Truecrypt: Zweifel an Verschlüsselungstool ausgeräumt

29. Oktober 2013, 09:48
28 Postings

Quellcode und Binärdateien stimmen überein

Die  Verschlüsselungssoftware TrueCrypt, die vor allem zur Verschlüsselung von Festplatten und Wechseldatenträgern dient, wurde einem Test unterzogen. Zuvor gab es die Vermutung, dass die zum Download freigegebenen Dateien eine Hintertür enthalten, die nicht im Quelltext zu finden wäre. Die Software-Entwickler selbst bezeichnen TrueCrypt als "Open Source", die Software entspricht aber nicht der Open-Source-Definition, auch wenn der Quellcode frei verfügbar ist.

Quellcode in Binärdateien übersetzen

Nun wollte ein Student wissen, ob die öffentlichen Binaries mit den Quellen übereinstimmen. Wie Heise Security berichtet, hat der kanadische Student Xavier de Carne de Carnavalet dokumentiert, wie man den Quellcode in Binärdateien übersetzt, die mit den offiziellen Downloads des Projektes übereinstimmen. Dabei reicht es offenbar nicht, die Werkzeuge zum Kompilieren zu verwenden, die in der Readme-Datei angegeben sind. Es müssten dazu auch die richtigen Sicherheitsupdates für Windows installiert sein.

Keine "neuen" Updates

Benötigt hat de Carne de Carnavalet Visual C++ 1.52, das aus dem Jahr 1994 stammt. Er benötigte zudem eine bestimmte Version des Tools dd und die richtigen Sicherheitsupdates für Windows 7. Updates, die nach der TrueCrypt-Version 7.1a veröffentlicht wurden, dürfen dabei nicht installiert werden.

Weitere Untersuchung kommt

Die Unterschiede, die zwischen seinem Ergebnis und den offiziellen Binaries von TrueCrypt entstehen erklärt der Student anschließend sehr detailliert. Diese Unterschiede würden sich vor allem durch unterschiedliche Zeitstempel ergeben. Er stellt fest, dass die offiziellen Binärdateien mit dem Quellcode übereinstimmen, sodass TrueCrypt vertraut werden kann. Allerdings steht noch eine weitere Untersuchung des Codes ins Haus, die weitere Fragen beantworten soll. (red, derStandard.at, 29.10.2013)

  • TrueCrypt soll mehreren Tests unterzogen werden
    screenshot: truecrypt

    TrueCrypt soll mehreren Tests unterzogen werden

Share if you care.