Abo
  • Services:

Truecrypt: Ein Sicherheitscheck für das Verschlüsselungstool

Sicherheitsforscher wollen Truecrypt einer gründlichen Sicherheitsprüfung unterziehen und es auf mögliche Hintertüren überprüfen. Dafür wurden innerhalb weniger Tage 36.000 Dollar an Spenden gesammelt.

Artikel veröffentlicht am , Hanno Böck
Wie vertrauenswürdig ist Truecrypt?
Wie vertrauenswürdig ist Truecrypt? (Bild: Screenshot Hanno Böck)

Truecrypt gilt als eines der beliebtesten Programme zur Verschlüsselung von Daten. Das Tool ist für Windows, Linux und Mac OS X erhältlich und auch der Quellcode ist öffentlich verfügbar. Als besonderes Feature bietet Truecrypt sogenannte plausible Deniability. In einem Truecrypt-Container können versteckte Daten abgelegt werden. Ohne das zugehörige Passwort ist es nicht möglich, überhaupt nachzuweisen, dass die Daten vorhanden sind.

Stellenmarkt
  1. Neun Zeichen GmbH, Berlin
  2. Dürr AG, Bietigheim-Bissingen

Die Sicherheitsforscher Kenn White und Matthew Green sorgen sich darum, wie vertraulich Truecrypt ist. Sie sammeln zurzeit Spenden und wollen das Programm einer ausführlichen Sicherheitsprüfung unterziehen und weitere Maßnahmen ergreifen, um die Vertraulichkeit in Truecrypt zu verbessern. Innerhalb weniger Tage haben sie bereits 36.000 Dollar hierfür erhalten.

Truecrypt-Entwickler sind anonym

Truecrypt wurde überwiegend von anonymen Personen entwickelt. Anonymität an sich sei kein Verbrechen, schreibt Matthew Green in seinem Blog, aber er würde sich besser fühlen, wenn er wüsste, wer Truecrypt erstellt hat.

Durch den öffentlich verfügbaren Quellcode ist es zwar jedem möglich, Truecrypt auf mögliche Hintertüren zu prüfen, allerdings ist nicht mit Sicherheit zu gewährleisten, dass die von Truecrypt bereitgestellten Binärversionen auch tatsächlich aus dem originalen Quellcode erstellt wurden. Das Tor-Projekt stand ebenfalls vor diesem Problem und hat inzwischen einen vollständig nachvollziehbaren Build-Vorgang entwickelt. Somit kann von unabhängiger Seite überprüft werden, dass die veröffentlichten Versionen tatsächlich mit dem Quellcode übereinstimmen. Dasselbe Verfahren soll nun auch für Truecrypt ermöglicht werden.

Zunächst wollen die Initiatoren des Audit-Projekts Drittentwicklern sogenannte Bug-Bounties zahlen, wenn sie Sicherheitslücken im Quellcode von Truecrypt finden. Falls genug Geld zusammenkommt, soll der gesamte Quellcode einer professionellen Überprüfung unterzogen werden.

Lizenzbedingungen sollen überprüft werden

Neben einem ausführlichen Audit des Quellcodes planen Green und White auch eine juristische Prüfung der Lizenz von Truecrypt. Zwar ist das Programm im Quellcode verfügbar und die Lizenz erlaubt auch Veränderungen, es handelt sich jedoch nicht um eine gängige freie Softwarelizenz wie die GPL oder die BSD-Lizenz. Es ist strittig, ob es sich bei der Truecrypt-Lizenz um eine Lizenz nach den Definitionen für freie Software oder Open-Source-Software handelt. Viele Linux-Distributionen haben deshalb Truecrypt bisher nicht in ihre Paketquellen aufgenommen.

Die Truecrypt-Entwickler selbst haben sich bisher nicht zu den Audit-Plänen geäußert. Matthew Green betont aber, dass es ihm nicht darum gehe, die Vertrauenswürdigkeit der Entwickler in Zweifel zu ziehen. "Unser Ziel ist es nicht, eine mystische Hintertür in Truecrypt zu finden, sondern Zweifel auszuräumen, die an der Sicherheit dieses Tools bestehen."



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. 5€ inkl. FSK-18-Versand
  3. 5€ inkl. FSK-18-Versand

DrWatson 28. Jan 2014

Danke, Kommentare dieser Qualität ließt man hier leider selten.

Dystopia 11. Dez 2013

Auch in so einem Fall kann dir eine Software tatsächlich helfen: Hidden Volume

SilentBob 16. Nov 2013

zum Nachlesen: https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/

DjNorad 23. Okt 2013

Gehts auch auf deutsch? An der TS gibts ED und SD genauso wie ZR. <-- Verstanden...

SJ 21. Okt 2013

Na ja, wenn TC unter GPL gestellt würde, könnten Distros das selbst kompilieren und die...


Folgen Sie uns
       


LG V40 ThinQ - Test

Das V40 Thinq ist LGs jüngstes Top-Smartphone, das mit drei Kameras auf der Rückseite und zwei auf der Vorderseite in den Handel kommt.

LG V40 ThinQ - Test Video aufrufen
IT-Jobporträt Spieleprogrammierer: Ich habe mehr Code gelöscht als geschrieben
IT-Jobporträt Spieleprogrammierer
"Ich habe mehr Code gelöscht als geschrieben"

Wenn man im Game durch die weite Steppe reitet, auf Renaissance-Hausdächern kämpft oder stundenlang Rätsel löst, fragt man sich manchmal, wer das alles in Code geschrieben hat. Ein Spieleprogrammierer von Ubisoft sagt: Wer in dem Traumjob arbeiten will, braucht vor allem Geduld.
Von Maja Hoock

  1. Recruiting Wenn die KI passende Mitarbeiter findet
  2. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel
  3. IT-Jobs Ein Jahr als Freelancer

Chromebook Spin 13 im Alltagstest: Tolles Notebook mit Software-Bremse
Chromebook Spin 13 im Alltagstest
Tolles Notebook mit Software-Bremse

Bei Chromebooks denken viele an billige, knarzende Laptops - das Spin 13 von Acer ist anders. Wir haben es einen Monat lang verwendet - und uns am Ende gefragt, ob der veranschlagte Preis für ein Notebook mit Chrome OS wirklich gerechtfertigt ist.
Ein Test von Tobias Költzsch


    Ottobock: Wie ein Exoskelett die Arbeit erleichtert
    Ottobock
    Wie ein Exoskelett die Arbeit erleichtert

    Es verleiht zwar keine Superkräfte. Bei der Arbeit in unbequemer Haltung zum Beispiel mit dem Akkuschrauber unterstützt das Exoskelett Paexo von Ottobock aber gut, wie wir herausgefunden haben. Exoskelette mit aktiver Unterstützung sind in der Entwicklung.
    Ein Erfahrungsbericht von Werner Pluta


        •  /