Diskussion:VeraCrypt

Die Passwortauslesung im Arbeitsspeicher ist doch allenfalls im laufenden Betrieb (und mit entsprechender Highend-Ausrüstung kurz danach) möglich, da der RAM flüchtiger Speicher ist? Sofern ich das richtig sehe, sollte das doch im Artikel angemerkt werden und vllt auch dass all die Szenarien nur in bestimmten Konstellationen und auch dann meist nur mit erheblichem Aufwand, Kenntnissen sowie Glück&Geschick zur Entschlüsselung führen. Möglicherweise waren die genannten Sicherheitslücken vorher selbst Ermittlungsbehörden unbekannt, weswegen sie auch erst nach Behebung veröffentlicht wurden. Aber das führte wohl zu weit; die Passwortauslesung im Arbeitsspeicher scheint mir aber elementar für den Artikelabschnitt: Kann das jemand mit Ahnung aufklären? Zumal das Passwort bzw. der Cache beim Beenden „sicher“ gelöscht wird – entsprechende Programmeinstellung vorausgesetzt. --Trollflöjten-Disk. ^αω 15:14, 20. Okt. 2016 (CEST)Beantworten

Wer behauptet denn, dass es nicht nur während der Laufzeit möglich wäre? Mit Kaltstartattacke vllt auch nach dem Ausschalten, aber das RAM flüchtig ist dürfte klar sein. Das Problem ist hier wohl, dass der Schlüssel überhaupt zurückgelassen wird/wurde. --Erschaffung (Diskussion) 01:20, 21. Okt. 2016 (CEST)Beantworten

„das RAM flüchtig ist dürfte klar sein“: tja, dann kann der Laden, die Wikipedia, auch dicht gemacht werden – ganz zu Schweigen was denn „flüchtig“ heißt, aber das mag auch klar sein: Dass keinerlei Inhalt zurückbleibt, hieß es früher wohl(?) – Dann kam die erste Kaltstartattacke und machte das zum "Vorurteil", aber dass eine Kaltstartattacke geht ist jetzt ja auch jedem klar; zudem noch all die Dinge von denen ich oder sonstwer noch nie gehört habe/hat und all die, die später kommen mögen, alles klar? --Trollflöjten-Disk. ^αω 14:44, 21. Okt. 2016 (CEST)Beantworten

Im Arbeitsspeicher-Artikel wird technisches erklärt. Das dürfte der Leser wissen. Das Wort „flüchtig“ findet man im Wörterbuch falls man es nicht kennt und betreffend Kaltstartattacke gibt es Gegenmaßnahmen. Steht übrigens auch im zugehörigen Artikel, somit musst du dir um den Laden keine Sorgen machen. --Erschaffung (Diskussion) 00:29, 22. Okt. 2016 (CEST)Beantworten

Was für Leute interessant sein dürfte, die TrueCrypt und VeraCrypt vergleichen: Ist auch bei VeraCrypt dieser Angriff über die Firewire-Schnittstelle (noch) möglich?--87.159.254.76 19:23, 16. Dez. 2016 (CET)Beantworten

https://www.golem.de/news/verschluesselungssoftware-bsi-verschweigt-truecrypt-sicherheitsprobleme-1912-145486.html?utm_source=nl.2019-12-17.html&utm_medium=e-mail&utm_campaign=golem.de-newsletter

ich bin leider nicht versiert genug, um hier etwas sinnvolleres als den Link zu schreiben. :-( (nicht signierter Beitrag von Seltenaktiv (Diskussion | Beiträge) 13:58, 17. Dez. 2019 (CET))Beantworten

Hier wurde heute gemäß ZQ ein „Bericht über ein aktuelles VeraCrypt-Audit eingefügt.“ Gemäß der PDF-Datei ist sie jedoch 2020 veröffentlich. Hinzu kommt, dass in der PDF-Datei in vorangestellten Zusammenfassung gerügt wird „VeraCrypt still uses the outdated and deprecated RIPEMD-160 hash algorithm“, tatsächlich wird RIPEMD-160 doch schon seit Jahren nicht mehr angeboten? Des Weiteren schreibt eben das beauftragte fraunhofer sit am 9. Dezember 2020 „VeraCrypt mit leichten Mängeln“. Gemäß der vom BSI veröffentlichten Datei war wohl das 2018 veröffentlichte VC 1.23 im Fokus der Untersuchung, die im Folgejahr noch auf vc 1.24 erweitert wurde (s.u.a.: „We investigated VeraCrypt in version 1.23 as published by the VeraCrypt project in September 2018. In October 2019, during the course of our study, a new version 1.24 of VeraCrypt was released. Together with the BSI we decided to investigate some security-related changes in this new version.“). In 1.23 war anscheinend tatsächlich noch RIPEMD-160 in der Auswahl, das bei truecrypt 7.1a noch voreingestellt war. Außerdem wenn das tatsächlich eine aktuelle, vernichtende Studie wäre, dann überschlügen sich doch die Berichte in einschlägigen Medien... Weiß jemand genaueres? Gruß, --Trollflöjten ^αω 19:11, 4. Jun. 2023 (CEST)Beantworten

Ja, der Artikel auf sit.fraunhofer.de beurteilt tatsächlich dieselbe Untersuchung im Fazit fast diametral zum Auftraggeber(!):? Das habe ich noch eingearbeitet (und anschließend den Absatz noch v.a. formal überarbeitet). Übersehe ich irgendwas oder ist das BSI (das SIT) durchgeknallt oder wollen sie ihren Beamtenkollegen von den Ermittlungsbehörden behilflich sein, indem sie vc madig machten? Aber das hätte doch die Fachpresse aufgreifen müssen...hat sie...? --Trollflöjten ^αω 14:39, 5. Jun. 2023 (CEST)Beantworten

Die Zusammenfassung der Untersuchungsergebnisse wurde vom Fraunhofer SIT verfasst (siehe Seite 2 des PDFs) und vom BSI herausgegeben. Die Pressemeldung unter www.sit.fraunhofer.de wurde ebenfalls vom Fraunhofer SIT verfasst und von deren Pressestelle herausgegeben. Wenn man Executive Summary mit Pressemeldung vergleicht, so widersprechen sich diese nicht:

"In conclusion, we did not find substantial security issues in VeraCrypt." ↔ "Codeanalyse des Fraunhofer SIT findet keine Schwachstellen, (...)"

"The development practices and the resulting code quality of VeraCrypt are a cause for concern." ↔ "Allerdings bemängeln die Fraunhofer-Forscher die sehr fehleranfällige Art und Weise des Codierens, weil etablierte Praktiken und Richtlinien für die Entwicklung sicherer Software nicht berücksichtigt wurden."

"Therefore, we cannot recommend VeraCrypt for sensitive data and persons or applications with high security requirements." ↔ "Für den großflächigen Einsatz im Unternehmen sollte man allerdings die langfristige Entwicklerperspektive berücksichtigen, da hier ein möglicherweise notwendiger Wechsel mit hohem Aufwand verbunden ist." Hier ist die Formulierung nicht identisch, aber auch nicht widersprüchlich. --Matthäus Wander 16:24, 19. Jul. 2023 (CEST)Beantworten

So steht es auf der Veracrypt-Website.

Warum stehen die wesentlichen Informationen "free" und "open source" nicht klar im Artikel, wie dies bei anderer vergleichbarer Software üblich ist? --88.67.118.111 09:31, 18. Aug. 2023 (CEST)Beantworten

Weil es bis eben keiner eingetragen hatte, danke. Wikipedia ist ein Wiki, mach mit!. Gruß, --Trollflöjten ^αω 18:21, 18. Aug. 2023 (CEST)Beantworten