- Die Verteilung von Windows-Updates für die Open-Source-Verschlüsselungssoftware VeraCrypt wurde durch eine plötzliche Kontokündigung seitens Microsoft vollständig blockiert. Der Fall zeigt die Verletzlichkeit der Lieferkette von Open-Source-Software, die von großen Tech-Konzernen abhängt
- VeraCrypt-Entwickler Mounir Idrassi stellte Mitte Januar ohne vorherige Warnung fest, dass sein Signaturkonto für Windows-Treiber und Bootloader gekündigt worden war. Versuche, Kontakt aufzunehmen, führten nur zu automatischen Antworten, die offenbar von einer KI erzeugt wurden
- Die einzige offizielle Mitteilung von Microsoft war ein Hinweis auf die „Nichterfüllung von Anforderungen“, doch das Konto wurde ohne konkrete Begründung oder Einspruchsverfahren beendet, und es wurde in keiner Weise erklärt, welche Anforderungen plötzlich nicht mehr erfüllt worden seien
- Auch Jason Donenfeld, der Entwickler von WireGuard, erklärte, mit demselben Problem konfrontiert zu sein. Damit wurde deutlich, dass es sich nicht nur um einen Einzelfall bei VeraCrypt handelt
- Updates für Linux und macOS können zwar weiter bereitgestellt werden, doch da die Mehrheit der Nutzer die Windows-Plattform verwendet, ist die fehlende Windows-Verteilung ein schwerer Schlag für das gesamte Projekt
Was ist VeraCrypt?
- Ein Open-Source-Tool zum Schutz von Dateien durch verschlüsselte Partitionen auf Laufwerken oder durch einzelne verschlüsselte Volumes
- Es basiert auf dem Vorgänger TrueCrypt und bietet auch die Funktion doppelter Volumes (Hidden Volumes) für Fälle, in denen Nutzer zur Herausgabe von Zugangsdaten gezwungen werden könnten
Ablauf des Vorfalls
- Idrassi erklärte im SourceForge-Forum persönlich, warum es mehrere Monate lang keine Aktivität gegeben hatte
- Mitte Januar stellte er fest, dass sein seit Jahren genutztes Signaturkonto für Windows-Treiber und Bootloader plötzlich nicht mehr nutzbar war
- Es gab keinerlei vorherige E-Mail oder Warnung; die einzige Nachricht von Microsoft lautete lediglich, dass die „aktuellen Anforderungen“ nicht erfüllt würden
- Diese Mitteilung enthielt nur den Hinweis, dass kein Einspruch möglich sei und der Antrag abgeschlossen worden sei
- Es gab keinerlei Erklärung, welche Anforderungen die Firma IDRIX von Idrassi plötzlich nicht mehr erfüllt haben soll
Reaktion und Sorgen der Entwickler
- Kontaktaufnahmen mit dem Microsoft-Support führten nur zu automatischen Antworten, die offenbar KI-generiert waren
- Er kritisierte Microsofts mangelnde Kommunikation scharf und sagte, man hätte „zumindest erklären müssen, was das Problem ist“
- Er wies darauf hin: „Wenn bei solchen Entscheidungen die Kommunikation fehlt, wächst die Unsicherheit über die Zukunft, und automatisierte KI-Antworten machen diesen Prozess unmenschlich.“
WireGuard in derselben Lage
- Jason Donenfeld, der Entwickler des beliebten VPN-Clients WireGuard, schilderte auf Hacker News dasselbe Problem
- Er sagte: „Ohne Warnung, ohne Benachrichtigung wollte ich eines Tages ein Update verteilen, loggte mich ein und stellte fest, dass das Konto gesperrt war.“
Auswirkungen
- Windows ist die Plattform, die von der Mehrheit der VeraCrypt-Nutzer verwendet wird. Daher ist die Unmöglichkeit, Windows-Updates zu verteilen, ein schwerer Schlag für das Projekt
- Updates für Linux und macOS sind weiterhin möglich, doch die Unterstützung der zentralen Plattform ist blockiert
- Der Vorfall macht das Lieferkettenrisiko sichtbar, das entsteht, wenn Open-Source-Software auch nur teilweise von der Infrastruktur großer Tech-Unternehmen abhängt
- Microsoft antwortete nicht auf eine Bitte um Stellungnahme
5 Kommentare
Immer wenn ich so etwas sehe, denke ich: Nicht die Plattform, sondern der Nutzer sollte Signaturen prüfen. Entwickler sollten mit ihrem eigenen Schlüssel signieren, und Nutzer sollten auf ihrem eigenen Gerät die Schlüssel vertrauenswürdiger Entwickler zulassen und so verwenden.
Es ergibt keinen Sinn, das nicht wissen zu wollen und zu verlangen, dass sich jemand anders darum kümmert. Unabhängig davon, ob man sich für Computer interessiert oder nicht: Wenn man etwas selbst benutzt, ist das eine Gewohnheit, die man unbedingt haben sollte.
Wer ein Smartphone benutzt und im Internet surft, sollte ohnehin nicht blind alles glauben, was auf Webseiten, in Nachrichten oder am Telefon gesagt wird, sondern die grundsätzliche Fähigkeit haben, Dinge einzuordnen und auszuwählen.
Eine UI wie bei Windows UAC, bei der man mit einem einzigen Button bestätigen kann, ob man einem bestimmten Entwickler vertraut, wäre wohl auch für Menschen nutzbar, die mit den Konzepten von Code-Signierung und Schlüsseln nichts anfangen können.
Weil sich bösartige Zertifikate missbrauchen lassen, wenn sie nicht offiziell zertifiziert sind..
Ich verstehe nicht, was Sie meinen.
Meinen Sie, dass ein Dritter die Signierung missbrauchen kann? Das gilt für das heutige Zertifikatssystem genauso. Sogar Malware kommt mit Zertifikaten daher, die mehrere Hunderttausend Won pro Jahr kosten.
Oder meinen Sie, dass der Entwickler selbst sie missbrauchen kann? Dann sind von vornherein sowohl der Code als auch der Entwickler selbst nicht vertrauenswürdig. Zu wählen, worauf man vertraut, ist das Recht und zugleich die Pflicht des Nutzers. Nach dieser Logik müsste man wie Menschen mit Zwangsstörungen vom Betriebssystem bis zur letzten App jede Software selbst schreiben und verwenden.
Windows-Treiber sind vermutlich etwas anderes.
Hacker-News-Kommentare
Vor einem Jahr habe ich Azure Trusted Signing verwendet, um FOSS-Software für Windows zu verteilen.
Damals war das die günstigste Methode, um freie Software zu verbreiten.
Doch bei der Zertifikatserneuerung vor einigen Monaten wurden wegen eines Problems mit der Verifizierung fehlgeschlagen alle Unterlagen abgelehnt, und obwohl ich zahlender Kunde war, konnte ich mit keinem Menschen direkt sprechen.
Am Ende habe ich ein Zertifikat über SignPath.org erhalten und bin seitdem sehr zufrieden.
Erst war es für Einzelpersonen offen, dann nur noch für US-Unternehmen mit DUNS-Nummer, dann wieder für einige Einzelpersonen.
Vermutlich gab es einen Vorfall, bei dem jemand ein Trusted-Signing-Zertifikat missbraucht hat.
Als ich heute Morgen von dem VeraCrypt-Fall gelesen habe, dachte ich: „Soll das Entwickler jetzt zwangsweise in Trusted Signing drängen?“
Das widerspricht zwar ein Stück weit dem Open-Source-Geist, aber wenn Microsoft oder Google Spielchen treiben, würde es heftigen Gegenwind aus der Community geben.
Wenn es eine Stelle gäbe, die wie FDroid auditierbare Builds bereitstellt, wären Distributionen bei Supply-Chain-Angriffen vertrauenswürdiger.
Eine solche Stelle müsste allerdings Governance und Finanzierung solide abgesichert haben.
Ich finde nicht, dass Plattformbesitzer entscheiden dürfen sollten, welche Software ausgeführt werden kann.
Code Signing sollte an unabhängige Dritte delegiert werden und frei von Interessenkonflikten sein.
Genau deshalb soll der Digital Markets Act Entwickler schützen.
Ich frage mich, ob es zu den EU-Ermittlungen gegen Apple inzwischen Neuigkeiten gibt.
Es ist nur teuer, und man muss keine Microsoft-Tools verwenden.
Das betrifft nicht nur VeraCrypt.
Mehrere Windows-Treiberentwickler wurden ohne jede Erklärung aus dem Partner Center ausgeschlossen.
Entsprechende Fälle sind auch im OSR Community Forum zu finden.
Windscribe ist ebenfalls der dritte Fall, bei dem ein Konto von Microsoft beendet wurde.
Zugehöriger Tweet
Hier zeigt sich die dunkle Seite von „Security as a Service“.
Microsoft vereinfacht den Signierungsprozess mit Trusted Signing und schafft damit zugleich einen Single Point of Failure.
Dass ein zentrales FOSS-Projekt wie VeraCrypt durch ein automatisches Flag blockiert werden kann und es überhaupt keinen Weg zu menschlichem Eingreifen gibt, ist eine fragile Struktur.
Secure Boot ist eine gute Sicherheitsfunktion, sollte aber nicht durch administrative Inkompetenz zu einem Instrument der Vendor-Lock-in werden.
Im vorherigen Beitrag gab es die Anmerkung, dass der Titel „Veracrypt project update“ leicht zu übersehen war.
Ich hoffe immer noch, dass die Leute irgendwann erkennen, dass Executable Signing und Secure Boot keine echte Sicherheit sind, sondern Mittel zur Kontrolle dessen, was Nutzer ausführen dürfen.
Auf einem persönlichen Computer ergibt die Grundannahme solcher Maßnahmen meiner Meinung nach keinen Sinn.
Es erschwert den Missbrauch durch bösartige Treiber und reduziert Bootkit-Infektionen.
Nutzer können auch selbst Schlüssel registrieren.
Dass Microsoft es als Kontrollinstrument verwendet, stimmt zwar, aber das bedeutet nicht, dass man die Sicherheitsfunktion selbst verwerfen kann.
Es stellt sicher, dass es in der Lieferkette keine Firmware-Manipulation gibt.
Vor 20 Jahren hätten solche Systeme noch dystopisch gewirkt, heute werden sie als selbstverständlich angesehen.
Das ist im Grunde die Realität von Stallmans Warnung vor „tivoization“.
Es ist ironisch, dass das Unternehmen, das die Secure-Boot-Kette kontrolliert, das Signierungskonto eines Festplattenverschlüsselungstools gesperrt hat.
Frei nach „Die Plattform gibt, und die Plattform nimmt“: Wenn Distribution vom Wohlwollen eines einzelnen Unternehmens abhängt, ist es keine echte Distribution.
Microsoft hätte wissen müssen, dass auch das Entwicklerkonto von WireGuard beendet wurde.
Dort steht sinngemäß: „Auch der populäre VPN-Client WireGuard hat dasselbe Problem.“
Ich verstehe nicht, warum man nicht einfach einen eigenen Signaturschlüssel erzeugt und ihn in den Installer packt.
Solche Vermittlungsplattformen zu nutzen wirkt, als würde man sich selbst ein Bein stellen.
Der Fall Notepad++ zeigt, wohin das führt.