Abo
  • Services:
Anzeige
Das Open Crypto Audit
Das Open Crypto Audit (Bild: Open Crypto Audit / Screenshot)

Verschlüsselung: Truecrypt-Audit findet kleinere Sicherheitsprobleme

Das Open Crypto Audit
Das Open Crypto Audit (Bild: Open Crypto Audit / Screenshot)

Die zweite Phase des Audits für die Verschlüsselungssoftware Truecrypt ist beendet. Dabei wurden die kryptographischen Funktionen untersucht. Einige Sicherheitsprobleme wurden entdeckt, sie treten aber nur in seltenen Fällen auf.

Anzeige

Das Open-Crypto-Audit-Projekt hat den Bericht über die zweite Phase des Truecrypt-Audits vorgelegt. Größere Probleme wurden nicht gefunden, allerdings entdeckten die Auditoren der Firma NCC einige kleinere Sicherheitslücken.

Keine größeren Probleme

"Basierend auf diesem Audit scheint es, als sei Truecrypt ein relativ gut designtes Stück Kryptographie-Software", kommentiert der Kryptograph Matthew Green die Ergebnisse. "Der NCC-Audit fand keine Hinweise auf absichtliche Hintertüren oder schwerwiegende Designfehler, die die Software in üblichen Szenarien unsicher machen."

Das Open-Crypto-Audit-Projekt wurde von Green und Kenneth White im Oktober 2013 gestartet. Innerhalb weniger Tage kam ein fünfstelliger Spendenbetrag zusammen. Truecrypt ist ein im Quellcode verfügbares Datenverschlüsselungstool. Zweifel gab es vor allem, weil die Autoren des Programms anonym sind. Im Mai 2014 gaben die Truecrypt-Entwickler ihr Projekt unter rätselhaften Umständen auf. Das Open-Crypto-Audit-Projekt entschloss sich jedoch, den Audit wie geplant fortzusetzen, da nach wie vor viele Menschen Truecrypt nutzen. Außerdem wurde von Kenneth White ein Mirror für den Quellcode von Truecrypt auf Github eingerichtet.

Der erste Bericht wurde bereits im April 2014 vorgelegt und fand einige kleinere Probleme, jedoch keine gravierenden Schwächen. Ähnlich lässt sich wohl auch der zweite Teil zusammenfassen, der sich vor allem auf die kryptographischen Funktionen selbst konzentrierte. Den vollständigen Bericht kann man auf der Webseite des Projekts herunterladen.

Falsche Prüfung bei Fehlern des Zufallszahlengenerators

An einer Stelle im Truecrypt-Code wird der Rückgabewert einer Funktion, die den Zufallszahlengenerator von Windows aufruft, nicht korrekt geprüft. In sehr seltenen Fällen kann das dazu führen, dass ein Schlüssel mit schlechten Zufallszahlen erzeugt wird. Allerdings sollte dies im Normalbetrieb von Windows nicht passieren. Denkbar wäre aber, dass der Zugriff auf den Windows-Zufallszahlengenerator durch eine Gruppenrichtlinie unter Windows gesperrt wurde.

Weiterhin fanden die NCC-Auditoren heraus, dass die AES-Implementierungen von Truecrypt anfällig für Cache-Timing-Angriffe sind. Ein Problem ist das möglicherweise auf Multi-User-Systemen. Ein Nutzer könnte dadurch geheime Daten eines anderen Nutzers, der gerade Truecrypt nutzt, entschlüsseln. Möglich wäre auch, dass nativer Code, der in Googles Chrome-Browser ausgeführt werden kann, einen solchen Angriff durchführt. Allerdings hat Google den Zugriff auf die Cache-Flushing-Funktion kürzlich in der Native-Client-Umgebung in Chrome gesperrt, der Grund dafür war die Rowhammer-Lücke. Zumindest in aktuellen Chrome-Versionen dürfte dieses Risiko somit nicht mehr bestehen.

Fraglich ist, wie es jetzt mit Truecrypt weitergeht. Es existieren eine ganze Reihe von Forks, zwei davon - Veracrypt und Ciphershed haben sich die NCC-Mitarbeiter während ihres Audits auch angeschaut. Diese Ergebnisse sind aber nicht Teil des Berichts.

Unklare Lizenz

Das Problem: Es ist unklar, ob derartige Forks überhaupt zulässig sind. Zwar liegt Truecrypt im Quellcode vor, es steht allerdings nicht unter einer gängigen freien Lizenz. Viele Formulierungen sind unklar und sorgen für Unsicherheiten. Der Kryptographie-Experte Thomas Ptacek, der an der Organisation des Truecrypt-Audits beteiligt war, erklärte kürzlich in einer Diskussion auf Hacker News, dass er von der Verwendung derartiger Forks abrät. Aufgrund der unsicheren Lizenzsituation würden fähige Kryptographie-Entwickler sich vermutlich nicht an der Entwicklung eines solchen Forks beteiligen.

Der Truecrypt-Audit ist mit diesem zweiten Bericht abgeschlossen, das Open-Crypto-Audit-Projekt wird aber bestehen bleiben. Die Firma NCC wird sich als nächstes OpenSSL näher ansehen. Dabei soll vor allem der TLS-Stack geprüft werden. Finanziert wird der OpenSSL-Audit von der Core Infrastructure Initiative der Linux Foundation.


eye home zur Startseite
robinx999 09. Apr 2015

Die waren AFAIK damals auch Signiert. es gab immer auch einen File mit einer GPG...

elf 03. Apr 2015

Jetzt verwirrst du mich aber. Wo besteht jetzt bei dir der Zusammenhang zwischen...

IceRa 03. Apr 2015

Die NSA oder sonst ein dreibuchstabiger Verein hat die Jungs (oder einin davon) unter...

IceRa 03. Apr 2015

Keine Backdoors drin! Die NSA können nicht gegen Truecrypt anstinken, deswegen auch die...

Milber 03. Apr 2015

Jeder Stein ist ein DAU, meine Mutter hat letzte Woche selbstständig von einem Bild zum...



Anzeige

Stellenmarkt
  1. ETAS GmbH & Co. KG, Stuttgart
  2. MBtech Group GmbH & Co. KGaA, Stuttgart
  3. LivingData GmbH, Landshut, Nürnberg
  4. Schaeffler Technologies AG & Co. KG, Nürnberg


Anzeige
Top-Angebote
  1. (u. a. Far Cry Primal Digital Apex Edition 22,99€ und Watch_Dogs 2 Deluxe Edition 29,99€)
  2. (heute u. a. mit Sony TVs, Radios und Lautsprechern, 4K-Blu-rays und Sennheiser Kopfhörern)
  3. 499,99€ - Aktuell nicht bestellbar. Gelegentlich bezüglich Verfügbarkeit auf der Bestellseite...

Folgen Sie uns
       


  1. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  2. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  3. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  4. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen

  5. NH-L9a-AM4 und NH-L12S

    Noctua bringt Mini-ITX-Kühler für Ryzen

  6. Wegen Lieferproblemen

    Spekulationen über Aus für Opels Elektroauto Ampera-E

  7. Minix

    Fehler in Intel ME ermöglicht Codeausführung

  8. Oracle

    Java SE 9 und Java EE 8 gehen live

  9. Störerhaftung abgeschafft

    Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch

  10. Streaming

    Update für Fire TV bringt Lupenfunktion



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

  1. Re: Wie konnte die Menschheit nur solange Überleben

    Hotohori | 00:29

  2. Frage

    flow77 | 00:27

  3. Re: Sinnfrage

    sneaker | 00:19

  4. Re: Wozu?

    Hotohori | 00:18

  5. Re: IPv6 Subnetze? was habt Ihr?

    tingelchen | 00:17


  1. 17:43

  2. 17:25

  3. 16:55

  4. 16:39

  5. 16:12

  6. 15:30

  7. 15:06

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel