E-Mails zum VeraCrypt-Audit möglicherweise abgefangen

Der Entwickler der Verschlüsselungssoftware VeraCrypt, der Open Source Technology Improvement Fund (OSTIF) und die mit dem Audit beauftragte Sicherheitsfirma QuarksLab vermuten, dass untereinander verschickte E-Mails abgefangen wurden. Das berichtet der OSTIF auf seiner Webseite.

Um die Sicherheits-Prüfung von VeraCrypt – Nachfolger der beliebten Verschlüsselungssoftware TrueCrypt – über die Bühne zu bringen, haben die drei Parteien PGP-Schlüssel ausgetauscht und verschlüsselt per E-Mail kommuniziert. Dabei sind nach eigenen Angaben vier versendete E-Mails nie angekommen und sogar spurlos verschwunden. Auch im Gesendet-Ordner gebe es keine Spur.

Staatlicher Eingriff?

Im Zuge der Kommunikation haben sie sich eigenen Angaben zufolge über Informationen zu Schwachstellen und weitere vertrauliche Details ausgetauscht. Sie gehen davon aus, dass Dritte die Kommunikation belauschen beziehungsweise unterbrechen wollen. Konkrete Beweise dafür haben sie aber nicht. [UPDATE] Mittlerweile hat sich herausgestellt, dass anscheinend eine Fehlkonfiguration eines Mail-Clients die Ursache für das Verschwinden der Mails ist.

Die involvierten Parteien geben an, dass sie nun alternative verschlüsselte Kommunikationswege nutzen wollen, um das Audit weiter voranzutreiben.

Dank einer Spende vom Betreiber der Suchmaschine DuckDuckGo in Höhe von 25.000 US-Dollar ist die Prüfung überhaupt erst möglich geworden. Die Summe ging an den OSTIF, der wiederum die Sicherheitsfirma QuarksLab mit dem Audit von VeraCrypt beauftragt hat.

[UPDATE, 17.08.2016 17:00 Uhr]

Wie der CEO von QuarksLab Fred Raynal gegenüber Kaspersky mitteilte, geht er davon aus, dass das Verschwinden der E-Mails auf eine nicht optimale Konfiguration zwischen Mail-Client und GPGMail zurückzuführen ist.

Fließtext entsprechend angepasst. (des)