• IT-Karriere:
  • Services:

Verschlüsselung: Truecrypt-Audit findet kleinere Sicherheitsprobleme

Die zweite Phase des Audits für die Verschlüsselungssoftware Truecrypt ist beendet. Dabei wurden die kryptographischen Funktionen untersucht. Einige Sicherheitsprobleme wurden entdeckt, sie treten aber nur in seltenen Fällen auf.

Artikel veröffentlicht am , Hanno Böck
Das Open Crypto Audit
Das Open Crypto Audit (Bild: Open Crypto Audit / Screenshot)

Das Open-Crypto-Audit-Projekt hat den Bericht über die zweite Phase des Truecrypt-Audits vorgelegt. Größere Probleme wurden nicht gefunden, allerdings entdeckten die Auditoren der Firma NCC einige kleinere Sicherheitslücken.

Keine größeren Probleme

Stellenmarkt
  1. Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen
  2. AUSY Technologies Germany AG, verschiedene Standorte

"Basierend auf diesem Audit scheint es, als sei Truecrypt ein relativ gut designtes Stück Kryptographie-Software", kommentiert der Kryptograph Matthew Green die Ergebnisse. "Der NCC-Audit fand keine Hinweise auf absichtliche Hintertüren oder schwerwiegende Designfehler, die die Software in üblichen Szenarien unsicher machen."

Das Open-Crypto-Audit-Projekt wurde von Green und Kenneth White im Oktober 2013 gestartet. Innerhalb weniger Tage kam ein fünfstelliger Spendenbetrag zusammen. Truecrypt ist ein im Quellcode verfügbares Datenverschlüsselungstool. Zweifel gab es vor allem, weil die Autoren des Programms anonym sind. Im Mai 2014 gaben die Truecrypt-Entwickler ihr Projekt unter rätselhaften Umständen auf. Das Open-Crypto-Audit-Projekt entschloss sich jedoch, den Audit wie geplant fortzusetzen, da nach wie vor viele Menschen Truecrypt nutzen. Außerdem wurde von Kenneth White ein Mirror für den Quellcode von Truecrypt auf Github eingerichtet.

Der erste Bericht wurde bereits im April 2014 vorgelegt und fand einige kleinere Probleme, jedoch keine gravierenden Schwächen. Ähnlich lässt sich wohl auch der zweite Teil zusammenfassen, der sich vor allem auf die kryptographischen Funktionen selbst konzentrierte. Den vollständigen Bericht kann man auf der Webseite des Projekts herunterladen.

Falsche Prüfung bei Fehlern des Zufallszahlengenerators

An einer Stelle im Truecrypt-Code wird der Rückgabewert einer Funktion, die den Zufallszahlengenerator von Windows aufruft, nicht korrekt geprüft. In sehr seltenen Fällen kann das dazu führen, dass ein Schlüssel mit schlechten Zufallszahlen erzeugt wird. Allerdings sollte dies im Normalbetrieb von Windows nicht passieren. Denkbar wäre aber, dass der Zugriff auf den Windows-Zufallszahlengenerator durch eine Gruppenrichtlinie unter Windows gesperrt wurde.

Weiterhin fanden die NCC-Auditoren heraus, dass die AES-Implementierungen von Truecrypt anfällig für Cache-Timing-Angriffe sind. Ein Problem ist das möglicherweise auf Multi-User-Systemen. Ein Nutzer könnte dadurch geheime Daten eines anderen Nutzers, der gerade Truecrypt nutzt, entschlüsseln. Möglich wäre auch, dass nativer Code, der in Googles Chrome-Browser ausgeführt werden kann, einen solchen Angriff durchführt. Allerdings hat Google den Zugriff auf die Cache-Flushing-Funktion kürzlich in der Native-Client-Umgebung in Chrome gesperrt, der Grund dafür war die Rowhammer-Lücke. Zumindest in aktuellen Chrome-Versionen dürfte dieses Risiko somit nicht mehr bestehen.

Fraglich ist, wie es jetzt mit Truecrypt weitergeht. Es existieren eine ganze Reihe von Forks, zwei davon - Veracrypt und Ciphershed haben sich die NCC-Mitarbeiter während ihres Audits auch angeschaut. Diese Ergebnisse sind aber nicht Teil des Berichts.

Unklare Lizenz

Das Problem: Es ist unklar, ob derartige Forks überhaupt zulässig sind. Zwar liegt Truecrypt im Quellcode vor, es steht allerdings nicht unter einer gängigen freien Lizenz. Viele Formulierungen sind unklar und sorgen für Unsicherheiten. Der Kryptographie-Experte Thomas Ptacek, der an der Organisation des Truecrypt-Audits beteiligt war, erklärte kürzlich in einer Diskussion auf Hacker News, dass er von der Verwendung derartiger Forks abrät. Aufgrund der unsicheren Lizenzsituation würden fähige Kryptographie-Entwickler sich vermutlich nicht an der Entwicklung eines solchen Forks beteiligen.

Der Truecrypt-Audit ist mit diesem zweiten Bericht abgeschlossen, das Open-Crypto-Audit-Projekt wird aber bestehen bleiben. Die Firma NCC wird sich als nächstes OpenSSL näher ansehen. Dabei soll vor allem der TLS-Stack geprüft werden. Finanziert wird der OpenSSL-Audit von der Core Infrastructure Initiative der Linux Foundation.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 89,90€
  2. 179€ (Bestpreis)
  3. (u. a. Rocketman für 8,99€, Ready Player One für 8,79€, Atomic Blondie für 9,49€)
  4. (u. a. EA Promo (u. a. Unravel für 8,99€, Anthem für 8,99€), Tiny and Big: Grandpa's...

robinx999 09. Apr 2015

Die waren AFAIK damals auch Signiert. es gab immer auch einen File mit einer GPG...

elf 03. Apr 2015

Jetzt verwirrst du mich aber. Wo besteht jetzt bei dir der Zusammenhang zwischen...

IceRa 03. Apr 2015

Die NSA oder sonst ein dreibuchstabiger Verein hat die Jungs (oder einin davon) unter...

IceRa 03. Apr 2015

Keine Backdoors drin! Die NSA können nicht gegen Truecrypt anstinken, deswegen auch die...

Milber 03. Apr 2015

Jeder Stein ist ein DAU, meine Mutter hat letzte Woche selbstständig von einem Bild zum...


Folgen Sie uns
       


Sprachsteuerung mit Apple Music im Vergleich

Eigentlich sollen smarte Lautsprecher den Musikkonsum auf Zuruf besonders bequem machen - aber das gelingt oftmals nicht. Überraschenderweise spielen Siri, Google Assistant und Alexa bei gleichen Sprachbefehlen andere Sachen, obwohl alle auf Apple Music zugreifen.

Sprachsteuerung mit Apple Music im Vergleich Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /