Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

BSI musste Audit-Ergebnisse zu TrueCrypt-Sicherheitsmängeln veröffentlichen

Seite 2: Mehrere Audits in der Vergangenheit

Inhaltsverzeichnis

Zwischen dem "verschwundenen" BSI-Audit und dessen Veröffentlichung lagen (mindestens) drei weitere Audits, deren Ergebnisse jeweils veröffentlicht wurden.

Ein 2015 veröffentlichter Prüfbericht des "Open Crypto Audit Project", der sich auf das letzte offizielle TrueCrypt-Release (Version 7.1) konzentrierte, offenbarte lediglich kleinere Schwachstellen. Er widersprach damit der Aussage der Entwickler, dass die Software unsicher sei.

Mit Bezugnahme auf diesen Bericht folgte noch im selben Jahr ein weiteres Audit durch das Fraunhofer-Insitut für Sichere Informationstechnologie (SIT), das das BSI in Auftrag gab. Die fünf Jahre zuvor erfolgte (ausführlichere) Analyse der Software durch das BSI wird darin nicht erwähnt. Das SIT sah Verbesserungspotenzial im Sourcecode und befand die kryptografische Umsetzung für "nicht optimal". Insgesamt seien die Mängel seiner Einschätzung nach nicht unmittelbar sicherheitsrelevant, erschwerten aber Dritten die Fortführung des Projektes. VeraCrypt übernahm die Korrekturen in den eigenen Quellcode.

2016 wurde auch VeraCrypt einem unabhängigen Audit unterzogen; hierbei traten einige kritische Lücken hinsichtlich der Verschlüsselung zutage, die umgehend behoben wurden. Einige stammten noch aus dem TrueCrypt-Code, andere waren aber auch neueren Datums.

Böck: Keine "dramatischen" Fehler entdeckt

Bedenkt man, dass zwischen dem "verschwundenen" Audit und der Beendigung des TrueCrypt-Projekts vier Jahre verstrichen sind und dass keiner der darauf folgenden Prüfberichte zu dem Ergebnis kam, dass die Verschlüsselungssoftware unsicher sei, so wird klar, dass die jetzige Veröffentlichung des Audits keine (neue) Erklärung für das TrueCrypt-Aus liefern kann. Das rechtfertigt allerdings nicht den intransparenten Umgang des BSI mit den Audit-Ergebnissen.

Böck kommt zu dem Schluss, dass keines der Sicherheitsprobleme aus dem Audit "für sich genommen dramatisch" sei. Die Probleme, von denen die meisten in einem Zusammenhang mit dem Verwalten und sicheren Löschen von Speicherbereichen in Zusammenhang stünden, könnten demnach eher in Kombination mit weiteren Bugs gefährlich werden.

Hanno Böck hat Patches für einige der im Audit festgestellten Schwachstellen entwickelt und an VeraCrypt übermittelt. Einige wurden bereits in den Code integriert. Unterm Strich können VeraCrypt-Nutzer die Software weiterhin bedenkenlos verwenden, sollten aber nach Sicherheitsupdates Ausschau halten.

(ovw)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten