkeit, verschlüsselte Container (Volumes) innerhalb eines anderen Containers versteckt anzulegen. Selbst wenn es einem Angreifer gelingt, das Passwort für den ersten Container zu erhalten, sollte der zweite darin enthaltene sicher sein, da er darin nicht gefunden werden sollte.

Voraussetzung dafür ist, dass für den zweiten Container ein anderes Passwort verwendet wurde. Die Funktionsweise ist unter „Glaubwürdiger Abstreitbarkeit“ bekannt. Damit sollen beispielsweise Nutzer in repressiven Staaten die Möglichkeit haben, das erste Passwort zu verraten, um die Sicht auf „harmlose Daten“ zu gewähren. Die eigentlich schützenswerten Informationen dagegen wären sicher.

Wie sich aber jetzt herausstellte, sind die versteckten Container gar nicht versteckt, sondern zu ermitteln. Die Schutzwirkung ist also sinnlos. Das Problem behebt eine Aktualisierung der Software, die alle Nutzer einspieln sollte, die mit den versteckten Containern arbeiten.

Bereits bestehende Container können nach dem Update leider nicht aktualisiert werden. Der Anwender muss also die Dateien neu verschlüsseln und die Container neu anlegen. Veracrypt wird derzeit einem Audit unterzogen, um eventuell vorhandene weitere Lücken aufzuspüren.

Stephan Lamprecht

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln