Open-Source-Adventskalender: Das Verschlüsselungsprogramm VeraCrypt
Von 1. bis zum 24. Dezember 2021 hat heise online jeweils ein "Kalendertürchen" mit dem Porträt eines Open-Source-Projekts geöffnet.
(Bild: Semisatch/KOALA STOCK/Shutterstock.com/heise online)
15. Dezember: Verschlüsselungsprogramm VeraCrypt
VeraCrypt ist ein Verschlüsselungsprogramm für PC, das einen Ordner, den ganzen Rechner oder einen USB-Stick in einen Hochsicherheitstresor verwandelt. Auf Wunsch mit zusätzlichem Geheimfach. Die aktuelle Version wurde nach Aussagen des Betreibers etwa vier Millionen Mal heruntergeladen. Der Quellcode steht unter der Apache License 2.0. Mit VeraCrypt kann man mit wenigen Klicks einen "Container" anlegen, der alle enthaltenen Daten mit einem Passwort verschlüsselt. Ein solcher Container kann ein einzelner Ordner sein, eine Festplatte, ein USB-Stick oder ein sonstiger Datenträger.
Eine Besonderheit sind versteckte Container: Man legt zuerst einen Alibi-Ordner mit Passwort an und innerhalb dieses Ordners mit einem zweiten Passwort den "echten" Container. Der enthält die tatsächlich zu schützenden Dateien. Je nachdem, welches der beiden Passwörter man später eingibt, öffnet sich der Alibi- oder der echte Container.
Ein-Personen-Projekt aus Paris
Wie der Passwortmanager KeePass oder die Fahrplanauskunft Öffi ist VeraCrypt größtenteils ein Ein-Personen-Projekt. Die Software ist eine Entwicklung des französischen Verschlüsselungsexperten Mounir Idrassi. Dessen Firma Idrix mit Sitz in Paris ist der offizielle Anbieter des Programms.
Auf ihrer Webseite bietet Idrix verschiedene kryptografische Tools und Produkte an, darunter DirHash, ein Konsolen-basiertes Programm zum Berechnen von Hashwerten, oder einen Prozessor für Smartcards. Das Hauptgeschäftsmodell der Firma ist die Beratung zu Verschlüsselungs- und Smartcard-Projekten, so Idrassi im Gespräch mit heise online. Einnahmen durch VeraCrypt habe er nur manchmal in Form von bezahltem Support.
Wie viel Arbeit er in VeraCrypt steckt, könne er nicht genau sagen. Das hänge von der freien Zeit ab, die ihm neben Job und Familie bleibt. Manchmal sitze er zehn Stunden pro Woche an der Software, manchmal aber auch die ganze Arbeitswoche hindurch. Die Code-Arbeit macht fast ausschließlich er. Idrassi schätzt, zu etwa 96 Prozent.
Die restlichen Code-Beiträge kommen von einer kleinen ehrenamtlichen Community. Zur Community zählt er außerdem drei Personen, die regelmäßig im Forum Fragen beantworten, und etwa zehn Leute, die bei Übersetzungen helfen.
Besserer Schutz vor Brute Force
VeraCrypt ist ein Fork des 2004 veröffentlichten und mittlerweile eingestellten TrueCrypt. 2012 hatte es bei Idrix ein Kundenanfrage zu TrueCrypt gegeben, erzählt Idrassi. Deswegen und aus privatem Interesse wollte er die Software genau verstehen und hat sie sich genau angeschaut. Der Code sei prinzipiell gut gewesen. TrueCrypt habe die Daten aber zu wenig vor Brute-Force-Attacken geschützt. Deshalb hatte er beschlossen, die Software zu forken und zu verbessern. Im Juni 2013, wenige Tage nach Beginn der Snowden-Affäre, veröffentlichte Idrassi VeraCrypt.
TrueCrypt warnt vor sich selbst
Ein Jahr später gab es seltsame Entwicklungen beim Vorgängerprojekt. Im Mai 2014 warnten die anonymen Betreiberinnen und Betreiber, TrueCrypt sei aufgrund nicht behobener Sicherheitslücken unsicher. Sie empfahlen, auf das Microsoft-Verschlüsselungsprogramm BitLocker umzusteigen.
Die IT-Welt stand vor einem Rätsel. Der Sicherheitsforscher Matthew Green, der zuvor an einer Überprüfung der Software beteiligt gewesen war, schrieb auf Twitter, er habe keine Ahnung, was gemeint sein könnte. War die seltsame Warnung vielleicht eine Reaktion darauf, dass Behörden TrueCrypt zur Kompromittierung der Software gezwungen hatten, etwa zum Einbau einer Hintertür?
Mit der Zeit setzte sich VeraCrypt als Open-Source-Empfehlung für sichere Dateiverschlüsselung immer weiter durch. Das Programm ist heute etwa die Standardempfehlung der Organisationen Digitalcourage und Tactical Tech.
Ein Drogenbaron als TrueCrypt-Gründer?
Noch immer ist nicht klar, was damals los gewesen war und wer hinter der anonym agierenden "TrueCrypt Foundation" steckte. 2016 präsentierte ein US-Journalist Indizien für einen für Open-Source-Projekte ungewöhnlichen Hintergrund: Der TrueCrypt-Erfinder sei Paul Le Roux gewesen, ein IT-hochbegabter global agierender Drogenbaron und Schwerverbrecher.
Der aus Zimbabwe stammende Le Roux hatte 1998 das Open-Source-Verschlüsselungsprogramm E4M (Encryption for the Masses") in die Welt gesetzt. Anfang der 2000er-Jahre stellte ihn die Münchener Securstar GmbH ein. Für sie sollte er eine kommerzielle Verschlüsselungssoftware namens DriveCrypt entwickeln. 2002 musste Le Roux gehen. Es war aufgeflogen, dass er Teile des für DriveCrypt entwickelten Codes auch in sein eigenes E4M-Programm eingebaut hatte.
Nach seinem Rauswurf wandte sich Le Roux einem neuen Geschäftsfeld zu: Er startete mit illegalem Medikamentenhandel über das Web, später kamen Drogenhandel und Waffenschmuggel hinzu. Dabei hatte er auch sieben Morde in Auftrag gegeben, wie er später vor Gericht einräumte.
Le Roux geriet in den Fokus der US-Anti-Drogen-Behörde DEA, wurde 2012 festgenommen, packte im Rahmen eines Deals als Informant über das Drogenmilieu aus und saß seitdem in US-Untersuchungshaft. Nach Erkenntnissen des US-Journalisten Evan Ratliff, der die Diskussion um Le Roux angestoßen hatte, wurde er 2020 zu 25 Jahren Gefängnis unter Einberechnung der Untersuchungshaft verurteilt.
VeraCrypt-Gründer: TrueCrypt war etwas zu professionell
Klar ist, dass TrueCrypt auf E4M basierte und dass die Verhaftung und das Ende von TrueCrypt in eine ähnliche Zeit fielen. Unklar bleibt hingegen bis heute, ob tatsächlich Le Roux die Person hinter der TrueCrypt Foundation war.
Weiß Mounir Idrassi eventuell mehr über die Hintergründe? Nein. Ihm sei damals aber das erstaunlich hohe Professionalitäts-Level des TrueCrypt-Codes aufgefallen, wie man es nur selten in Open-Source-Projekten finde. Das deute darauf hin, dass das Projekt finanziell sehr gut ausgestattet war. Le Roux habe aufgrund seiner kriminellen Geschäfte viel Geld zur Verfügung gehabt. Er meint aber: Genauso gut könnte, ähnlich wie bei der Anonymisierungstechnik Tor, ein staatlicher Akteur hinter TrueCrypt gesteckt haben.
Warum VeraCrypt vertrauen?
Auf die provokante Frage von heise online, wieso man jetzt ausgerechnet ihm vertrauen sollte, immerhin entwickelt er eine Schlüsseltechnologie der digitalen Selbstverteidigung nahezu alleine, antwortet Mounir Idrassi: Bei TrueCrypt habe er 2012 vor der gleichen Frage gestanden und sich deshalb den Quellcode genau angeschaut. Im Gegensatz zum anonymen TrueCrypt-Team entwickle er VeraCrypt allerdings unter seinem echten Namen. Außerdem habe es erfolgreiche Audits gegeben. Zuletzt, 2020, hatte das Fraunhofer-Institut für Sichere Informationstechnik im Auftrag des BSI eine 100-seitige Analyse veröffentlicht und keine problematischen Schwachstellen gefunden. Vertrauen, so Idrassi, entstehe nicht durch die Zugehörigkeit zu einer Organisation oder Gruppe, sondern man müsse sich Vertrauen durch jahrelange Arbeit verdienen.
Siehe auuch:
- VeraCrypt: Download schnell und sicher von heise.de
Die Arbeit an der Artikelreihe basiert in Teilen auf einem "Neustart Kultur"-Stipendium der Beauftragten der Bundesregierung für Kultur und Medien, vergeben durch die VG Wort.
(olb)
