• IT-Karriere:
  • Services:

Verschlüsselungssoftware: BSI verschweigt Truecrypt-Sicherheitsprobleme

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2010 eine umfangreiche Analyse der Verschlüsselungssoftware Truecrypt erstellen lassen. Die Ergebnisse landeten in der Schublade, die Öffentlichkeit wurde über die zahlreichen gefundenen Sicherheitsrisiken nicht informiert.

Ein Bericht von veröffentlicht am
Das BSI wusste viel über die Sicherheit von Truecrypt - und hat die Dokumente jahrelang geheim gehalten.
Das BSI wusste viel über die Sicherheit von Truecrypt - und hat die Dokumente jahrelang geheim gehalten. (Bild: Truecrypt-Logo / Effekt)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine detaillierte Untersuchung der Verschlüsselungssoftware Truecrypt neun Jahre lang geheim gehalten. Die Dokumente, die Golem.de vorliegen, erläutern auf mehr als 400 Seiten ausführlich die Architektur des Verschlüsselungstools, listen zahlreiche Sicherheitsprobleme auf und machen Vorschläge, wie diese behoben werden könnten.

Inhalt:
  1. Verschlüsselungssoftware: BSI verschweigt Truecrypt-Sicherheitsprobleme
  2. Truecrypt-Entwicklung plötzlich mit Verweis auf Sicherheitsprobleme beendet
  3. Fehlendes Kapitel über Off-by-One-Overflows

Aufmerksam wurde Golem.de auf die Existenz dieser Dokumente durch einen Eintrag auf der Plattform Frag den Staat. Dort können Nutzer Anfragen an Behörden nach dem Informationsfreiheitsgesetz stellen, das Behörden verpflichtet, Dokumente auf Anfrage herauszugeben. Ein Nutzer schickte eine eher allgemeine Anfrage an das BSI und bat um alle dort vorhandenen Untersuchungen von Truecrypt.

Gutachten darf wegen Urheberrecht nicht veröffentlicht werden

Das BSI übersandte daraufhin dem Fragesteller mehrere Dokumente, die laut Datum aus dem Jahr 2010 stammten und in denen Truecrypt ausführlich analysiert wurde. Allerdings teilte das BSI dem Antragsteller auch mit, dass die Dokumente urheberrechtlich geschützt seien und er diese nicht veröffentlichen dürfe. Golem.de fragte die Dokumente daraufhin selbst nochmals an und erhielt sie auch nach einiger Zeit - ebenfalls mit dem Vermerk, sie nicht veröffentlichen zu dürfen.

Das Urheberrecht dient Behörden häufig als Vorwand, um die Veröffentlichung von Dokumenten zu verhindern. So streitet die Plattform Frag den Staat beispielsweise schon länger mit dem Bundesamt für Risikoforschung um die Veröffentlichung eines Gutachtens zum Pflanzenschutzmittel Glyphosat. Auch das BSI untersagte in einem früheren Fall unter Verweis auf das Urheberrecht bereits die Veröffentlichung eines Gutachtens, in dem Verschlüsselungsbibliotheken untersucht wurden.

Stellenmarkt
  1. AZTEKA Consulting GmbH, Freiburg, Mannheim
  2. über duerenhoff GmbH, Raum Stuttgart

Auf den Truecrypt-Dokumenten ist der Vermerk "Verschlusssache - nur für den Dienstgebrauch" zu lesen, der aber durchgestrichen wurde. Der Inhalt ist brisant, denn er zeigt, dass dem BSI zahlreiche Informationen über die Sicherheit von Truecrypt sowie ganz konkrete Sicherheitsprobleme seit langem vorlagen. Das BSI hat nach eigenen Angaben zwar die Truecrypt-Entwickler über die Resultate informiert, sich aber offenbar entschieden, die Dokumente weder zu veröffentlichen noch das Nachfolgeprojekt Veracrypt darüber zu informieren.

BSI schickt vollständige Dokumente erst nach mehrmaligen Rückfragen

Die fünf Dokumente sind von AP2 bis AP6 durchnummeriert, AP steht hier für Arbeitspaket. Naheliegend stellt sich die Frage, warum kein AP1 enthalten war. Auf Nachfrage teilte das BSI mit: "Beim AP1 handelt es sich um eine Recherche und Übersicht, welche Funktionalitäten am Markt existierende Festplattenverschlüsselungsprodukte implementieren (inklusive der Windows- und der Linux-Version von Truecrypt). Da es sich hierbei um keine 'Untersuchung' des Programms 'Truecrypt' handelt, sahen wir dieses Dokument als nicht von der Informationsfreiheitsgesetz-Anfrage erfasst."

Wir baten daraufhin unter Berufung auf das Informationsfreiheitsgesetz darum, uns dieses Dokument ebenfalls zuzuschicken. Dass das BSI zu der Einschätzung kam, dass es sich dabei nicht um eine "Untersuchung" handle, überrascht - der Titel des Dokuments lautet: "Untersuchung Truecrypt - Arbeitspaket 1 - Funktionale Unterschiede zwischen Microsoft Windows und Linux Version."

Vollständig war das Ganze damit allerdings immer noch nicht. Beim Lesen der Dokumente fiel auf, dass mehrfach darauf verwiesen wird, dass Angriffe in AP7 näher beschrieben würden. Nach mehrmaligem Nachhaken erhielt Golem.de auch dieses Dokument.

Truecrypt stammte von ursprünglich anonymen Entwicklern

Die Software Truecrypt hat eine illustre und wechselhafte Geschichte. Das Programm wurde von anonymen Entwicklern geschrieben. Laut Recherchen des Journalisten Evan Ratliff war der Drogenhändler Paul Le Roux an der Entwicklung beteiligt. Truecrypt ermöglicht relativ einfach das lokale Verschlüsseln von Dateien, die in einem Datencontainer gespeichert werden. Zudem ist es möglich, ganze Laufwerke zu verschlüsseln.

Strittig war und ist die Lizenz des Codes. Zwar ist der Quellcode öffentlich verfügbar, aber die Lizenz enthält einige Einschränkungen, die dazu führten, dass Truecrypt nicht unter die Definition von freier Software oder Open Source fällt. Aus diesem Grund wurden für Truecrypt in vielen Linux-Distributionen keine offiziellen Pakete bereitgestellt.

Im Jahr 2013 startete der Kryptograph Matthew Green eine Spendenkampagne, um einen Sicherheitstest von Truecrypt zu finanzieren. Gemeinsam mit dem IT-Sicherheitsexperten Kenneth White gründete er dazu das Open Crypto Audit Project. Das Geld kam innerhalb kurzer Zeit zusammen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Truecrypt-Entwicklung plötzlich mit Verweis auf Sicherheitsprobleme beendet 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. (u. a. Xbox Wireless Controller Robot White für 59,99€)

nirgendwer 21. Dez 2019

So pauschal kann man das nicht sagen. Was für Weisungen sind es denn? Nur...

OwenBurnett 19. Dez 2019

Das ist wirklich unangebrachter Fatalismus. Nur weil man mit Windows 10 in der Standrad...

narfomat 17. Dez 2019

klingt alles richtig interessant, aber bevor ich nicht einen PRAKTISCHEN BEWEIS habe, das...

gadthrawn 17. Dez 2019

Man muss nicht schlampen und jeder Consumer-Software ist per Definition unsicher. Ein...

Vögelchen 17. Dez 2019

Manche gedanklichen Schnellschüsse sind schon bemerkenswert. Open Source ist kein...


Folgen Sie uns
       


Übersetzung mit DeepL - Tutorial

Wir zeigen im Video, wie die Windows-Version des Übersetzungsprogramms DeepL funktioniert.

Übersetzung mit DeepL - Tutorial Video aufrufen
CPU und GPU vereint: Wie die Fusion zu AMDs Zukunft wurde
CPU und GPU vereint
Wie die Fusion zu AMDs Zukunft wurde

Mit Lauchgemüse und Katzen-Kernen zu Playstation und Xbox: Wir blicken auf ein Jahrzehnt an Accelerated Processing Units (APUs) zurück.
Ein Bericht von Marc Sauter


    Facebook: Whatsapp stellt Nutzern ein Ultimatum
    Facebook
    Whatsapp stellt Nutzern ein Ultimatum

    Nutzer, die den neuen Geschäftsbedingungen und der neuen Datenschutzerklärung nicht bis zum 8. Februar zustimmen, können Whatsapp nicht weiter verwenden.

    1. Facebook Whatsapp verschiebt Einführung der neuen Datenschutzregeln
    2. Watchchat Whatsapp mit der Apple Watch bedienen
    3. Strafverfolgung BKA liest Nachrichten per Whatsapp-Synchronisation mit

    USA: Die falsche Toleranz im Silicon Valley muss endlich aufhören
    USA
    Die falsche Toleranz im Silicon Valley muss endlich aufhören

    Github wirft einen Juden raus, der vor Nazis warnt, weil das den Betrieb stört. Das ist moralisch verkommen - wie üblich im Silicon Valley.
    Ein IMHO von Sebastian Grüner

    1. CES 2021 So geht eine Messe in Pandemie-Zeiten
    2. Handyortung Sinnloser Traum vom elektronischen Zaun gegen Corona
    3. CD Projekt Red Crunch trifft auf Cyberpunk 2077

      •  /