• IT-Karriere:
  • Services:

Truecrypt: Ein Sicherheitscheck für das Verschlüsselungstool

Sicherheitsforscher wollen Truecrypt einer gründlichen Sicherheitsprüfung unterziehen und es auf mögliche Hintertüren überprüfen. Dafür wurden innerhalb weniger Tage 36.000 Dollar an Spenden gesammelt.

Artikel veröffentlicht am , Hanno Böck
Wie vertrauenswürdig ist Truecrypt?
Wie vertrauenswürdig ist Truecrypt? (Bild: Screenshot Hanno Böck)

Truecrypt gilt als eines der beliebtesten Programme zur Verschlüsselung von Daten. Das Tool ist für Windows, Linux und Mac OS X erhältlich und auch der Quellcode ist öffentlich verfügbar. Als besonderes Feature bietet Truecrypt sogenannte plausible Deniability. In einem Truecrypt-Container können versteckte Daten abgelegt werden. Ohne das zugehörige Passwort ist es nicht möglich, überhaupt nachzuweisen, dass die Daten vorhanden sind.

Stellenmarkt
  1. WITRON Gruppe, Parkstein (Raum Weiden / Oberpfalz)
  2. PROSOZ Herten GmbH, Herten (Home-Office)

Die Sicherheitsforscher Kenn White und Matthew Green sorgen sich darum, wie vertraulich Truecrypt ist. Sie sammeln zurzeit Spenden und wollen das Programm einer ausführlichen Sicherheitsprüfung unterziehen und weitere Maßnahmen ergreifen, um die Vertraulichkeit in Truecrypt zu verbessern. Innerhalb weniger Tage haben sie bereits 36.000 Dollar hierfür erhalten.

Truecrypt-Entwickler sind anonym

Truecrypt wurde überwiegend von anonymen Personen entwickelt. Anonymität an sich sei kein Verbrechen, schreibt Matthew Green in seinem Blog, aber er würde sich besser fühlen, wenn er wüsste, wer Truecrypt erstellt hat.

Durch den öffentlich verfügbaren Quellcode ist es zwar jedem möglich, Truecrypt auf mögliche Hintertüren zu prüfen, allerdings ist nicht mit Sicherheit zu gewährleisten, dass die von Truecrypt bereitgestellten Binärversionen auch tatsächlich aus dem originalen Quellcode erstellt wurden. Das Tor-Projekt stand ebenfalls vor diesem Problem und hat inzwischen einen vollständig nachvollziehbaren Build-Vorgang entwickelt. Somit kann von unabhängiger Seite überprüft werden, dass die veröffentlichten Versionen tatsächlich mit dem Quellcode übereinstimmen. Dasselbe Verfahren soll nun auch für Truecrypt ermöglicht werden.

Zunächst wollen die Initiatoren des Audit-Projekts Drittentwicklern sogenannte Bug-Bounties zahlen, wenn sie Sicherheitslücken im Quellcode von Truecrypt finden. Falls genug Geld zusammenkommt, soll der gesamte Quellcode einer professionellen Überprüfung unterzogen werden.

Lizenzbedingungen sollen überprüft werden

Neben einem ausführlichen Audit des Quellcodes planen Green und White auch eine juristische Prüfung der Lizenz von Truecrypt. Zwar ist das Programm im Quellcode verfügbar und die Lizenz erlaubt auch Veränderungen, es handelt sich jedoch nicht um eine gängige freie Softwarelizenz wie die GPL oder die BSD-Lizenz. Es ist strittig, ob es sich bei der Truecrypt-Lizenz um eine Lizenz nach den Definitionen für freie Software oder Open-Source-Software handelt. Viele Linux-Distributionen haben deshalb Truecrypt bisher nicht in ihre Paketquellen aufgenommen.

Die Truecrypt-Entwickler selbst haben sich bisher nicht zu den Audit-Plänen geäußert. Matthew Green betont aber, dass es ihm nicht darum gehe, die Vertrauenswürdigkeit der Entwickler in Zweifel zu ziehen. "Unser Ziel ist es nicht, eine mystische Hintertür in Truecrypt zu finden, sondern Zweifel auszuräumen, die an der Sicherheit dieses Tools bestehen."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

DrWatson 28. Jan 2014

Danke, Kommentare dieser Qualität ließt man hier leider selten.

Dystopia 11. Dez 2013

Auch in so einem Fall kann dir eine Software tatsächlich helfen: Hidden Volume

SilentBob 16. Nov 2013

zum Nachlesen: https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/

DjNorad 23. Okt 2013

Gehts auch auf deutsch? An der TS gibts ED und SD genauso wie ZR. <-- Verstanden...

SJ 21. Okt 2013

Na ja, wenn TC unter GPL gestellt würde, könnten Distros das selbst kompilieren und die...


Folgen Sie uns
       


Demon's Souls Remake (PS5) - Fazit

Im Testvideo stellt Golem.de das Remake des epischen Fantasy-Rollenspiels Demon's Souls für die Playstation 5 vor.

Demon's Souls Remake (PS5) - Fazit Video aufrufen
XPS 13 (9310) im Test: Dells Ultrabook ist besser denn je
XPS 13 (9310) im Test
Dells Ultrabook ist besser denn je

Wir dachten ja, bis auf den Tiger-Lake-Chip habe Dell am XPS 13 nichts geändert. Doch es gibt einige willkommene Änderungen.
Ein Test von Marc Sauter

  1. Dell-Ultrabook XPS 13 mit weniger vertikalen Pixeln
  2. Notebooks Dells XPS 13 mit Intels Tiger Lake kommt
  3. XPS 13 (9300) im Test Dells i-Tüpfelchen

AVM-Kabel-Spitzenboxen im Vergleich: Die Qual der Wahl am Kabel
AVM-Kabel-Spitzenboxen im Vergleich
Die Qual der Wahl am Kabel

Sie sind wie zwei Geschwister, die unterschiedlicher nicht sein könnten. Wir haben uns die aktuellen Topmodelle der Kabel-Fritzboxen in der Praxis angesehen.
Von Jan Rähm

  1. AVM Fritzbox 6850 5G kommt doch noch
  2. AVM Fritzbox 5530 Fiber Eine Fritzbox für Glasfaseranschlüsse und Wi-Fi 6
  3. Fritzbox 7530 AX AVMs erste DSL-Fritzbox mit Wi-Fi 6 kommt

The Legend of Zelda: Das Vorbild für alle Action-Adventures
The Legend of Zelda
Das Vorbild für alle Action-Adventures

The Legend of Zelda von 1986 hat das Genre geprägt. Wir haben den 8-Bit-Klassiker erneut gespielt - und waren hin- und hergerissen.
Von Benedikt Plass-Fleßenkämper


      •  /