Abo
  • IT-Karriere:

Verschlüsselung: Truecrypt-Audit findet kleinere Sicherheitsprobleme

Die zweite Phase des Audits für die Verschlüsselungssoftware Truecrypt ist beendet. Dabei wurden die kryptographischen Funktionen untersucht. Einige Sicherheitsprobleme wurden entdeckt, sie treten aber nur in seltenen Fällen auf.

Artikel veröffentlicht am , Hanno Böck
Das Open Crypto Audit
Das Open Crypto Audit (Bild: Open Crypto Audit / Screenshot)

Das Open-Crypto-Audit-Projekt hat den Bericht über die zweite Phase des Truecrypt-Audits vorgelegt. Größere Probleme wurden nicht gefunden, allerdings entdeckten die Auditoren der Firma NCC einige kleinere Sicherheitslücken.

Keine größeren Probleme

Stellenmarkt
  1. UDG United Digital Group, Ludwigsburg, Herrenberg, Karlsruhe, Mainz
  2. intelliAd Media GmbH, München

"Basierend auf diesem Audit scheint es, als sei Truecrypt ein relativ gut designtes Stück Kryptographie-Software", kommentiert der Kryptograph Matthew Green die Ergebnisse. "Der NCC-Audit fand keine Hinweise auf absichtliche Hintertüren oder schwerwiegende Designfehler, die die Software in üblichen Szenarien unsicher machen."

Das Open-Crypto-Audit-Projekt wurde von Green und Kenneth White im Oktober 2013 gestartet. Innerhalb weniger Tage kam ein fünfstelliger Spendenbetrag zusammen. Truecrypt ist ein im Quellcode verfügbares Datenverschlüsselungstool. Zweifel gab es vor allem, weil die Autoren des Programms anonym sind. Im Mai 2014 gaben die Truecrypt-Entwickler ihr Projekt unter rätselhaften Umständen auf. Das Open-Crypto-Audit-Projekt entschloss sich jedoch, den Audit wie geplant fortzusetzen, da nach wie vor viele Menschen Truecrypt nutzen. Außerdem wurde von Kenneth White ein Mirror für den Quellcode von Truecrypt auf Github eingerichtet.

Der erste Bericht wurde bereits im April 2014 vorgelegt und fand einige kleinere Probleme, jedoch keine gravierenden Schwächen. Ähnlich lässt sich wohl auch der zweite Teil zusammenfassen, der sich vor allem auf die kryptographischen Funktionen selbst konzentrierte. Den vollständigen Bericht kann man auf der Webseite des Projekts herunterladen.

Falsche Prüfung bei Fehlern des Zufallszahlengenerators

An einer Stelle im Truecrypt-Code wird der Rückgabewert einer Funktion, die den Zufallszahlengenerator von Windows aufruft, nicht korrekt geprüft. In sehr seltenen Fällen kann das dazu führen, dass ein Schlüssel mit schlechten Zufallszahlen erzeugt wird. Allerdings sollte dies im Normalbetrieb von Windows nicht passieren. Denkbar wäre aber, dass der Zugriff auf den Windows-Zufallszahlengenerator durch eine Gruppenrichtlinie unter Windows gesperrt wurde.

Weiterhin fanden die NCC-Auditoren heraus, dass die AES-Implementierungen von Truecrypt anfällig für Cache-Timing-Angriffe sind. Ein Problem ist das möglicherweise auf Multi-User-Systemen. Ein Nutzer könnte dadurch geheime Daten eines anderen Nutzers, der gerade Truecrypt nutzt, entschlüsseln. Möglich wäre auch, dass nativer Code, der in Googles Chrome-Browser ausgeführt werden kann, einen solchen Angriff durchführt. Allerdings hat Google den Zugriff auf die Cache-Flushing-Funktion kürzlich in der Native-Client-Umgebung in Chrome gesperrt, der Grund dafür war die Rowhammer-Lücke. Zumindest in aktuellen Chrome-Versionen dürfte dieses Risiko somit nicht mehr bestehen.

Fraglich ist, wie es jetzt mit Truecrypt weitergeht. Es existieren eine ganze Reihe von Forks, zwei davon - Veracrypt und Ciphershed haben sich die NCC-Mitarbeiter während ihres Audits auch angeschaut. Diese Ergebnisse sind aber nicht Teil des Berichts.

Unklare Lizenz

Das Problem: Es ist unklar, ob derartige Forks überhaupt zulässig sind. Zwar liegt Truecrypt im Quellcode vor, es steht allerdings nicht unter einer gängigen freien Lizenz. Viele Formulierungen sind unklar und sorgen für Unsicherheiten. Der Kryptographie-Experte Thomas Ptacek, der an der Organisation des Truecrypt-Audits beteiligt war, erklärte kürzlich in einer Diskussion auf Hacker News, dass er von der Verwendung derartiger Forks abrät. Aufgrund der unsicheren Lizenzsituation würden fähige Kryptographie-Entwickler sich vermutlich nicht an der Entwicklung eines solchen Forks beteiligen.

Der Truecrypt-Audit ist mit diesem zweiten Bericht abgeschlossen, das Open-Crypto-Audit-Projekt wird aber bestehen bleiben. Die Firma NCC wird sich als nächstes OpenSSL näher ansehen. Dabei soll vor allem der TLS-Stack geprüft werden. Finanziert wird der OpenSSL-Audit von der Core Infrastructure Initiative der Linux Foundation.



Anzeige
Top-Angebote
  1. 79,00€
  2. 59,99€
  3. ab 17,99€
  4. 799,90€

robinx999 09. Apr 2015

Die waren AFAIK damals auch Signiert. es gab immer auch einen File mit einer GPG...

elf 03. Apr 2015

Jetzt verwirrst du mich aber. Wo besteht jetzt bei dir der Zusammenhang zwischen...

IceRa 03. Apr 2015

Die NSA oder sonst ein dreibuchstabiger Verein hat die Jungs (oder einin davon) unter...

IceRa 03. Apr 2015

Keine Backdoors drin! Die NSA können nicht gegen Truecrypt anstinken, deswegen auch die...

Milber 03. Apr 2015

Jeder Stein ist ein DAU, meine Mutter hat letzte Woche selbstständig von einem Bild zum...


Folgen Sie uns
       


Sekiro - Test

Ein einsamer Kämpfer und sein Katana stehen im Mittelpunkt von Sekiro - Shadows Die Twice. Das Actionspiel von From Software schickt Spieler in ein spannendes Abenteuer voller Herausforderungen.

Sekiro - Test Video aufrufen
Technologie: Warum Roboter in Japan so beliebt sind
Technologie
Warum Roboter in Japan so beliebt sind

Japaner produzieren nicht nur mehr Roboter als jede andere Nation, sie gehen auch selbstverständlicher mit ihnen um. Das liegt an der besonderen Geschichte und Religion des Inselstaats - und an Astro Boy.
Von Miroslav Stimac

  1. Heimautomatisierung Wäschefaltroboter-Hersteller Seven Dreamers ist insolvent
  2. Kreativität Roboterdame Ai-Da soll zeichnen und malen
  3. Automatisierung Roboterhotel entlässt Roboter

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

Anno 1800 im Test: Super aufgebaut
Anno 1800 im Test
Super aufgebaut

Ach, ist das schön: In Anno 1800 sind wir endlich wieder in einer heimelig-historischen Welt unterwegs - zumindest anfangs. Das neue Werk von Blue Byte fesselt dank des toll umgesetzten und unverwüstlichen Spielprinzips. Auch neue Elemente wie die Klassengesellschaft funktionieren.
Von Peter Steinlechner

  1. Ubisoft Blue Byte Anno 1800 erhält Koop-Modus und mehr Statistiken
  2. Ubisoft Blue Byte Preload der offenen Beta von Anno 1800 eröffnet
  3. Systemanforderungen Anno 1800 braucht schnelle CPU

    •  /