TrueCrypt Sicherheits-Audit: Kleinere Schwachstellen, aber keine Backdoors

Marcel Am 03.04.2015 veröffentlicht Lesezeit etwa 1:46 Minuten

truecryptyosemite-x

Oh man, was gab es bezüglich des Verschlüsselungs-Tools TrueCrypt im Sommer des letzten Jahres für eine Aufruhr, als auf der offiziellen Webseite ein dicker Warnhinweis die Besucher begrüßte: „Die Nut­zung von Tru­e­crypt ist un­si­cher, da nicht be­ho­bene Si­cher­heits­lü­cken vor­handen sein können.“ Außerdem haben die Entwickler die Entwicklung eingestellt, die letzte signierte Version 7.2 bietet auch keine Möglichkeit mehr, neue Container erzeugen zu können. Die Gründe dafür ist man bis heute noch schuldig, was nicht zuletzt dafür gesorgt hat, dass es zahlreiche Vermutungen und Theorien für den Grund gibt. Von „Ent­wickler haben keine Lust mehr“ bis hin zum Einschreiten der NSA war alles ver­treten.

Parallel zu diesen Meldungen gab es jedoch auch einen Sicherheits-Audit zur Sicherheit von TrueCrypt, dessen erster Teil keine nennenswerten Sicherheitmängel aufzeigen konnte. Inzwischen ist jedoch auch der zweite Teil des Audits abgeschlossen worden, sodass man die vollständigen Ergebnisse nun veröffentlicht hat. Das Fazit von Kryptograph Matthew Green: TrueCrypt besitzt keine absichtlich eingebauten Backdoors oder schwere Designfehler, sodass man TrueCrypt grundsätzlich als sicheres Stück Kryptographie-Software bezeichnen dürfe. Trotzdem ist TrueCrypt keine fehlerfreie Software, denn im Audit sind auch ein paar Schwachstellen ans Tageslicht gekommen.

So wird an einer Stelle im Code zum Beispiel nicht der Rückgabewert einer Funktion, die den Zufallszahlengenerator von Windows aufruft, nicht korrekt geprüft, was in seltenen Fällen dafür sorgen kann, dass so ein Schlüssel mit schlechten Zufallszahlen erzeugt wird. Da allerdings auch die Bewegungen der Maus zur Generierung des Keys herangezogen werden, dürfte dieser Punkt nur selten zutreffen – unsauber programmiert wäre es dennoch. Einen weiteren Kritikpunkt gab es in Bezug auf die verwendete AES-Implementierung, die anfällig auf Cache-Timing-Angriffe reagiert, allerdings trifft dies auch nur Multi-User-Systeme.

Alles in allem konnte man jedoch keine gravierenden Schwachstellen aufdecken, sodass man TrueCrypt auch weiterhin ohne Sorgenfalten weiterempfehlen kann. Bleibt zu hoffen, dass Forks wie zum Beispiel VeraCrypt weiterhin an ihren Projekten werkeln, denn TrueCrypt besitzt ein recht undurchschaubares Lizenzmodell. Tru­e­Crypt ist zwar eine Open-Source-Software, al­ler­dings be­sitzen ein­zelne Pro­gramm­teile un­ter­schied­liche und teil­weise au­to­ren­spe­zi­fi­sche Li­zenzen, was viele Ein­satz­sze­na­rien des Quell­codes un­mög­lich macht. Mal schauen was sich hier in den kommenden Monaten noch so tut…

TrueCrypt v7.1a via Heise herunterladen

Quelle Open Crypto Audit via Stadt Bremerhaven, Golem

Artikel teilen

Kaufempfehlung*

  • Samsung Galaxy S6 Smartphone (5,1 Zoll (12,9 cm) Touch-Display, 32 GB Speicher, Android 5.0) schwarz (Nur für Europäische SIM-Karte)
  • Neu ab EUR 389,00, gebraucht schon ab EUR 179,99
  • Auf Amazon kaufen*