TrueCrypt Sicher­heits-Audit: Kleinere Schwach­stellen, aber keine Backdoors

Am 03.04.2015 veröffentlicht Lesezeit etwa 1:46 Minuten

truecryptyosemite-x

Oh man, was gab es bezüglich des Verschlüs­se­lungs-Tools TrueCrypt im Sommer des letzten Jahres für eine Aufruhr, als auf der offizi­ellen Webseite ein dicker Warnhinweis die Besucher begrüßte: „Die Nut­zung von Tru­e­crypt ist un­si­cher, da nicht be­ho­bene Si­cher­heits­lü­cken vor­handen sein können.“ Außerdem haben die Entwickler die Entwicklung einge­stellt, die letzte signierte Version 7.2 bietet auch keine Möglichkeit mehr, neue Container erzeugen zu können. Die Gründe dafür ist man bis heute noch schuldig, was nicht zuletzt dafür gesorgt hat, dass es zahlreiche Vermu­tungen und Theorien für den Grund gibt. Von „Ent­wickler haben keine Lust mehr“ bis hin zum Einschreiten der NSA war alles ver­treten.

Parallel zu diesen Meldungen gab es jedoch auch einen Sicher­heits-Audit zur Sicherheit von TrueCrypt, dessen erster Teil keine nennens­werten Sicher­heit­mängel aufzeigen konnte. Inzwi­schen ist jedoch auch der zweite Teil des Audits abgeschlossen worden, sodass man die vollstän­digen Ergeb­nisse nun veröf­fent­licht hat. Das Fazit von Krypto­graph Matthew Green: TrueCrypt besitzt keine absichtlich einge­bauten Backdoors oder schwere Design­fehler, sodass man TrueCrypt grund­sätzlich als sicheres Stück Krypto­graphie-Software bezeichnen dürfe. Trotzdem ist TrueCrypt keine fehler­freie Software, denn im Audit sind auch ein paar Schwach­stellen ans Tages­licht gekommen. 

So wird an einer Stelle im Code zum Beispiel nicht der Rückga­bewert einer Funktion, die den Zufalls­zah­len­ge­ne­rator von Windows aufruft, nicht korrekt geprüft, was in seltenen Fällen dafür sorgen kann, dass so ein Schlüssel mit schlechten Zufalls­zahlen erzeugt wird. Da aller­dings auch die Bewegungen der Maus zur Generierung des Keys heran­ge­zogen werden, dürfte dieser Punkt nur selten zutreffen – unsauber program­miert wäre es dennoch. Einen weiteren Kritik­punkt gab es in Bezug auf die verwendete AES-Imple­men­tierung, die anfällig auf Cache-Timing-Angriffe reagiert, aller­dings trifft dies auch nur Multi-User-Systeme. 

Alles in allem konnte man jedoch keine gravie­renden Schwach­stellen aufdecken, sodass man TrueCrypt auch weiterhin ohne Sorgen­falten weiter­emp­fehlen kann. Bleibt zu hoffen, dass Forks wie zum Beispiel VeraCrypt weiterhin an ihren Projekten werkeln, denn TrueCrypt besitzt ein recht undurch­schau­bares Lizenz­modell. Tru­e­Crypt ist zwar eine Open-Source-Software, al­ler­dings be­sitzen ein­zelne Pro­gramm­teile un­ter­schied­liche und teil­weise au­to­ren­spe­zi­fi­sche Li­zenzen, was viele Ein­satz­sze­na­rien des Quell­codes un­mög­lich macht. Mal schauen was sich hier in den kommenden Monaten noch so tut… 

TrueCrypt v7.1a via Heise herun­ter­laden

Quelle Open Crypto Audit via Stadt Bremer­haven, Golem