Login
Newsletter
Werbung

Di, 7. April 2015, 10:10

Software::Security

TrueCrypt frei von Sicherheitslücken

Die vor einem Jahr initiierte »zweite Phase« eines umfassenden Audits des Quellcodes von TrueCrypt ist nun beendet. Der Quellcode ist laut diesen Analysen frei von ernsten Sicherheitsproblemen.

TrueCrypt

Walter Eisenhauer

TrueCrypt

TrueCrypt dient zur zur Verschlüsselung von Partitionen oder Dateien. Eine Besonderheit von TrueCrypt ist die Möglichkeit, sogenannte Container sowohl in Festplattenpartitionen als auch in regulären Dateien zu erstellen.

Ende 2013 hatte der Sicherheitsforscher Professor Matthew Green eine Spendenkampagne gestartet, die sich mehrere Ziele setzte. Zum einen sollte die nicht vollständig freie Lizenz, ein gewichtiger Kritikpunkt an TrueCrypt, auf ihre Kompatibilität mit der GPL und anderen freien Lizenzen untersucht werden. Ferner sollten reproduzierbare Binärpakete erstellt werden, die nachweislich aus einem bestimmten Stand des Quellcodes gebaut wurden. Ein Teil des Geldes sollte verwendet werden, um Entwicklern, die Fehler melden, eine Belohnung auszuzahlen. Und nicht zuletzt sollte eine Firma beauftragt werden, einen unabhängigen Audit des Quellcodes durchzuführen.

Nachdem die Kampagne schon nach wenigen Tagen über 53.000 US-Dollar erbrachte, gründete Green eine steuerbefreite gemeinnützige Organisation, das Open Crypto Audit Project (OCAP). Im April 2014 waren die Spenden auf über 80.000 USD und 32,6 Bitcoins gestiegen. Damit konnte die Firma iSec beauftragt werden, den Code-Audit durchzuführen. Dessen erste Phase wurde vor einem Jahr beendet und ergab, dass es keine Hintertüren in TrueCrypt gibt (PDF). In dieser Analyse wurden immerhin elf Sicherheitslücken gefunden, von denen vier als mittelschwer, vier als geringfügig und drei als eher theoretisch eingestuft wurden. Die Analysten kritisierten den Quellcode von TrueCrypt, da er kaum kommentiert sei, unsichere Funktionen und inkonsistente Datentypen verwende und viele weitere Probleme aufweise. Ein weiterer Kritikpunkt war der Einsatz von völlig veralteten Werkzeugen zum Compilieren der Windows-Version. Die Lücken seien aber das Resultat von Fehlern, die nicht absichtlich eingeschleust wurden.

Nur kurze Zeit nach diesem Audit kam es zu einer unerwarteten Wendung der Ereignisse, als die TrueCrypt-Entwickler das Projekt unvermittelt einstellten. Eine Weiterentwicklung oder ein Nachfolgeprojekt ist trotz anderlautender Meldungen ausgeblieben. Trotzdem wurde die geplante zweite Phase des Audits gestartet, die speziell die Kryptografie von TrueCrypt analysieren sollte. Es dauerte fast ein Jahr, diesen Audit abzuschließen. Er wurde von drei Fachleuten durchgeführt und führte zu einem 21-seitigen Abschlussbericht (PDF). Darin wird die Kryptografie von TrueAudit als solide und frei von Entwurfsfehlern beschrieben. Lediglich vier kleinere Probleme wurden erkannt. Wie Matt Green in seinem Blog erläuterte, betrifft eines davon den Zufallsgenerator in der Windows-Version von TrueCrypt. Doch selbst bei diesem Problem ist es unwahrscheinlich, dass es zu einem Angriff auf TrueCrypt genutzt werden kann. Die letzte Version von TrueCrypt kann also weiterhin als unangreifbar gelten. Was jetzt noch fehlt, ist eine ernsthafte, transparent betriebene Weiterentwicklung.

Werbung
Kommentare (Insgesamt: 8 || Alle anzeigen )
VeraCrypt (Atalanttore, Di, 7. April 2015)
Re[3]: Falsche Überschrift (Hal2000, Di, 7. April 2015)
Re[2]: LUKS (schmidicom, Di, 7. April 2015)
Re[2]: Falsche Überschrift (TBO, Di, 7. April 2015)
Re: LUKS (Nomen Nescio, Di, 7. April 2015)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung