Abo
  • Services:
Anzeige
Das Open Crypto Audit
Das Open Crypto Audit (Bild: Open Crypto Audit / Screenshot)

Verschlüsselung: Truecrypt-Audit findet kleinere Sicherheitsprobleme

Das Open Crypto Audit
Das Open Crypto Audit (Bild: Open Crypto Audit / Screenshot)

Die zweite Phase des Audits für die Verschlüsselungssoftware Truecrypt ist beendet. Dabei wurden die kryptographischen Funktionen untersucht. Einige Sicherheitsprobleme wurden entdeckt, sie treten aber nur in seltenen Fällen auf.

Anzeige

Das Open-Crypto-Audit-Projekt hat den Bericht über die zweite Phase des Truecrypt-Audits vorgelegt. Größere Probleme wurden nicht gefunden, allerdings entdeckten die Auditoren der Firma NCC einige kleinere Sicherheitslücken.

Keine größeren Probleme

"Basierend auf diesem Audit scheint es, als sei Truecrypt ein relativ gut designtes Stück Kryptographie-Software", kommentiert der Kryptograph Matthew Green die Ergebnisse. "Der NCC-Audit fand keine Hinweise auf absichtliche Hintertüren oder schwerwiegende Designfehler, die die Software in üblichen Szenarien unsicher machen."

Das Open-Crypto-Audit-Projekt wurde von Green und Kenneth White im Oktober 2013 gestartet. Innerhalb weniger Tage kam ein fünfstelliger Spendenbetrag zusammen. Truecrypt ist ein im Quellcode verfügbares Datenverschlüsselungstool. Zweifel gab es vor allem, weil die Autoren des Programms anonym sind. Im Mai 2014 gaben die Truecrypt-Entwickler ihr Projekt unter rätselhaften Umständen auf. Das Open-Crypto-Audit-Projekt entschloss sich jedoch, den Audit wie geplant fortzusetzen, da nach wie vor viele Menschen Truecrypt nutzen. Außerdem wurde von Kenneth White ein Mirror für den Quellcode von Truecrypt auf Github eingerichtet.

Der erste Bericht wurde bereits im April 2014 vorgelegt und fand einige kleinere Probleme, jedoch keine gravierenden Schwächen. Ähnlich lässt sich wohl auch der zweite Teil zusammenfassen, der sich vor allem auf die kryptographischen Funktionen selbst konzentrierte. Den vollständigen Bericht kann man auf der Webseite des Projekts herunterladen.

Falsche Prüfung bei Fehlern des Zufallszahlengenerators

An einer Stelle im Truecrypt-Code wird der Rückgabewert einer Funktion, die den Zufallszahlengenerator von Windows aufruft, nicht korrekt geprüft. In sehr seltenen Fällen kann das dazu führen, dass ein Schlüssel mit schlechten Zufallszahlen erzeugt wird. Allerdings sollte dies im Normalbetrieb von Windows nicht passieren. Denkbar wäre aber, dass der Zugriff auf den Windows-Zufallszahlengenerator durch eine Gruppenrichtlinie unter Windows gesperrt wurde.

Weiterhin fanden die NCC-Auditoren heraus, dass die AES-Implementierungen von Truecrypt anfällig für Cache-Timing-Angriffe sind. Ein Problem ist das möglicherweise auf Multi-User-Systemen. Ein Nutzer könnte dadurch geheime Daten eines anderen Nutzers, der gerade Truecrypt nutzt, entschlüsseln. Möglich wäre auch, dass nativer Code, der in Googles Chrome-Browser ausgeführt werden kann, einen solchen Angriff durchführt. Allerdings hat Google den Zugriff auf die Cache-Flushing-Funktion kürzlich in der Native-Client-Umgebung in Chrome gesperrt, der Grund dafür war die Rowhammer-Lücke. Zumindest in aktuellen Chrome-Versionen dürfte dieses Risiko somit nicht mehr bestehen.

Fraglich ist, wie es jetzt mit Truecrypt weitergeht. Es existieren eine ganze Reihe von Forks, zwei davon - Veracrypt und Ciphershed haben sich die NCC-Mitarbeiter während ihres Audits auch angeschaut. Diese Ergebnisse sind aber nicht Teil des Berichts.

Unklare Lizenz

Das Problem: Es ist unklar, ob derartige Forks überhaupt zulässig sind. Zwar liegt Truecrypt im Quellcode vor, es steht allerdings nicht unter einer gängigen freien Lizenz. Viele Formulierungen sind unklar und sorgen für Unsicherheiten. Der Kryptographie-Experte Thomas Ptacek, der an der Organisation des Truecrypt-Audits beteiligt war, erklärte kürzlich in einer Diskussion auf Hacker News, dass er von der Verwendung derartiger Forks abrät. Aufgrund der unsicheren Lizenzsituation würden fähige Kryptographie-Entwickler sich vermutlich nicht an der Entwicklung eines solchen Forks beteiligen.

Der Truecrypt-Audit ist mit diesem zweiten Bericht abgeschlossen, das Open-Crypto-Audit-Projekt wird aber bestehen bleiben. Die Firma NCC wird sich als nächstes OpenSSL näher ansehen. Dabei soll vor allem der TLS-Stack geprüft werden. Finanziert wird der OpenSSL-Audit von der Core Infrastructure Initiative der Linux Foundation.


eye home zur Startseite
robinx999 09. Apr 2015

Die waren AFAIK damals auch Signiert. es gab immer auch einen File mit einer GPG...

elf 03. Apr 2015

Jetzt verwirrst du mich aber. Wo besteht jetzt bei dir der Zusammenhang zwischen...

IceRa 03. Apr 2015

Die NSA oder sonst ein dreibuchstabiger Verein hat die Jungs (oder einin davon) unter...

IceRa 03. Apr 2015

Keine Backdoors drin! Die NSA können nicht gegen Truecrypt anstinken, deswegen auch die...

Milber 03. Apr 2015

Jeder Stein ist ein DAU, meine Mutter hat letzte Woche selbstständig von einem Bild zum...



Anzeige

Stellenmarkt
  1. QSC AG, verschiedene Standorte
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  4. ROHDE & SCHWARZ Meßgerätebau GmbH, Memmingen


Anzeige
Spiele-Angebote
  1. 6,99€
  2. 15,99€
  3. 19,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Hoversurf

    Hoverbike Scorpion-3 ist ein Motorradcopter

  2. Rubbelcard

    Freenet-TV-Guthabenkarten gehen in den Verkauf

  3. Nintendo

    Interner Speicher von Switch offenbar schon jetzt zu klein

  4. Noch 100 Tage

    Unitymedia schaltet Analogfernsehen schrittweise ab

  5. Routerfreiheit

    Tagelange Störung bei Aktivierungsportal von Vodafone

  6. Denverton

    Intel plant Atom C3000 mit bis zu 16 Goldmont-CPU-Kernen

  7. Trotz Weiterbildung

    Arbeitslos als Fachinformatiker

  8. Klage gegen Steuernachzahlung

    Apple beruft sich auf europäische Grundrechte

  9. 3D Studio

    Nvidia spendiert Qt Hunderttausende Zeilen Code

  10. Horizon Zero Dawn im Test

    Abenteuer im Land der Maschinenmonster



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig
  3. Surface Ergonomic Keyboard Microsofts Neuauflage der Mantarochen-Tastatur

Merkels NSA-Vernehmung: Die unerträgliche Uninformiertheit der Kanzlerin
Merkels NSA-Vernehmung
Die unerträgliche Uninformiertheit der Kanzlerin
  1. US-Präsident Zuck it, Trump!
  2. Begnadigung Danke, Chelsea Manning!
  3. Glasfaser Nun hängt die Kabel doch endlich auf!

  1. Re: Wir suchen staendig Linux Admins und die...

    FullMoon | 20:03

  2. Re: Biete Job für Linux-Profi in Bremen

    Jolla | 20:03

  3. Re: Erfahrungsbericht aus der echten Praxis...

    wire-less | 20:03

  4. Re: Fehler: Federation ist...

    mbirth | 20:02

  5. Re: Die meisten Admins sind Nichtskönner

    menno | 20:02


  1. 18:30

  2. 18:14

  3. 16:18

  4. 15:53

  5. 15:29

  6. 15:00

  7. 14:45

  8. 14:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel