Login
Login-Name Passwort


 
Newsletter
Werbung

Mo, 23. November 2015, 10:27

Software::Security

Fraunhofer-Institut für Sichere Informationstechnologie analysiert TrueCrypt

Im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) untersuchte das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) die Verschlüsselungssoftware TrueCrypt auf Sicherheitslücken.

TrueCrypt

Walter Eisenhauer

TrueCrypt

Nachdem bereits zwei vom Open Crypto Audit Project (OCAP) beauftragte Audits von Truecrypt in den vergangenen Jahren keine gravierenden Sicherheitslücken aufdecken konnten, hat das Fraunhofer SIT im Auftrag des BSI eine weitere Überprüfung vorgenommen, in deren Verlauf auch die beiden vorangegangenen Audits noch einmal untersucht wurden.

Der Grund für das BSI, eine erneute Untersuchung zu veranlassen, liegt in der Tatsache, dass das Amt mehrere Zulassungen für TrustedDisk ausgesprochen hat, das in Teilen auf TrueCrypt 7.0a basiert. Diese Zulassungen gelten zum Teil für Verschlusssachen bis zum Sicherheitsgrad »VS - Nur für den Dienstgebrauch«.

Die Sicherheitsexperten unter der Leitung von Eric Bodden von der Technischen Universität Darmstadt kommen zu dem Ergebnis, dass TrueCrypt auch weiterhin für die Verschlüsselung von Daten auf Datenträgern geeignet ist. Bodden präzisierte, mit TrueCrypt verschlüsselte Datenträger seien nur dann wirklich sicher, wenn sie ausgehängt sind und sich keine Zugangsinformationen mehr im flüchtigen Speicher befänden.

Die Untersuchung bestätigte die bereits bekannten Schwächen im Zufallszahlengenerator und deckte zwei weitere Fehler auf, die aber nicht kritisch seien.Die Experten rügten erneut, der Code sei stellenweise unsauber, schleppe viel unnötigen Ballast mit und sei generell schlecht dokumentiert. Das erschwere für abgeleitete Projekte die Erweiterung und Pflege des Codes.

Derzeit zählen zu den abgeleiten Projekten neben dem erwähnten TrustedDisk auch Veracrypt. In beiden Programmen wurden Lücken aus TrueCrypt geschlossen. Die erneute Untersuchung von TrueCrypt kann Benutzern von TrueCrypt ein etwas sichereres Gefühl verschaffen. TrueCrypt war vor 18 Monaten mit Hinweisen auf mögliche Sicherheitslücken eingestellt worden, die Anwender sehr verunsichert zurückgelassen hat.

Die auf 77 Seiten detailierte Analyse des Fraunhofer SIT wurde auf der Webseite des BSI als PDF-Datei eingestellt.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung