• IT-Karriere:
  • Services:

Truecrypt-Entwicklung plötzlich mit Verweis auf Sicherheitsprobleme beendet

Einige Zeit später nahm die Geschichte eine unerwartete Wendung - die Entwickler von Truecrypt stellten plötzlich die Entwicklung ein und veröffentlichten eine Warnung auf ihrer Webseite: Truecrypt sei unsicher, es gebe möglicherweise ungefixte Sicherheitsprobleme. Eine weitere Erklärung gab es nicht, die Truecrypt-Entwickler verwiesen darauf, dass Nutzer stattdessen die Bitlocker-Verschlüsselung von Windows nutzen könnten.

Stellenmarkt
  1. DIgSILENT GmbH, Gomaringen
  2. KION Group AG, Frankfurt am Main

2015 wurde der finale Bericht des Open Crypto Audit Project veröffentlicht - größere Schwächen fanden sich im Code von Truecrypt nicht, aber einige Kleinigkeiten. So fanden die von Green und White beauftragten Sicherheitsexperten der Firma NCC heraus, dass die AES-Implementierung Seitenkanalangriffe ermöglicht - eine Erkenntnis, die auch im BSI-Audit auftaucht. Wenig später fand ein Mitarbeiter von Googles Project Zero weitere Sicherheitslücken in Truecrypt.

Nachfolger Veracrypt wird weiterentwickelt

Da es von Truecrypt keine neueren Versionen mehr gibt, ist die Software für all diese Schwächen weiterhin anfällig. Ein Fork von Truecrypt wird allerdings unter dem Namen Veracrypt weiterentwickelt. Die gefundenen Schwächen wurden dort behoben, auch wurde Veracrypt später einem weiteren Audit unterzogen.

All das wusste das BSI. Als Reaktion gab das BSI selbst eine weitere Sicherheitsanalyse von Truecrypt in Auftrag, die sich in großen Teilen auf das Open Crypto Audit Project bezieht. Diese Analyse kann man auf der Webseite des BSI herunterladen. Vom älteren und deutlich ausführlicheren Audit aus dem Jahr 2010 findet sich darin jedoch kein Wort.

Das BSI erklärte auf Anfrage, dass der Audit 2010 im Rahmen des sogenannten IT-Investitionsprogramms zur Modernisierung der Informations- und Kommunikationstechnik der Verwaltung durchgeführt wurde. "Der Zweck des Audits war, Sicherheitserkenntnisse über Truecrypt zu gewinnen. Die Ergebnisse wurden dem damaligen Herausgeber, der Truecrypt Foundation, mitgeteilt", schreibt ein Sprecher des BSI. Die Truecrypt Foundation habe aber mitgeteilt, dass die Ergebnisse für sie nicht relevant seien.

"Die Ergebnisdokumente des Audits aus dem Jahre 2010 waren nicht zur Veröffentlichung vorgesehen und bezogen sich auf die Vorgängerversion Truecrypt 7.0", begründet das BSI die Nichtveröffentlichung.

Veracrypt-Chefentwickler Mounir Idrassi bestätigte auf Anfrage von Golem.de, dass er vom Sicherheitsaudit des BSI noch nie gehört habe. Dass die Ergebnisse mit Veracrypt nicht geteilt wurden, begründet das BSI so: "Das Projekt des IT-Investitionsprogramms wurde im Jahre 2011 abgeschlossen, also lange vor der Gründung von Veracrypt im Jahre 2015."

Im BSI-Audit aus dem Jahr 2010 werden zunächst ausführlich die Architektur von Truecrypt und die Unterschiede der verschiedenen Betriebssystemversionen für Windows und Linux beschrieben. Die Version für Mac OS X schien das BSI dabei weniger zu interessieren, sie kommt in den Dokumenten nur am Rande vor.

Buffer Overflow mit geringem Risiko

Eine der konkret beschriebenen Sicherheitslücken ist ein möglicher Buffer Overflow in einer Funktion, die zum Ausführen externer Programme genutzt wird. Diese Funktion namens Process::Execute nimmt dabei als Parameter einen Programmnamen und einen Array von Kommandozeilenoptionen. Diese werden anschließend in einen 32 Elemente großen Array kopiert, als letzter Wert wird ein Null-Pointer hinzugefügt.

Ein Check prüft dabei, ob zu viele Kommandozeilenoptionen übergeben wurden, dabei wurde aber der abschließende Nullpointer nicht berücksichtigt. Wenn man genau 31 Kommandozeilenoptionen übergibt, kommt es zu einem Buffer Overflow. Dieser Fehler war bis vor kurzem im Code von Veracrypt vorhanden. Wir haben den Entwicklern von Veracrypt einen Patch für diesen Fehler geschickt, der inzwischen übernommen wurde.

Das praktische Risiko ist vermutlich eher gering: Es ist unwahrscheinlich, dass der Veracrypt-Code tatsächlich ein Programm mit so vielen Kommandozeilenoptionen aufruft - und selbst dann hat ein Angreifer kaum Kontrolle über den verwendeten Speicher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Verschlüsselungssoftware: BSI verschweigt Truecrypt-SicherheitsproblemeFehlendes Kapitel über Off-by-One-Overflows 
  1.  
  2. 1
  3. 2
  4. 3
  5.  
Zu den Kommentaren springen
Meistgelesen
  1. Bruce Schneier
    "Es ist zu spät, um 5G wirklich sicher zu machen"
  2. Cirrus7 Incus A300 im Test
    Lautloses Ryzen-Genie aus Deutschland
  3. Jobverluste in der Autobranche
    E-Autos sind nicht an allem schuld
  4. Motorola Razr
    Beulen und Klumpen im Faltdisplay sind "normal"
  5. United States Space Force
    Sternenflotten-artiges Logo verärgert Star-Trek-Fans
Anzeige
Hardware-Angebote
  2. täglich neue Deals bei Alternate.de
  4. (u. a. MSI Optix G24C für 155,00€, Asus VP278H für 125,00€, LG 27UD59-W für 209,00€ und HP...
Kommentarübersicht
Re: Das BSI benötigt einen Masterreset
nirgendwer 21. Dez 2019 / Themenstart

So pauschal kann man das nicht sagen. Was für Weisungen sind es denn? Nur...

Re: TC/Veracrypt ist ein krampf - DiskCryptor rulz
OwenBurnett 19. Dez 2019 / Themenstart

Das ist wirklich unangebrachter Fatalismus. Nur weil man mit Windows 10 in der Standrad...

praktischer nutzen / - BEWEIS!
narfomat 17. Dez 2019 / Themenstart

klingt alles richtig interessant, aber bevor ich nicht einen PRAKTISCHEN BEWEIS habe, das...

Re: Lange Rede...welcher Sinn?
gadthrawn 17. Dez 2019 / Themenstart

Man muss nicht schlampen und jeder Consumer-Software ist per Definition unsicher. Ein...

Re: Ist es nicht Zeit TrueCrypt-Code aus...
Vögelchen 17. Dez 2019 / Themenstart

Manche gedanklichen Schnellschüsse sind schon bemerkenswert. Open Source ist kein...

Kommentieren

Folgen Sie uns
       
Cirrus7 Incus A300 - Test

Wir testen den Incus A300 von Cirrus7, einen passiv gekühlten Mini-PC für AMDs Ryzen 2000G/3000G.

Cirrus7 Incus A300 - Test Video aufrufen
Gehalt
IT-Gehälter: Je nach Branche bis zu 1.000 Euro mehr
IT-Gehälter
Je nach Branche bis zu 1.000 Euro mehr

Wechselt ein ITler in eine andere Branche, sind auf dem gleichen Posten bis zu 1.000 Euro pro Monat mehr drin. Welche Industrien die höchsten und welche die niedrigsten Gehälter zahlen: Wir haben die Antworten auf diese Fragen - auch darauf, wie sich die Einkommen 2020 entwickeln werden.
Von Peter Ilg

  1. Softwareentwickler Der Fachkräftemangel zeigt sich nicht an den Gehältern
CES 2020
Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Schräges von der CES 2020 Die Connected-Kartoffel
  3. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch
Linux
Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /