• IT-Karriere:
  • Services:

Verschlüsselungssoftware: BSI verschweigt Truecrypt-Sicherheitsprobleme

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2010 eine umfangreiche Analyse der Verschlüsselungssoftware Truecrypt erstellen lassen. Die Ergebnisse landeten in der Schublade, die Öffentlichkeit wurde über die zahlreichen gefundenen Sicherheitsrisiken nicht informiert.

Ein Bericht von veröffentlicht am
Das BSI wusste viel über die Sicherheit von Truecrypt - und hat die Dokumente jahrelang geheim gehalten.
Das BSI wusste viel über die Sicherheit von Truecrypt - und hat die Dokumente jahrelang geheim gehalten. (Bild: Truecrypt-Logo / Effekt)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine detaillierte Untersuchung der Verschlüsselungssoftware Truecrypt neun Jahre lang geheim gehalten. Die Dokumente, die Golem.de vorliegen, erläutern auf mehr als 400 Seiten ausführlich die Architektur des Verschlüsselungstools, listen zahlreiche Sicherheitsprobleme auf und machen Vorschläge, wie diese behoben werden könnten.

Inhalt:
  1. Verschlüsselungssoftware: BSI verschweigt Truecrypt-Sicherheitsprobleme
  2. Truecrypt-Entwicklung plötzlich mit Verweis auf Sicherheitsprobleme beendet
  3. Fehlendes Kapitel über Off-by-One-Overflows

Aufmerksam wurde Golem.de auf die Existenz dieser Dokumente durch einen Eintrag auf der Plattform Frag den Staat. Dort können Nutzer Anfragen an Behörden nach dem Informationsfreiheitsgesetz stellen, das Behörden verpflichtet, Dokumente auf Anfrage herauszugeben. Ein Nutzer schickte eine eher allgemeine Anfrage an das BSI und bat um alle dort vorhandenen Untersuchungen von Truecrypt.

Gutachten darf wegen Urheberrecht nicht veröffentlicht werden

Das BSI übersandte daraufhin dem Fragesteller mehrere Dokumente, die laut Datum aus dem Jahr 2010 stammten und in denen Truecrypt ausführlich analysiert wurde. Allerdings teilte das BSI dem Antragsteller auch mit, dass die Dokumente urheberrechtlich geschützt seien und er diese nicht veröffentlichen dürfe. Golem.de fragte die Dokumente daraufhin selbst nochmals an und erhielt sie auch nach einiger Zeit - ebenfalls mit dem Vermerk, sie nicht veröffentlichen zu dürfen.

Das Urheberrecht dient Behörden häufig als Vorwand, um die Veröffentlichung von Dokumenten zu verhindern. So streitet die Plattform Frag den Staat beispielsweise schon länger mit dem Bundesamt für Risikoforschung um die Veröffentlichung eines Gutachtens zum Pflanzenschutzmittel Glyphosat. Auch das BSI untersagte in einem früheren Fall unter Verweis auf das Urheberrecht bereits die Veröffentlichung eines Gutachtens, in dem Verschlüsselungsbibliotheken untersucht wurden.

Stellenmarkt
  1. nova-Institut für politische und ökologische Innovation GmbH, Hürth
  2. Stadtverwaltung Bretten, Bretten

Auf den Truecrypt-Dokumenten ist der Vermerk "Verschlusssache - nur für den Dienstgebrauch" zu lesen, der aber durchgestrichen wurde. Der Inhalt ist brisant, denn er zeigt, dass dem BSI zahlreiche Informationen über die Sicherheit von Truecrypt sowie ganz konkrete Sicherheitsprobleme seit langem vorlagen. Das BSI hat nach eigenen Angaben zwar die Truecrypt-Entwickler über die Resultate informiert, sich aber offenbar entschieden, die Dokumente weder zu veröffentlichen noch das Nachfolgeprojekt Veracrypt darüber zu informieren.

BSI schickt vollständige Dokumente erst nach mehrmaligen Rückfragen

Die fünf Dokumente sind von AP2 bis AP6 durchnummeriert, AP steht hier für Arbeitspaket. Naheliegend stellt sich die Frage, warum kein AP1 enthalten war. Auf Nachfrage teilte das BSI mit: "Beim AP1 handelt es sich um eine Recherche und Übersicht, welche Funktionalitäten am Markt existierende Festplattenverschlüsselungsprodukte implementieren (inklusive der Windows- und der Linux-Version von Truecrypt). Da es sich hierbei um keine 'Untersuchung' des Programms 'Truecrypt' handelt, sahen wir dieses Dokument als nicht von der Informationsfreiheitsgesetz-Anfrage erfasst."

Wir baten daraufhin unter Berufung auf das Informationsfreiheitsgesetz darum, uns dieses Dokument ebenfalls zuzuschicken. Dass das BSI zu der Einschätzung kam, dass es sich dabei nicht um eine "Untersuchung" handle, überrascht - der Titel des Dokuments lautet: "Untersuchung Truecrypt - Arbeitspaket 1 - Funktionale Unterschiede zwischen Microsoft Windows und Linux Version."

Vollständig war das Ganze damit allerdings immer noch nicht. Beim Lesen der Dokumente fiel auf, dass mehrfach darauf verwiesen wird, dass Angriffe in AP7 näher beschrieben würden. Nach mehrmaligem Nachhaken erhielt Golem.de auch dieses Dokument.

Truecrypt stammte von ursprünglich anonymen Entwicklern

Die Software Truecrypt hat eine illustre und wechselhafte Geschichte. Das Programm wurde von anonymen Entwicklern geschrieben. Laut Recherchen des Journalisten Evan Ratliff war der Drogenhändler Paul Le Roux an der Entwicklung beteiligt. Truecrypt ermöglicht relativ einfach das lokale Verschlüsseln von Dateien, die in einem Datencontainer gespeichert werden. Zudem ist es möglich, ganze Laufwerke zu verschlüsseln.

Strittig war und ist die Lizenz des Codes. Zwar ist der Quellcode öffentlich verfügbar, aber die Lizenz enthält einige Einschränkungen, die dazu führten, dass Truecrypt nicht unter die Definition von freier Software oder Open Source fällt. Aus diesem Grund wurden für Truecrypt in vielen Linux-Distributionen keine offiziellen Pakete bereitgestellt.

Im Jahr 2013 startete der Kryptograph Matthew Green eine Spendenkampagne, um einen Sicherheitstest von Truecrypt zu finanzieren. Gemeinsam mit dem IT-Sicherheitsexperten Kenneth White gründete er dazu das Open Crypto Audit Project. Das Geld kam innerhalb kurzer Zeit zusammen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Truecrypt-Entwicklung plötzlich mit Verweis auf Sicherheitsprobleme beendet 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. (aktuell u. a. Emtec X150 Power Plus SSD 480 GB für 52,90€, Apacer AS340 120 GB SSD für 18...
  2. 285,71€ (Bestpreis!)
  3. (u. a. Surface Go ab 379,00€, Surface Pro 7 ab 764,00€, Surface Laptop 2 ab 999,00€)
  4. 21,00€ (Standard)/35,00€ (Gold)/42,00€ (Ultimate)

nirgendwer 21. Dez 2019 / Themenstart

So pauschal kann man das nicht sagen. Was für Weisungen sind es denn? Nur...

OwenBurnett 19. Dez 2019 / Themenstart

Das ist wirklich unangebrachter Fatalismus. Nur weil man mit Windows 10 in der Standrad...

narfomat 17. Dez 2019 / Themenstart

klingt alles richtig interessant, aber bevor ich nicht einen PRAKTISCHEN BEWEIS habe, das...

gadthrawn 17. Dez 2019 / Themenstart

Man muss nicht schlampen und jeder Consumer-Software ist per Definition unsicher. Ein...

Vögelchen 17. Dez 2019 / Themenstart

Manche gedanklichen Schnellschüsse sind schon bemerkenswert. Open Source ist kein...

Kommentieren


Folgen Sie uns
       


Microsoft Surface Laptop 3 (15 Zoll) - Hands on

Der Surface Laptop 3 ist eine kleine, aber feine Verbesserung zum Vorgänger. Er bekommt ein größeres Trackpad, eine bessere Tastatur und ein größeres 15-Zoll-Display. Es bleiben die wenigen Anschlüsse.

Microsoft Surface Laptop 3 (15 Zoll) - Hands on Video aufrufen
Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen

Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

    •  /