iSEC: TrueCrypt hat keine Backdoor oder absichtliche Lücken
Das Open-Source Verschlüsselungs-Tool TrueCrypt wurde von iSEC auf etwaige Backdoors oder Schadcode untersucht. Auslöser dafür waren Unstimmigkeiten zwischen Source Code und den herunterladbaren Windows-Binaries. Auch ist nicht wirklich bekannt, wer hinter TrueCrypt steckt. Im Zuge der NSA-Enthüllungen wurden dann Stimmen laut, dass TrueCrypt eine Backdoor enthalten könnte. Für die Untersuchung wurden Spenden gesammelt, die crowdgefundete Kontrolle ist nun in der ersten Phase abgeschlossen.
Das Ergebnis? Keine Backdoor, kein Schadcode. Zwar gibt es in der Software Lücken, diese seien aber nicht absichtlich implementiert, sondern schlichtweg Fehler (nur zur Erinnerung: der Heartbleed-Bug war auch nur ein Fehler). Die Qualität des Codes sei nicht so hoch, wie man es sich wünscht, aber sie ist auch nicht besorgniserregend. Keine kritische Lücke gefunden zu haben ist gut, auch wenn die Leute hinter TrueCrypt immer noch anonym sind.
Das Ergebnis der Kontrolle gibt es als PDF. Die Schwäche im Volume Header wurde von David Morgan (Truecrypt.com) eingeräumt, aber gleichzeitig auch relativiert. TrueCrypt schützt nur vor bestimmten Dingen, erklärte er gegenüber Matthew Green, einem Kryptografie-Professor, wie Ars Technica schreibt.
@Sascha: OT – wie siehts aus mit dem M8-Review?
@Sascha: ob die OpenSSL Lücke nur ein Fehler war, ist überhaupt nicht klar. Es wird vermutet. Man sollte hier keine falschen Tatsachen behaupten.
Es gibt eine Menge Entwickler, die nicht glauben, dass die erste Sicherheitsregel eines jeden Programmes (traue keiner Nutzereingabe) wirklich übersehen werden kann von jemanden, der zu OpenSSL committed.
„(nur zur Erinnerung: der Heartbleed-Bug war auch nur ein Fehler)“
Auf welche Quelle wird sich hier bezogen? Nix verlinkt.
Bin ja ohnehin gespannt, wie lange es dauern wird, bis Heartbleed auch clientseitig weitgehend beseitigt wurde. In den letzten Tagen wurde er bei LibreOffice und WinSCP schon ausgemerzt, in anderen Anwendungen wie Opera schlummert er immer noch. Schon heavy, was für ein Schaden ein einziger Bug anrichten kann.
Zum Thema: Ich benutze TrueCrypt nicht, war nie mein Fall, sondern nutze ein anderes Programm. Allerdings zeigt das mal wieder, dass man sich nie blind auf OpenSource verlassen sollte, nur weil der Code quelloffen ist. Ich bin zwar auch zum Großteil für OpenSource, aber eben kein Hardliner wie viele, die ich erleben durfte, die OSS als einzig wahre und nicht abzustreitende Alternative schon als Mantra runterbeten konnten. Auch OSS ist nur Software und hat genauso Schwachstellen wie seine geschlossenen Kollegen. Und nur die wenigsten, die rein OpenSource nutzen, machen sich auch die Mühe und gucken den Quellcode mal durch. Die vertrauen meistens auch nur darauf, dass es sicher ist, und dann ist die Ausgangslage nicht anders als bei closed-source. Man sagt mir, es ist sicher, also ist es das. 😉
Wer oder was ist iSEC?
Man kann nur Lücken finden die man auch kennt! Nach der OpenSSL Lücke hat ja auch über zwei Jahre lang keiner gesucht. Von daher ist der Wert einer solchen Studie mehr mittelprächtig …
Es gibt keien 100prozentige Sicherheit, das weiss ich auch Laie, der keine Geheimnisse hat, die er auf dem Niveau von Gemeindiensten schützen muss oder will. Also solcher interessiert mich im Grunde als Ergebnis eines solchen Audit nur eines: Heisst das, dass meine Daten mit Truecrypt gegen die meisten Angriffe auch von Experten schützt, die nicht Zugriff auf die Resourcen von NSA und Co haben? (Immer vorausgesetzt, dass alles richtig installiert ist, das Passwort einigermassen stark ist, etc)
@Matze.B: Welche Studie?
@Miguel Indurain: laut Slides der NSA hat diese sehr große Probleme mit TrueCrypt und Gleenwald soll es selber verwenden (angeblich auf Anraten von Snowden). Von daher kann man davon ausgehen, dass der Aufwand es zu knacken zumindest exorbitant groß ist.
Der gute Mann heißt Glenn Greenwald.Und die „Slides der NSA“ waren von wann? 2011? Wieso wird Truecrypt seit Ewigkeiten nicht mehr weiterentwickelt? Irgendwas ist doch da im Busch.
@Matze B
„Man kann nur Lücken finden die man auch kennt! Nach der OpenSSL Lücke hat ja auch über zwei Jahre lang keiner gesucht. Von daher ist der Wert einer solchen Studie mehr mittelprächtig “
Alter, wenn man die Lücke kennt, müsste man nicht suchen. Sucht man hingegen nach einer Lücke, kann man auch eine finden.
nun ist die welt ja in ordnung…sascha erklärt ssl-bug für versehentlichen fehler. aufgrund seiner sensationellen kontakte, fahrlässig oder bezahlt ?
@Antares: Ich wünschte wirklich, dass es Windows-Software schaffen würde, shared libraries richtig zu verwenden. Dann wäre es wirklich gleich erledigt. Aber leider muss ja jede Software seine eigenen libs mitbringen 🙁 .
@Dirk: ich verstehe auch nicht, warum sich die Autoren hier nahezu täglich derart in die Nesseln setzen. Dabei wäre es echt einfach, dies zu vermeiden. Aber die Frage bleibt: Absicht oder fehlende Kompetenz?
Jedenfalls gibt es weltweit keinen Beleg dafür, dass TC jemals geknackt wurde.
Und warum sollte man dann seit 2012 das Programm noch weiterentwickeln, dass ja nach wie vor kompatibel ist auch zu den aktuellen Betriebssystemen?
Und ehrlich gesagt, wäre ich einer der beiden Programmierer von TC, dann würde ich meine wahre Identität auch nicht preis geben wollen. Zumindest kann man so noch verhindern, dass einen die Geheimdienst zwingen, das Programm zu kompromitieren.
Eine Backdoor, crowdgefundet… mal davon abgesehen, dass mich das Thema gerade interessiert hat, wandte sich meine Aufmerksamkeit doch recht schnell dem Vokabular zu. Muss das sein?