• IT-Karriere:
  • Services:

Verschlüsselungssoftware: BSI verschweigt Truecrypt-Sicherheitsprobleme

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2010 eine umfangreiche Analyse der Verschlüsselungssoftware Truecrypt erstellen lassen. Die Ergebnisse landeten in der Schublade, die Öffentlichkeit wurde über die zahlreichen gefundenen Sicherheitsrisiken nicht informiert.

Ein Bericht von veröffentlicht am
Das BSI wusste viel über die Sicherheit von Truecrypt - und hat die Dokumente jahrelang geheim gehalten.
Das BSI wusste viel über die Sicherheit von Truecrypt - und hat die Dokumente jahrelang geheim gehalten. (Bild: Truecrypt-Logo / Effekt)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine detaillierte Untersuchung der Verschlüsselungssoftware Truecrypt neun Jahre lang geheim gehalten. Die Dokumente, die Golem.de vorliegen, erläutern auf mehr als 400 Seiten ausführlich die Architektur des Verschlüsselungstools, listen zahlreiche Sicherheitsprobleme auf und machen Vorschläge, wie diese behoben werden könnten.

Inhalt:
  1. Verschlüsselungssoftware: BSI verschweigt Truecrypt-Sicherheitsprobleme
  2. Truecrypt-Entwicklung plötzlich mit Verweis auf Sicherheitsprobleme beendet
  3. Fehlendes Kapitel über Off-by-One-Overflows

Aufmerksam wurde Golem.de auf die Existenz dieser Dokumente durch einen Eintrag auf der Plattform Frag den Staat. Dort können Nutzer Anfragen an Behörden nach dem Informationsfreiheitsgesetz stellen, das Behörden verpflichtet, Dokumente auf Anfrage herauszugeben. Ein Nutzer schickte eine eher allgemeine Anfrage an das BSI und bat um alle dort vorhandenen Untersuchungen von Truecrypt.

Gutachten darf wegen Urheberrecht nicht veröffentlicht werden

Das BSI übersandte daraufhin dem Fragesteller mehrere Dokumente, die laut Datum aus dem Jahr 2010 stammten und in denen Truecrypt ausführlich analysiert wurde. Allerdings teilte das BSI dem Antragsteller auch mit, dass die Dokumente urheberrechtlich geschützt seien und er diese nicht veröffentlichen dürfe. Golem.de fragte die Dokumente daraufhin selbst nochmals an und erhielt sie auch nach einiger Zeit - ebenfalls mit dem Vermerk, sie nicht veröffentlichen zu dürfen.

Das Urheberrecht dient Behörden häufig als Vorwand, um die Veröffentlichung von Dokumenten zu verhindern. So streitet die Plattform Frag den Staat beispielsweise schon länger mit dem Bundesamt für Risikoforschung um die Veröffentlichung eines Gutachtens zum Pflanzenschutzmittel Glyphosat. Auch das BSI untersagte in einem früheren Fall unter Verweis auf das Urheberrecht bereits die Veröffentlichung eines Gutachtens, in dem Verschlüsselungsbibliotheken untersucht wurden.

Stellenmarkt
  1. Verkehrsbetriebe Karlsruhe GmbH, Karlsruhe
  2. über duerenhoff GmbH, Raum Köln

Auf den Truecrypt-Dokumenten ist der Vermerk "Verschlusssache - nur für den Dienstgebrauch" zu lesen, der aber durchgestrichen wurde. Der Inhalt ist brisant, denn er zeigt, dass dem BSI zahlreiche Informationen über die Sicherheit von Truecrypt sowie ganz konkrete Sicherheitsprobleme seit langem vorlagen. Das BSI hat nach eigenen Angaben zwar die Truecrypt-Entwickler über die Resultate informiert, sich aber offenbar entschieden, die Dokumente weder zu veröffentlichen noch das Nachfolgeprojekt Veracrypt darüber zu informieren.

BSI schickt vollständige Dokumente erst nach mehrmaligen Rückfragen

Die fünf Dokumente sind von AP2 bis AP6 durchnummeriert, AP steht hier für Arbeitspaket. Naheliegend stellt sich die Frage, warum kein AP1 enthalten war. Auf Nachfrage teilte das BSI mit: "Beim AP1 handelt es sich um eine Recherche und Übersicht, welche Funktionalitäten am Markt existierende Festplattenverschlüsselungsprodukte implementieren (inklusive der Windows- und der Linux-Version von Truecrypt). Da es sich hierbei um keine 'Untersuchung' des Programms 'Truecrypt' handelt, sahen wir dieses Dokument als nicht von der Informationsfreiheitsgesetz-Anfrage erfasst."

Wir baten daraufhin unter Berufung auf das Informationsfreiheitsgesetz darum, uns dieses Dokument ebenfalls zuzuschicken. Dass das BSI zu der Einschätzung kam, dass es sich dabei nicht um eine "Untersuchung" handle, überrascht - der Titel des Dokuments lautet: "Untersuchung Truecrypt - Arbeitspaket 1 - Funktionale Unterschiede zwischen Microsoft Windows und Linux Version."

Vollständig war das Ganze damit allerdings immer noch nicht. Beim Lesen der Dokumente fiel auf, dass mehrfach darauf verwiesen wird, dass Angriffe in AP7 näher beschrieben würden. Nach mehrmaligem Nachhaken erhielt Golem.de auch dieses Dokument.

Truecrypt stammte von ursprünglich anonymen Entwicklern

Die Software Truecrypt hat eine illustre und wechselhafte Geschichte. Das Programm wurde von anonymen Entwicklern geschrieben. Laut Recherchen des Journalisten Evan Ratliff war der Drogenhändler Paul Le Roux an der Entwicklung beteiligt. Truecrypt ermöglicht relativ einfach das lokale Verschlüsseln von Dateien, die in einem Datencontainer gespeichert werden. Zudem ist es möglich, ganze Laufwerke zu verschlüsseln.

Strittig war und ist die Lizenz des Codes. Zwar ist der Quellcode öffentlich verfügbar, aber die Lizenz enthält einige Einschränkungen, die dazu führten, dass Truecrypt nicht unter die Definition von freier Software oder Open Source fällt. Aus diesem Grund wurden für Truecrypt in vielen Linux-Distributionen keine offiziellen Pakete bereitgestellt.

Im Jahr 2013 startete der Kryptograph Matthew Green eine Spendenkampagne, um einen Sicherheitstest von Truecrypt zu finanzieren. Gemeinsam mit dem IT-Sicherheitsexperten Kenneth White gründete er dazu das Open Crypto Audit Project. Das Geld kam innerhalb kurzer Zeit zusammen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Truecrypt-Entwicklung plötzlich mit Verweis auf Sicherheitsprobleme beendet 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. (u. a. Sandisk Ultra 3D 500GB SATA-SSD für 62,90€, Lenovo Smart Display 10" für 88€ statt 224...
  2. (u. a. Dark Souls 3 Deluxe Edition für 12,50€, Moonlighter für 6,66€, Assassin's Creed...
  3. 38,99€
  4. (u. a. Forza Horizon 4 für 29,99€, Gears 5 für 29,99€, Halo 5: Guardians für 10,99€)

nirgendwer 21. Dez 2019

So pauschal kann man das nicht sagen. Was für Weisungen sind es denn? Nur...

OwenBurnett 19. Dez 2019

Das ist wirklich unangebrachter Fatalismus. Nur weil man mit Windows 10 in der Standrad...

narfomat 17. Dez 2019

klingt alles richtig interessant, aber bevor ich nicht einen PRAKTISCHEN BEWEIS habe, das...

gadthrawn 17. Dez 2019

Man muss nicht schlampen und jeder Consumer-Software ist per Definition unsicher. Ein...

Vögelchen 17. Dez 2019

Manche gedanklichen Schnellschüsse sind schon bemerkenswert. Open Source ist kein...


Folgen Sie uns
       


Golem.de baut das Makerphone zusammen (Zeitraffer)

Das Makerphone ist ein Handy zum Zusammenbauen. Kinder wie auch Erwachsene können so die Funktionsweise eines Mobiltelefons nachvollziehen.

Golem.de baut das Makerphone zusammen (Zeitraffer) Video aufrufen
    •  /