Login
Newsletter
Werbung

Mi, 16. April 2014, 09:19

Software::Security

TrueCrypt-Audit findet keine Hintertüren

Eine auf Sicherheitsanalysen spezialisierte Firma hat einen Audit des Quellcodes von TrueCrypt vorgenommen. In der ersten Phase wurden zwar einige Fehler, aber keine Hinweise auf Hintertüren gefunden.

Truecrypt 7.0 unter Linux

Mirko Lindner

Truecrypt 7.0 unter Linux

TrueCrypt dient zur zur Verschlüsselung von Partitionen oder Dateien. Eine Besonderheit von TrueCrypt ist die Möglichkeit, sogenannte Container sowohl in Festplattenpartitionen als auch in regulären Dateien zu erstellen.

Vor einigen Monaten hatte der Sicherheitsforscher Professor Matthew Green eine Spendenkampagne gestartet, die sich mehrere Ziele setzte. Zum einen sollte die nicht vollständig freie Lizenz, ein gewichtiger Kritikpunkt an TrueCrypt, auf ihre Kompatibilität mit der GPL und anderen freien Lizenzen untersucht werden. Ferner sollten reproduzierbare Binärpakete erstellt werden, die nachweislich aus einem bestimmten Stand des Quellcodes gebaut wurden. Ein Teil des Geldes sollte verwendet werden, um Entwicklern, die Fehler melden, eine Belohnung auszuzahlen. Und nicht zuletzt sollte eine Firma beauftragt werden, einen unabhängigen Audit des Quellcodes durchzuführen.

Nachdem die Kampagne schon nach wenigen Tagen über 53.000 US-Dollar erbrachte, gründete Green eine steuerbefreite gemeinnützige Organisation, das Open Crypto Audit Project (OCAP). Ende 2013 waren die Spenden bereits auf 62.000 USD und 32,6 Bitcoins gestiegen, inzwischen sind 80.000 USD erreicht. Damit konnte die Firma iSec beauftragt werden, den Code-Audit durchzuführen. Dessen erste Phase ist jetzt beendet. Eine zweite Phase soll speziell die Kryptografie von TrueCrypt analysieren.

Das Ergebnis der ersten Phase liegt jetzt als PDF-Datei vor. In dieser Phase wurde der Quellcode der letzten freigegebenen Version 7.1a analysiert und es wurden Tests am Windows-Bootloader und Windows-Gerätetreiber durchgeführt. Dabei wurden sowohl die offiziellen Binärdateien als auch selbst compilierte getestet.

Die Analyse wurde von zwei Fachleuten durchgeführt, die einige Wochen damit beschäftigt waren. Das Ergebnis waren elf gefundene Sicherheitslücken, von denen vier als mittelschwer, vier als geringfügig und drei als eher theoretisch eingestuft wurden. Die Analysten kritisieren den Quellcode von TrueCrypt, da er kaum kommentiert sei, unsichere Funktionen und inkonsistente Datentypen verwende und viele weitere Probleme aufweise. Ein weiterer Kritikpunkt ist der Einsatz von völlig veralteten Werkzeugen zum Compilieren der Windows-Version. Im Gegensatz dazu steht die Online-Dokumentation, die ausdrücklich gelobt wird.

Hintertüren wurden in dem Code allerdings nicht entdeckt. Die aufgezeigten Sicherheitslücken sind nach der Einschätzung der Analysten das Resultat von Fehlern, die nicht absichtlich eingeschleust wurden. Professor Green, der für den Audit das Einverständnis der anonymen TrueCrypt-Entwickler erhielt, sieht sein Vertrauen in TrueCrypt damit gestärkt, da kein schwerwiegendes Problem entdeckt wurde.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung