Truecrypt: Codeprüfung findet keine Hintertüren in Festplattenverschlüsselung

14. November 2014, 10:34
26 Postings

Auch keine schwerwiegenden Sicherheitslücken, aber viel schlampig geschriebenen Code - Untersuchung noch nicht abgeschlossen

Angesichts der in den letzten Monaten ruchbar gewordenen, massiven Computerspionage durch den US-Geheimdienst NSA und seines britischen Pendants GCHQ ist die Sicherheit bestehender Verschlüsselungslösung zunehmend in den Fokus der Öffentlichkeit geraten. Dass selbst ein kleiner Programmierfehler hier fatale Auswirkungen haben kann, hat gerade die Heartbleed-Lücke in OpenSSL eindringlich vor Augen geführt. Um so wichtiger ist es, bestehende Lösungen regelmäßig - und unabhängig - auf potentielle Lücken zu untersuchen - zumindest dort, wo dies durch die freie Verfügbarkeit des Codes überhaupt möglich ist.

Prüfung

Das Sicherheitsunternehmen iSEC Partners hat sich genau solche einer Prüfung von Truecrypt verschrieben, und liefert nun einen ersten Zwischenbericht ab. In den letzten Monaten habe man zentrale Teile der Festplattenverschlüsselungssoftware unter die Lupe genommen, hierbei aber keinerlei versteckte Hintertüren gefunden. Die Untersuchung erfolgte sowohl an der von der Webseite des Projekts heruntergeladenen Windows-Binärdatei als auch direkt am Quellcode.

Lücken

Allerdings ist man bei der Suche auf insgesamt elf Sicherheitslücken gestoßen, die die zwei Experten jedoch allesamt als nicht kritisch einstufen. Zumindest eine davon könnte aber sehr wohl Angriffe vereinfachen: Die Verschlüsselung der Volume Header ist offenbar nicht ausreichend, was Brute-Force-Attacken gegen Truecrypt erleichtert. Generell scheint es sich dabei aber um normale - und zu erwartetende - Programmierfehler zu handeln, nicht um beabsichtigte Hintertüren, so das Fazit.

Kritik

Gleichzeitig übt iSEC aber auch Kritik am Truecrypt-Code: Der Code sei zum Teil schlampig geschrieben und schlecht dokumentiert. Auch sei es reichlich mühsam, zu überprüfen, ob der Source Code mit den auf der Webseite verbreiteten Binärdateien übereinstimmt, da die von Truecrypt verwendeten Tools veraltet und umständlich zu nutzen sind. Schlussendlich konnte eine solche Prüfung zwar erfolgreich absolviert werden, trotzdem empfiehlt man dem Projekt einen Umstieg auf Standard-Tools.

Nur die Phase I

Der vorläufige Bericht kann von der Seite des  Open Crypto Audit Project (OCAP), das die Untersuchung in Auftrag gegeben hat, heruntergeladen werden. Auf 32 Seiten wird dabei auf zahlreiche Details eingegangen. Wie die Forscher betonen, ist damit die Untersuchung von Truecrypt noch nicht abgeschlossen. In einem zweiten Schritt soll nun eine formelle Cryptoanalyse durchgeführt werden. (red, derStandard.at, 16.4.14)

 

  • Artikelbild
    grafik: truecrypt
Share if you care.