[Prince]

Zitat:

Das war ein Knall, als es hieß: Keine Entwicklung mehr von TrueCrypt – zudem solle man lieber etwas anderes nutzen. Logo, da schrillten viele Alarmglocken, von Backdoors für Regierungen war die Rede. Nun gibt es konkrete Informationen aus den Audits, denen TrueCrypt unterzogen wurde.

Matthew Green fasst in der Würze der Kürze zusammen, Interessierten der Kryptographie sei der volle Report empfohlen. Lange Rede, kurzer Sinn: Anhand des Audits kann man festhalten, dass TrueCrypt ein relativ gut konzipiertes Stück Software zur Verschlüsselung ist. Ferner gab der Audit keinerlei Hinweise darauf, dass TrueCypt mit Backdoors versehen wurde.

Es gibt auch keine schweren Fehler im Design, um die Software als unsicher zu bezeichnen. Doch TrueCrypt ist auch nicht ganz perfekt. Die Prüfer fanden einige Fehler, beziehungsweise unvorsichtige Programmierung, was unter den richtigen Umständen dazu führen könnte, dass TrueCrypt weniger Sicherheit gibt, als vom Nutzer erwünscht.

Ein besonderer Punkt ist hier der Zufallszahlengenerator in der Windows-Version von TrueCrypt. Dieser Generator ist zuständig für die Erzeugung der Schlüssel, mit denen TrueCrypt-Volumes verschlüsselt werden. Die TrueCrypt-Entwickler setzten hier auf die Guttman-Lösung, die 1998 erdacht wurde, zudem wird die Windows Crypto-API mit einbezogen. In ganz seltenen Fällen kann es sein, dass die Crypto API nicht richtig initialisiert werden kann.

Normalerweise sollte TrueCrypt dann Warnmeldungen ausgeben oder nicht funktionieren, stattdessen wird der Fehler akzeptiert und es werden weiterhin Schlüssel generiert. Dennoch wird festgehalten, dass Schlüssel zusätzlich noch aus Mausbewegungen generiert werden, sodass das Problem nicht zwingend für eine Sicherheitslücke sorgt – aber eben doch unsauber ausgeführt ist. Etwaige Forks mögen dann doch bitte darauf achten, dass dieser Fehler ausgemerzt wird.

Weiterhin gab es noch Kritik an der Widerstandsfähigkeit der TrueCrypt AES-Verschlüsselung gegenüber Cache Timing Attacken. Dies soll aber kein Problem sein, sofern man nicht auf Geräten ver- und entschlüsselt, die von mehreren Personen genutzt werden oder ein Angreifer direkten Zugriff hat.

Letzten Endes hält man fest, dass TrueCrypt ein einzigartiges Stück Software ist und der Verlust schwer wiegt. Zu hoffen ist, dass der Code von anderen Entwicklern weitergeführt wird – und offen für alle einsehbar ist.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]