Verschlüsselungssoftware: BSI verschweigt Truecrypt-Sicherheitsprobleme

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2010 eine umfangreiche Analyse der Verschlüsselungssoftware Truecrypt erstellen lassen. Die Ergebnisse landeten in der Schublade, die Öffentlichkeit wurde über die zahlreichen gefundenen Sicherheitsrisiken nicht informiert.

Ein Bericht von veröffentlicht am
Das BSI wusste viel über die Sicherheit von Truecrypt - und hat die Dokumente jahrelang geheim gehalten.
Das BSI wusste viel über die Sicherheit von Truecrypt - und hat die Dokumente jahrelang geheim gehalten. (Bild: Truecrypt-Logo / Effekt)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine detaillierte Untersuchung der Verschlüsselungssoftware Truecrypt neun Jahre lang geheim gehalten. Die Dokumente, die Golem.de vorliegen, erläutern auf mehr als 400 Seiten ausführlich die Architektur des Verschlüsselungstools, listen zahlreiche Sicherheitsprobleme auf und machen Vorschläge, wie diese behoben werden könnten.

Inhalt:
  1. Verschlüsselungssoftware: BSI verschweigt Truecrypt-Sicherheitsprobleme
  2. Truecrypt-Entwicklung plötzlich mit Verweis auf Sicherheitsprobleme beendet
  3. Fehlendes Kapitel über Off-by-One-Overflows

Aufmerksam wurde Golem.de auf die Existenz dieser Dokumente durch einen Eintrag auf der Plattform Frag den Staat. Dort können Nutzer Anfragen an Behörden nach dem Informationsfreiheitsgesetz stellen, das Behörden verpflichtet, Dokumente auf Anfrage herauszugeben. Ein Nutzer schickte eine eher allgemeine Anfrage an das BSI und bat um alle dort vorhandenen Untersuchungen von Truecrypt.

Gutachten darf wegen Urheberrecht nicht veröffentlicht werden

Das BSI übersandte daraufhin dem Fragesteller mehrere Dokumente, die laut Datum aus dem Jahr 2010 stammten und in denen Truecrypt ausführlich analysiert wurde. Allerdings teilte das BSI dem Antragsteller auch mit, dass die Dokumente urheberrechtlich geschützt seien und er diese nicht veröffentlichen dürfe. Golem.de fragte die Dokumente daraufhin selbst nochmals an und erhielt sie auch nach einiger Zeit - ebenfalls mit dem Vermerk, sie nicht veröffentlichen zu dürfen.

Das Urheberrecht dient Behörden häufig als Vorwand, um die Veröffentlichung von Dokumenten zu verhindern. So streitet die Plattform Frag den Staat beispielsweise schon länger mit dem Bundesamt für Risikoforschung um die Veröffentlichung eines Gutachtens zum Pflanzenschutzmittel Glyphosat. Auch das BSI untersagte in einem früheren Fall unter Verweis auf das Urheberrecht bereits die Veröffentlichung eines Gutachtens, in dem Verschlüsselungsbibliotheken untersucht wurden.

Stellenmarkt
  1. Mitarbeiter (w/m/d) IT-Service
    The Boston Consulting Group GmbH, Frankfurt
  2. Datenbankadministrator (w/m/d)
    Oberfinanzdirektion Karlsruhe, Stuttgart
Detailsuche

Auf den Truecrypt-Dokumenten ist der Vermerk "Verschlusssache - nur für den Dienstgebrauch" zu lesen, der aber durchgestrichen wurde. Der Inhalt ist brisant, denn er zeigt, dass dem BSI zahlreiche Informationen über die Sicherheit von Truecrypt sowie ganz konkrete Sicherheitsprobleme seit langem vorlagen. Das BSI hat nach eigenen Angaben zwar die Truecrypt-Entwickler über die Resultate informiert, sich aber offenbar entschieden, die Dokumente weder zu veröffentlichen noch das Nachfolgeprojekt Veracrypt darüber zu informieren.

BSI schickt vollständige Dokumente erst nach mehrmaligen Rückfragen

Die fünf Dokumente sind von AP2 bis AP6 durchnummeriert, AP steht hier für Arbeitspaket. Naheliegend stellt sich die Frage, warum kein AP1 enthalten war. Auf Nachfrage teilte das BSI mit: "Beim AP1 handelt es sich um eine Recherche und Übersicht, welche Funktionalitäten am Markt existierende Festplattenverschlüsselungsprodukte implementieren (inklusive der Windows- und der Linux-Version von Truecrypt). Da es sich hierbei um keine 'Untersuchung' des Programms 'Truecrypt' handelt, sahen wir dieses Dokument als nicht von der Informationsfreiheitsgesetz-Anfrage erfasst."

Wir baten daraufhin unter Berufung auf das Informationsfreiheitsgesetz darum, uns dieses Dokument ebenfalls zuzuschicken. Dass das BSI zu der Einschätzung kam, dass es sich dabei nicht um eine "Untersuchung" handle, überrascht - der Titel des Dokuments lautet: "Untersuchung Truecrypt - Arbeitspaket 1 - Funktionale Unterschiede zwischen Microsoft Windows und Linux Version."

Vollständig war das Ganze damit allerdings immer noch nicht. Beim Lesen der Dokumente fiel auf, dass mehrfach darauf verwiesen wird, dass Angriffe in AP7 näher beschrieben würden. Nach mehrmaligem Nachhaken erhielt Golem.de auch dieses Dokument.

Truecrypt stammte von ursprünglich anonymen Entwicklern

Die Software Truecrypt hat eine illustre und wechselhafte Geschichte. Das Programm wurde von anonymen Entwicklern geschrieben. Laut Recherchen des Journalisten Evan Ratliff war der Drogenhändler Paul Le Roux an der Entwicklung beteiligt. Truecrypt ermöglicht relativ einfach das lokale Verschlüsseln von Dateien, die in einem Datencontainer gespeichert werden. Zudem ist es möglich, ganze Laufwerke zu verschlüsseln.

Strittig war und ist die Lizenz des Codes. Zwar ist der Quellcode öffentlich verfügbar, aber die Lizenz enthält einige Einschränkungen, die dazu führten, dass Truecrypt nicht unter die Definition von freier Software oder Open Source fällt. Aus diesem Grund wurden für Truecrypt in vielen Linux-Distributionen keine offiziellen Pakete bereitgestellt.

Im Jahr 2013 startete der Kryptograph Matthew Green eine Spendenkampagne, um einen Sicherheitstest von Truecrypt zu finanzieren. Gemeinsam mit dem IT-Sicherheitsexperten Kenneth White gründete er dazu das Open Crypto Audit Project. Das Geld kam innerhalb kurzer Zeit zusammen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Truecrypt-Entwicklung plötzlich mit Verweis auf Sicherheitsprobleme beendet 
  1. 1
  2. 2
  3. 3
  4.  


Aktuell auf der Startseite von Golem.de
Frommer Legal
Große Abmahnwelle wegen Filesharing in Deutschland

Viele Menschen suchen derzeit Hilfe bei einer Anwaltskanzlei, weil sie wegen angeblich illegalem Filesharing abgemahnt wurden.

Frommer Legal: Große Abmahnwelle wegen Filesharing in Deutschland
Artikel
  1. Ärger um Drachenlord: Dorf verhängt Allgemeinverfügung wegen umstrittenem Youtuber
    Ärger um Drachenlord
    Dorf verhängt Allgemeinverfügung wegen umstrittenem Youtuber

    Seit Jahren ist das Dorf Altschauerberg Schauplatz von Provokationen gegen den Youtuber Rainer Winkler. Jetzt sollen neue Gesetze die Ordnung wiederherstellen.

  2. Elektroautos: Neue Ladekarten sollen Schwarzladen verhindern
    Elektroautos
    Neue Ladekarten sollen Schwarzladen verhindern

    Das einfache Klonen von Ladekarten soll künftig nicht mehr möglich sein. Doch dazu müssen alle im Umlauf befindlichen Karten ausgetauscht werden.

  3. Kriminalität: Dresdnerin wegen Mordauftrag im Darknet angeklagt
    Kriminalität
    Dresdnerin wegen Mordauftrag im Darknet angeklagt

    Eine 41-Jährige aus Dresden ist angeklagt, im Darknet einen Mord in Auftrag gegeben zu haben. Für die Ermordung der neuen Freundin ihres Ex-Mannes soll sie 0,2 Bitcoin geboten haben.

nirgendwer 21. Dez 2019

So pauschal kann man das nicht sagen. Was für Weisungen sind es denn? Nur...

OwenBurnett 19. Dez 2019

Das ist wirklich unangebrachter Fatalismus. Nur weil man mit Windows 10 in der Standrad...

narfomat 17. Dez 2019

klingt alles richtig interessant, aber bevor ich nicht einen PRAKTISCHEN BEWEIS habe, das...

gadthrawn 17. Dez 2019

Man muss nicht schlampen und jeder Consumer-Software ist per Definition unsicher. Ein...

Vögelchen 17. Dez 2019

Manche gedanklichen Schnellschüsse sind schon bemerkenswert. Open Source ist kein...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day nur noch heute • SSD (u. a. Crucial BX500 1TB SATA 64,06€) • Gaming-Laptops von Razer & MSI • Crucial 32GB Kit DDR4-4000 269,79€ • 30% auf Warehouse • Primetime bei Saturn (u. a. Switch Lite 166,24€) • Gaming-Chairs • MM Gönn dir Dienstag [Werbung]
    •  /