Die Nutzung von Software ist immer eine Vertrauensfrage. Dies gilt im Besonderen für Programme, die die eigenen Daten vor dem Zugriff Dritter schützen sollen. Manchmal ist es insofern besser dem Vertrauen auch die Kontrolle folgen zu lassen, und genau dies ist nun bei der Disk-Verschlüsselungssoftware Truecrypt passiert.

Prüfung

Die gute Nachricht: Das Ergebnis darf als durchaus erfreulich bezeichnet werden. Es wurden bei dem Security Audit also keinerlei Hintertüren gefunden, weder für die NSA noch für irgendjemand anderen. Dies geht aus dem abschließenden Bericht der NCC Group hervor, die die Prüfung im Rahmen des Open Crypto Audit-Programms vorgenommen haben. Dieser folgt einem Zwischenbericht, der vor einigen Monaten veröffentlicht wurde.

Kritikpunkte

Das bedeutet allerdings nicht, dass es gar nichts zu kritisieren gäbe. So verweisen die Forscher auf einige Sicherheitslücken in der Software, auch wenn man keine davon als sonderlich beunruhigend ansieht. Am stärksten kritisiert man die Nutzung einer offiziellen Programmierschnittstelle von Windows zur Erstellung von Zufallszahlen. Würde sich diese als fehlerhaft herausstellen, würde das auch die Sicherheit von Truecrypt in Mitleidenschaft ziehen.

Nachfolger

Das größte Problem an dem Bericht: Während der vielen Monate, die die Code-Prüfung beansprucht hat, wurde Truecrypt mittlerweile eingestellt. Allerdings gibt es mit VeraCrypt mittlerweile einen Ableger, der von den Ergebnissen profitieren sollte. (apo, 5.4.2015)