Abo
  • Services:
Anzeige
Das Open Crypto Audit
Das Open Crypto Audit (Bild: Open Crypto Audit / Screenshot)

Verschlüsselung: Truecrypt-Audit findet kleinere Sicherheitsprobleme

Das Open Crypto Audit
Das Open Crypto Audit (Bild: Open Crypto Audit / Screenshot)

Die zweite Phase des Audits für die Verschlüsselungssoftware Truecrypt ist beendet. Dabei wurden die kryptographischen Funktionen untersucht. Einige Sicherheitsprobleme wurden entdeckt, sie treten aber nur in seltenen Fällen auf.

Anzeige

Das Open-Crypto-Audit-Projekt hat den Bericht über die zweite Phase des Truecrypt-Audits vorgelegt. Größere Probleme wurden nicht gefunden, allerdings entdeckten die Auditoren der Firma NCC einige kleinere Sicherheitslücken.

Keine größeren Probleme

"Basierend auf diesem Audit scheint es, als sei Truecrypt ein relativ gut designtes Stück Kryptographie-Software", kommentiert der Kryptograph Matthew Green die Ergebnisse. "Der NCC-Audit fand keine Hinweise auf absichtliche Hintertüren oder schwerwiegende Designfehler, die die Software in üblichen Szenarien unsicher machen."

Das Open-Crypto-Audit-Projekt wurde von Green und Kenneth White im Oktober 2013 gestartet. Innerhalb weniger Tage kam ein fünfstelliger Spendenbetrag zusammen. Truecrypt ist ein im Quellcode verfügbares Datenverschlüsselungstool. Zweifel gab es vor allem, weil die Autoren des Programms anonym sind. Im Mai 2014 gaben die Truecrypt-Entwickler ihr Projekt unter rätselhaften Umständen auf. Das Open-Crypto-Audit-Projekt entschloss sich jedoch, den Audit wie geplant fortzusetzen, da nach wie vor viele Menschen Truecrypt nutzen. Außerdem wurde von Kenneth White ein Mirror für den Quellcode von Truecrypt auf Github eingerichtet.

Der erste Bericht wurde bereits im April 2014 vorgelegt und fand einige kleinere Probleme, jedoch keine gravierenden Schwächen. Ähnlich lässt sich wohl auch der zweite Teil zusammenfassen, der sich vor allem auf die kryptographischen Funktionen selbst konzentrierte. Den vollständigen Bericht kann man auf der Webseite des Projekts herunterladen.

Falsche Prüfung bei Fehlern des Zufallszahlengenerators

An einer Stelle im Truecrypt-Code wird der Rückgabewert einer Funktion, die den Zufallszahlengenerator von Windows aufruft, nicht korrekt geprüft. In sehr seltenen Fällen kann das dazu führen, dass ein Schlüssel mit schlechten Zufallszahlen erzeugt wird. Allerdings sollte dies im Normalbetrieb von Windows nicht passieren. Denkbar wäre aber, dass der Zugriff auf den Windows-Zufallszahlengenerator durch eine Gruppenrichtlinie unter Windows gesperrt wurde.

Weiterhin fanden die NCC-Auditoren heraus, dass die AES-Implementierungen von Truecrypt anfällig für Cache-Timing-Angriffe sind. Ein Problem ist das möglicherweise auf Multi-User-Systemen. Ein Nutzer könnte dadurch geheime Daten eines anderen Nutzers, der gerade Truecrypt nutzt, entschlüsseln. Möglich wäre auch, dass nativer Code, der in Googles Chrome-Browser ausgeführt werden kann, einen solchen Angriff durchführt. Allerdings hat Google den Zugriff auf die Cache-Flushing-Funktion kürzlich in der Native-Client-Umgebung in Chrome gesperrt, der Grund dafür war die Rowhammer-Lücke. Zumindest in aktuellen Chrome-Versionen dürfte dieses Risiko somit nicht mehr bestehen.

Fraglich ist, wie es jetzt mit Truecrypt weitergeht. Es existieren eine ganze Reihe von Forks, zwei davon - Veracrypt und Ciphershed haben sich die NCC-Mitarbeiter während ihres Audits auch angeschaut. Diese Ergebnisse sind aber nicht Teil des Berichts.

Unklare Lizenz

Das Problem: Es ist unklar, ob derartige Forks überhaupt zulässig sind. Zwar liegt Truecrypt im Quellcode vor, es steht allerdings nicht unter einer gängigen freien Lizenz. Viele Formulierungen sind unklar und sorgen für Unsicherheiten. Der Kryptographie-Experte Thomas Ptacek, der an der Organisation des Truecrypt-Audits beteiligt war, erklärte kürzlich in einer Diskussion auf Hacker News, dass er von der Verwendung derartiger Forks abrät. Aufgrund der unsicheren Lizenzsituation würden fähige Kryptographie-Entwickler sich vermutlich nicht an der Entwicklung eines solchen Forks beteiligen.

Der Truecrypt-Audit ist mit diesem zweiten Bericht abgeschlossen, das Open-Crypto-Audit-Projekt wird aber bestehen bleiben. Die Firma NCC wird sich als nächstes OpenSSL näher ansehen. Dabei soll vor allem der TLS-Stack geprüft werden. Finanziert wird der OpenSSL-Audit von der Core Infrastructure Initiative der Linux Foundation.


eye home zur Startseite
robinx999 09. Apr 2015

Die waren AFAIK damals auch Signiert. es gab immer auch einen File mit einer GPG...

elf 03. Apr 2015

Jetzt verwirrst du mich aber. Wo besteht jetzt bei dir der Zusammenhang zwischen...

IceRa 03. Apr 2015

Die NSA oder sonst ein dreibuchstabiger Verein hat die Jungs (oder einin davon) unter...

IceRa 03. Apr 2015

Keine Backdoors drin! Die NSA können nicht gegen Truecrypt anstinken, deswegen auch die...

Milber 03. Apr 2015

Jeder Stein ist ein DAU, meine Mutter hat letzte Woche selbstständig von einem Bild zum...



Anzeige

Stellenmarkt
  1. über Harvey Nash GmbH, Köln
  2. Cassini AG, verschiedene Standorte
  3. DMG MORI AKTIENGESELLSCHAFT, Bielefeld
  4. MBDA Deutschland, Schrobenhausen


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)

Folgen Sie uns
       


  1. Airport Guide Robot

    LG lässt den Flughafenroboter los

  2. Biometrische Erkennung

    Delta lässt Passagiere mit Fingerabdruck boarden

  3. Niantic

    Keine Monster bei Pokémon-Go-Fest

  4. Essential Phone

    Rubins Smartphone soll "in den kommenden Wochen" erscheinen

  5. Counter-Strike Go

    Bei Abschuss Ransomware

  6. Hacking

    Microsoft beschlagnahmt Fancy-Bear-Infrastruktur

  7. Die Woche im Video

    Strittige Standards, entzweite Bitcoins, eine Riesenkonsole

  8. Bundesverkehrsministerium

    Dobrindt finanziert weitere Projekte zum autonomen Fahren

  9. Mobile

    Razer soll Smartphone für Gamer planen

  10. Snail Games

    Dark and Light stürmt Steam



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kryptowährungen: Bitcoin steht vor grundlegenden Änderungen
Kryptowährungen
Bitcoin steht vor grundlegenden Änderungen
  1. Drogenhandel Weltweit größter Darknet-Marktplatz Alphabay ausgehoben
  2. Kryptowährungen Massiver Diebstahl von Ether
  3. Kryptowährung Bitcoin notiert auf neuem Rekordhoch

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF DNS wird sicher, aber erst später
  2. IETF Wie TLS abgehört werden könnte
  3. IETF 5G braucht das Internet - auch ohne Internet

  1. Re: Achso

    Evron | 22:33

  2. Re: Eintritt

    Topf | 22:32

  3. Re: was raucht der Mann

    Baptist | 22:32

  4. Hyperloop lockt Pseudowissenschaftler an

    Bujin | 22:23

  5. Re: Darum Internetspiele immer nur Isoliert...

    violator | 22:15


  1. 15:35

  2. 14:30

  3. 13:39

  4. 13:16

  5. 12:43

  6. 11:54

  7. 09:02

  8. 16:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel