Abo
  • Services:
Anzeige
Wie vertrauenswürdig ist Truecrypt?
Wie vertrauenswürdig ist Truecrypt? (Bild: Screenshot Hanno Böck)

Truecrypt: Ein Sicherheitscheck für das Verschlüsselungstool

Sicherheitsforscher wollen Truecrypt einer gründlichen Sicherheitsprüfung unterziehen und es auf mögliche Hintertüren überprüfen. Dafür wurden innerhalb weniger Tage 36.000 Dollar an Spenden gesammelt.

Anzeige

Truecrypt gilt als eines der beliebtesten Programme zur Verschlüsselung von Daten. Das Tool ist für Windows, Linux und Mac OS X erhältlich und auch der Quellcode ist öffentlich verfügbar. Als besonderes Feature bietet Truecrypt sogenannte plausible Deniability. In einem Truecrypt-Container können versteckte Daten abgelegt werden. Ohne das zugehörige Passwort ist es nicht möglich, überhaupt nachzuweisen, dass die Daten vorhanden sind.

Die Sicherheitsforscher Kenn White und Matthew Green sorgen sich darum, wie vertraulich Truecrypt ist. Sie sammeln zurzeit Spenden und wollen das Programm einer ausführlichen Sicherheitsprüfung unterziehen und weitere Maßnahmen ergreifen, um die Vertraulichkeit in Truecrypt zu verbessern. Innerhalb weniger Tage haben sie bereits 36.000 Dollar hierfür erhalten.

Truecrypt-Entwickler sind anonym

Truecrypt wurde überwiegend von anonymen Personen entwickelt. Anonymität an sich sei kein Verbrechen, schreibt Matthew Green in seinem Blog, aber er würde sich besser fühlen, wenn er wüsste, wer Truecrypt erstellt hat.

Durch den öffentlich verfügbaren Quellcode ist es zwar jedem möglich, Truecrypt auf mögliche Hintertüren zu prüfen, allerdings ist nicht mit Sicherheit zu gewährleisten, dass die von Truecrypt bereitgestellten Binärversionen auch tatsächlich aus dem originalen Quellcode erstellt wurden. Das Tor-Projekt stand ebenfalls vor diesem Problem und hat inzwischen einen vollständig nachvollziehbaren Build-Vorgang entwickelt. Somit kann von unabhängiger Seite überprüft werden, dass die veröffentlichten Versionen tatsächlich mit dem Quellcode übereinstimmen. Dasselbe Verfahren soll nun auch für Truecrypt ermöglicht werden.

Zunächst wollen die Initiatoren des Audit-Projekts Drittentwicklern sogenannte Bug-Bounties zahlen, wenn sie Sicherheitslücken im Quellcode von Truecrypt finden. Falls genug Geld zusammenkommt, soll der gesamte Quellcode einer professionellen Überprüfung unterzogen werden.

Lizenzbedingungen sollen überprüft werden

Neben einem ausführlichen Audit des Quellcodes planen Green und White auch eine juristische Prüfung der Lizenz von Truecrypt. Zwar ist das Programm im Quellcode verfügbar und die Lizenz erlaubt auch Veränderungen, es handelt sich jedoch nicht um eine gängige freie Softwarelizenz wie die GPL oder die BSD-Lizenz. Es ist strittig, ob es sich bei der Truecrypt-Lizenz um eine Lizenz nach den Definitionen für freie Software oder Open-Source-Software handelt. Viele Linux-Distributionen haben deshalb Truecrypt bisher nicht in ihre Paketquellen aufgenommen.

Die Truecrypt-Entwickler selbst haben sich bisher nicht zu den Audit-Plänen geäußert. Matthew Green betont aber, dass es ihm nicht darum gehe, die Vertrauenswürdigkeit der Entwickler in Zweifel zu ziehen. "Unser Ziel ist es nicht, eine mystische Hintertür in Truecrypt zu finden, sondern Zweifel auszuräumen, die an der Sicherheit dieses Tools bestehen."


eye home zur Startseite
DrWatson 28. Jan 2014

Danke, Kommentare dieser Qualität ließt man hier leider selten.

Dystopia 11. Dez 2013

Auch in so einem Fall kann dir eine Software tatsächlich helfen: Hidden Volume

SilentBob 16. Nov 2013

zum Nachlesen: https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/

DjNorad 23. Okt 2013

Gehts auch auf deutsch? An der TS gibts ED und SD genauso wie ZR. <-- Verstanden...

SJ 21. Okt 2013

Na ja, wenn TC unter GPL gestellt würde, könnten Distros das selbst kompilieren und die...



Anzeige

Stellenmarkt
  1. MEGLA GmbH, Dortmund, Meschede
  2. Dataport, Hamburg, Altenholz bei Kiel
  3. HAMBURG SÜD Schifffahrtsgruppe, Hamburg
  4. DPD Deutschland GmbH, Großostheim


Anzeige
Blu-ray-Angebote
  1. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       


  1. Vor Bundestagswahl

    Facebook löscht Zehntausende Spammer-Konten

  2. Bilderkennung von Google

    Erste Hinweise auf Lens in der Google-App

  3. Open Source

    Node.js-Führung zerstreitet sich über Code-of-Conduct

  4. Enigma ICO

    Kryptowährungshacker erbeuten halbe Million US-Dollar

  5. SNES Classic Mini

    Mario, Link und Samus machen den Moonwalk

  6. Bixby

    Samsungs Sprachassistent kommt auf Englisch nach Deutschland

  7. Apache-Lizenz 2.0

    OpenSSL-Lizenzwechsel führt zu Code-Entfernungen

  8. Knights Mill

    Intels Xeon Phi hat 72 Kerne und etwas Netburst

  9. Redstone 3

    Microsoft entfernt Refs-Formatierung von Windows 10 Pro

  10. Unsichere Passwörter

    Angriffe auf Microsoft-Konten um 300 Prozent gestiegen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Ausweis: Prepaid-Registrierung bislang nicht konsequent umgesetzt
Ausweis
Prepaid-Registrierung bislang nicht konsequent umgesetzt
  1. 10 GBit/s Erste 5G-Endgeräte sind noch einen Kubikmeter groß
  2. Verbraucherzentrale Datenlimits bei EU-Roaming wären vermeidbar
  3. Internet Anbieter umgehen Wegfall der EU-Roaming-Gebühren

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. Re: Das liest sich aber im Netz ganz anders: Es...

    devarni | 16:58

  2. Re: Ich habe dutzende solcher gefälschten Konten...

    non_existent | 16:57

  3. Re: Nicht so bescheuert wie es auf den Ersten...

    Kondratieff | 16:56

  4. Re: Physikalisch machbar.

    honna1612 | 16:54

  5. Ist andersrum

    yoyoyo | 16:54


  1. 16:30

  2. 16:01

  3. 15:54

  4. 14:54

  5. 14:42

  6. 14:32

  7. 13:00

  8. 13:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel