Open-Source-Adventskalender: Dasjenige Verschlüsselungsprogramm VeraCrypt | heise online

Dies ist ein Adventskalender zum Besten von Techies. In jener durchkommerzialisierten digitalen Welt gehört sozusagen die Gesamtheit zu einem Netz-Großkonzern. Deren Software ist weder ungeschützt noch ohne Beschränkung. Wie Gegenentwurf gibt es solche kleine Insel jener Open-Source-Welt: Software, deren Identifizierungszeichen publik einsehbar ist und unabhängig hinaus mögliche Sicherheitslücken und Hintertüren überprüft werden kann. Software, die ohne Beschränkung genutzt, verbreitet und verbessert werden kann. Jener Antrieb zum Besten von die Arbeit ist oft schlicht die Freude, jener Interessengruppe irgendwas Nützliches zur Verfügung zu stellen.

Vom 1. solange bis zum 24. zwölfter Monat des Jahres erscheinen hinaus heise online Kurzporträts von Open-Source-Projekten. In denen geht es um die Funktionen jener jeweiligen Software, die Tücken, die Historie, die Hintergründe und die Finanzierung.

Vom 1. solange bis zum 24. zwölfter Monat des Jahres werden hinaus heise online Kurzporträts von Open-Source-Projekten erscheinen. In denen geht es um die Funktionen jener jeweiligen Software, die Tücken, die Historie, die Hintergründe und die Finanzierung. Hinter einigen Projekten steht eine Einzelperson, hinter anderen eine lose organisierte Gemeinschaft, eine straff geführte Stiftung mit Hauptamtlichen oder ein Konsortium. Die Arbeit geschieht rein freiwillig, oder sie finanziert sich weiterführend Spenden, Kooperationen mit Internetkonzernen, staatliche Gunstbezeugung oder ein Open-Source-Geschäftsmodell. Egal, ob Einzelanwendung oder komplexes Wildnis, ob PC-Sendung, App oder operating system – die Vielfalt von Open Source ist wunderhübsch.

15. zwölfter Monat des Jahres: Verschlüsselungsprogramm VeraCrypt

VeraCrypt ist ein Verschlüsselungsprogramm zum Besten von PC, dasjenige kombinieren Ordner, den ganzen Rechner oder kombinieren USB-Stick in kombinieren Hochsicherheitstresor verwandelt. Hinauf Wunsch mit zusätzlichem Geheimfach. Die aktuelle Version wurde nachdem Behaupten des Betreibers etwa vier Mio. Mal heruntergeladen. Jener Quellcode steht unter jener Apache License 2.0. Mit VeraCrypt kann man mit wenigen Klicks kombinieren “Container” investieren, jener aufgebraucht enthaltenen Datenmaterial mit einem Passwort verschlüsselt. Ein solcher Container kann ein einzelner Ordner sein, eine Platter, ein USB-Stick oder ein sonstiger Speichermedium.

Eine Feature sind versteckte Container: Man legt zuerst kombinieren Alibi-Ordner mit Passwort an und intrinsisch dieses Ordners mit einem zweiten Passwort den “echten” Container. Jener enthält die tatsächlich zu schützenden Dateien. Je nachdem, welches jener beiden Passwörter man später eingibt, öffnet sich jener Alibi- oder jener echte Container.

Ein-Personen-Projekt aus Paris

Wie jener Passwortmanager KeePass oder die Fahrplanauskunft Öffi ist VeraCrypt größtenteils ein Ein-Personen-Projekt. Die Software ist eine Fortgang des französischen Verschlüsselungsexperten Mounir Idrassi. Dessen Firma Idrix mit Sitz in Paris ist jener offizielle Lieferant des Programms.

Hinauf ihrer Webseite bietet Idrix verschiedene kryptografische Tools und Produkte an, darunter DirHash, ein Konsolen-basiertes Sendung zum Fakturen ausstellen von Hashwerten, oder kombinieren Prozessor zum Besten von Smartcards. Dasjenige Hauptgeschäftsmodell jener Firma ist die Supervision zu Verschlüsselungs- und Smartcard-Projekten, so Idrassi im Gespräch mit heise online. Einnahmen durch VeraCrypt habe er nur manchmal in Form von bezahltem Support.

Wie viel Arbeit er in VeraCrypt steckt, könne er nicht genau sagen. Dasjenige hänge von jener freien Zeit ab, die ihm neben Job und Familie bleibt. Manchmal sitze er zehn Zahlungsfrist aufschieben pro Woche an jener Software, manchmal daher nachrangig die ganze Arbeitswoche hindurch. Die Identifizierungszeichen-Arbeit macht sozusagen ausschließlich er. Idrassi schätzt, zu etwa 96 v. H..

Die restlichen Identifizierungszeichen-Beiträge kommen von einer kleinen ehrenamtlichen Gemeinschaft. Zur Gemeinschaft zählt er außerdem drei Personen, die regelmäßig im Forum Fragen beantworten, und etwa zehn Personen, die im Rahmen Übersetzungen helfen.

Besserer Schutzmechanismus vor Brute Force

VeraCrypt ist ein Fork des 2004 veröffentlichten und mittlerweile eingestellten TrueCrypt. 2012 hatte es im Rahmen Idrix ein Kundenanfrage zu TrueCrypt gegeben, erzählt Idrassi. Deswegen und aus privatem Motivation wollte er die Software genau verstehen und hat sie sich genau angeschaut. Jener Identifizierungszeichen sei prinzipiell gut gewesen. TrueCrypt habe die Datenmaterial daher zu wenig vor Brute-Force-Attacken geschützt. So gesehen hatte er beschlossen, die Software zu forken und zu verbessern. Im Monat der Sommersonnenwende 2013, wenige Tage nachdem Beginn jener Snowden-Schande, veröffentlichte Idrassi VeraCrypt.

TrueCrypt warnt vor sich selbst

Ein Jahr später gab es seltsame Entwicklungen beim Vorgängerprojekt. Im Mai 2014 warnten die anonymen Betreiberinnen und Betreiber, TrueCrypt sei aufgrund nicht behobener Sicherheitslücken zögerlich. Sie empfahlen, hinaus dasjenige Microsoft-Verschlüsselungsprogramm BitLocker umzusteigen.

Die IT-Welt stand vor einem Rätsel. Jener Sicherheitsforscher Matthew Green, jener zuvor an einer Inspektion jener Software beteiligt gewesen war, schrieb hinaus Twitter, er habe keine Gefühl, welches gemeint sein könnte. War die seltsame Warnung vielleicht eine Reaktion darauf, dass Behörden TrueCrypt zur Kompromittierung jener Software gezwungen hatten, etwa zum Zusammensetzen einer Hintertür?

Mit jener Zeit setzte sich VeraCrypt denn Open-Source-Rat zum Besten von sichere Dateiverschlüsselung immer weiter durch. Dasjenige Sendung ist heute etwa die Standardempfehlung jener Organisationen Digitalcourage und Tactical Tech.

Ein Drogenbaron denn TrueCrypt-Gründer?

Noch immer ist nicht lukulent, welches früher los gewesen war und wer hinter jener unnennbar agierenden “TrueCrypt Foundation” steckte. 2016 präsentierte ein US-Journalist Indizien zum Besten von kombinieren zum Besten von Open-Source-Projekte ungewöhnlichen Hintergrund: Jener TrueCrypt-Tüftler sei Paul Le Roux gewesen, ein IT-hochbegabter in aller Welt agierender Drogenbaron und Schwerverbrecher.

Jener aus Zimbabwe stammende Le Roux hatte 1998 dasjenige Open-Source-Verschlüsselungsprogramm E4M (Encryption for the Masses”) in die Welt gesetzt. Werden jener 2000er-Jahre stellte ihn die Münchner Securstar GmbH ein. Z. Hd. sie sollte er eine kommerzielle Verschlüsselungssoftware namens DriveCrypt prosperieren. 2002 musste Le Roux umziehen. Es war aufgeflogen, dass er Teile des zum Besten von DriveCrypt entwickelten Codes nachrangig in sein eigenes E4M-Sendung eingebettet hatte.

Nachdem seinem Rauswurf wandte sich Le Roux einem neuen Geschäftsfeld zu: Er startete mit illegalem Medikamentenhandel weiterführend dasjenige Web, später kamen Drogenhandel und Waffenschmuggel hinzu. Unterdies hatte er nachrangig sieben Morde in Auftrag gegeben, wie er später vor Justizgebäude einräumte.

Le Roux geriet in den Hauptaugenmerk jener US-Gegen-Drogen-Behörde DEA, wurde 2012 festgenommen, packte im Rahmen eines Deals denn Informant weiterführend dasjenige Drogenmilieu aus und saß seitdem in US-Untersuchungshaft. Nachdem Erkenntnissen des US-Journalisten Evan Ratliff, jener die Diskussion um Le Roux angestoßen hatte, wurde er 2020 zu 25 Jahren Verlies unter Einberechnung jener Untersuchungshaft verurteilt.

VeraCrypt-Gründer: TrueCrypt war irgendwas zu professionell

Lichtvoll ist, dass TrueCrypt hinaus E4M basierte und dass die Verhaftung und dasjenige Finale von TrueCrypt in eine ähnliche Zeit fielen. Unklar bleibt hingegen solange bis heute, ob tatsächlich Le Roux die Person hinter jener TrueCrypt Foundation war.

Weiß Mounir Idrassi eventuell mehr weiterführend die Hintergründe? Nein. Ihm sei früher daher dasjenige erstaunlich hohe Professionalitäts-Level des TrueCrypt-Codes aufgefallen, wie man es nur selten in Open-Source-Projekten finde. Dasjenige deute darauf hin, dass dasjenige Projekt monetär sehr gut ausgestattet war. Le Roux habe aufgrund seiner kriminellen Geschäfte viel Geld zur Verfügung gehabt. Er meint daher: Genauso gut könnte, homolog wie im Rahmen jener Anonymisierungstechnik Treffer, ein staatlicher Schauspieler hinter TrueCrypt gesteckt nach sich ziehen.

Warum VeraCrypt vertrauen?

Hinauf die provokante Frage von heise online, wieso man jetzt unbedingt ihm vertrauen sollte, zumindest entwickelt er eine Schlüsseltechnologie jener digitalen Selbstverteidigung nahezu einzeln, antwortet Mounir Idrassi: Im Rahmen TrueCrypt habe er 2012 vor jener gleichen Frage gestanden und sich somit den Quellcode genau angeschaut. Im Spannungsfeld zum anonymen TrueCrypt-Team entwickle er VeraCrypt sehr wohl unter seinem echten Namen. Außerdem habe es erfolgreiche Audits gegeben. Zuletzt, 2020, hatte dasjenige Fraunhofer-Institut zum Besten von Sichere Informationstechnik im Auftrag des BSI eine 100-seitige Schlussfolgerung veröffentlicht und keine problematischen Schwachstellen gefunden. Vertrauen, so Idrassi, entstehe nicht durch die Zugehörigkeit zu einer Organisation oder Typ, sondern man müsse sich Vertrauen durch jahrelange Arbeit verdienen.

Die Arbeit an jener Artikelreihe basiert in Teilen hinaus einem “Neustart Kultur”-Stipendium jener Beauftragten jener Bundesregierung zum Besten von Kultur und Medien, vergeben durch die VG Wort.

(olb)