Abo
  • Services:

Truecrypt: Ein Sicherheitscheck für das Verschlüsselungstool

Sicherheitsforscher wollen Truecrypt einer gründlichen Sicherheitsprüfung unterziehen und es auf mögliche Hintertüren überprüfen. Dafür wurden innerhalb weniger Tage 36.000 Dollar an Spenden gesammelt.

Artikel veröffentlicht am , Hanno Böck
Wie vertrauenswürdig ist Truecrypt?
Wie vertrauenswürdig ist Truecrypt? (Bild: Screenshot Hanno Böck)

Truecrypt gilt als eines der beliebtesten Programme zur Verschlüsselung von Daten. Das Tool ist für Windows, Linux und Mac OS X erhältlich und auch der Quellcode ist öffentlich verfügbar. Als besonderes Feature bietet Truecrypt sogenannte plausible Deniability. In einem Truecrypt-Container können versteckte Daten abgelegt werden. Ohne das zugehörige Passwort ist es nicht möglich, überhaupt nachzuweisen, dass die Daten vorhanden sind.

Stellenmarkt
  1. Cluno GmbH, München
  2. alanta health group GmbH, Hamburg

Die Sicherheitsforscher Kenn White und Matthew Green sorgen sich darum, wie vertraulich Truecrypt ist. Sie sammeln zurzeit Spenden und wollen das Programm einer ausführlichen Sicherheitsprüfung unterziehen und weitere Maßnahmen ergreifen, um die Vertraulichkeit in Truecrypt zu verbessern. Innerhalb weniger Tage haben sie bereits 36.000 Dollar hierfür erhalten.

Truecrypt-Entwickler sind anonym

Truecrypt wurde überwiegend von anonymen Personen entwickelt. Anonymität an sich sei kein Verbrechen, schreibt Matthew Green in seinem Blog, aber er würde sich besser fühlen, wenn er wüsste, wer Truecrypt erstellt hat.

Durch den öffentlich verfügbaren Quellcode ist es zwar jedem möglich, Truecrypt auf mögliche Hintertüren zu prüfen, allerdings ist nicht mit Sicherheit zu gewährleisten, dass die von Truecrypt bereitgestellten Binärversionen auch tatsächlich aus dem originalen Quellcode erstellt wurden. Das Tor-Projekt stand ebenfalls vor diesem Problem und hat inzwischen einen vollständig nachvollziehbaren Build-Vorgang entwickelt. Somit kann von unabhängiger Seite überprüft werden, dass die veröffentlichten Versionen tatsächlich mit dem Quellcode übereinstimmen. Dasselbe Verfahren soll nun auch für Truecrypt ermöglicht werden.

Zunächst wollen die Initiatoren des Audit-Projekts Drittentwicklern sogenannte Bug-Bounties zahlen, wenn sie Sicherheitslücken im Quellcode von Truecrypt finden. Falls genug Geld zusammenkommt, soll der gesamte Quellcode einer professionellen Überprüfung unterzogen werden.

Lizenzbedingungen sollen überprüft werden

Neben einem ausführlichen Audit des Quellcodes planen Green und White auch eine juristische Prüfung der Lizenz von Truecrypt. Zwar ist das Programm im Quellcode verfügbar und die Lizenz erlaubt auch Veränderungen, es handelt sich jedoch nicht um eine gängige freie Softwarelizenz wie die GPL oder die BSD-Lizenz. Es ist strittig, ob es sich bei der Truecrypt-Lizenz um eine Lizenz nach den Definitionen für freie Software oder Open-Source-Software handelt. Viele Linux-Distributionen haben deshalb Truecrypt bisher nicht in ihre Paketquellen aufgenommen.

Die Truecrypt-Entwickler selbst haben sich bisher nicht zu den Audit-Plänen geäußert. Matthew Green betont aber, dass es ihm nicht darum gehe, die Vertrauenswürdigkeit der Entwickler in Zweifel zu ziehen. "Unser Ziel ist es nicht, eine mystische Hintertür in Truecrypt zu finden, sondern Zweifel auszuräumen, die an der Sicherheit dieses Tools bestehen."



Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-15%) 12,74€
  3. 44,99€
  4. 4,99€

DrWatson 28. Jan 2014

Danke, Kommentare dieser Qualität ließt man hier leider selten.

Dystopia 11. Dez 2013

Auch in so einem Fall kann dir eine Software tatsächlich helfen: Hidden Volume

SilentBob 16. Nov 2013

zum Nachlesen: https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/

DjNorad 23. Okt 2013

Gehts auch auf deutsch? An der TS gibts ED und SD genauso wie ZR. <-- Verstanden...

SJ 21. Okt 2013

Na ja, wenn TC unter GPL gestellt würde, könnten Distros das selbst kompilieren und die...


Folgen Sie uns
       


Energizer Power Max P18K Pop - Hands on (MWC 2019)

Ein Smartphone wie ein Ziegelstein: das Energizer Power Max P18K Pop hat einen 18.000 mAh starken Akku.

Energizer Power Max P18K Pop - Hands on (MWC 2019) Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Days Gone angespielt: Zombies, Bikes und die Sache mit der Benzinpumpe
    Days Gone angespielt
    Zombies, Bikes und die Sache mit der Benzinpumpe

    Mit dem nettesten Biker seit Full Throttle: Das Actionspiel Days Gone schickt uns auf der PS4 ins ebenso große wie offene Abenteuer. Trotz brutaler Elemente ist die Atmosphäre erstaunlich positiv - beim Ausprobieren wären wir am liebsten in der Welt geblieben.
    Von Peter Steinlechner


      Falcon Heavy: Beim zweiten Mal wird alles besser
      Falcon Heavy
      Beim zweiten Mal wird alles besser

      Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
      Von Frank Wunderlich-Pfeiffer und dpa

      1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
      2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
      3. Raumfahrt SpaceX - Die Rückkehr des Drachen

        •  /