TrueCrypt: Keine Hintertüren

Das war ein Knall, als es hieß: Keine Entwicklung mehr von TrueCrypt – zudem solle man lieber etwas anderes nutzen. Logo, da schrillten viele Alarmglocken, von Backdoors für Regierungen war die Rede. Nun gibt es konkrete Informationen aus den Audits, denen TrueCrypt unterzogen wurde.

truecrypt

Matthew Green fasst in der Würze der Kürze zusammen, Interessierten der Kryptographie sei der volle Report empfohlen. Lange Rede, kurzer Sinn: Anhand des Audits kann man festhalten, dass TrueCrypt ein relativ gut konzipiertes Stück Software zur Verschlüsselung ist. Ferner gab der Audit keinerlei Hinweise darauf, dass TrueCypt mit Backdoors versehen wurde.

Es gibt auch keine schweren Fehler im Design, um die Software als unsicher zu bezeichnen. Doch TrueCrypt ist auch nicht ganz perfekt. Die Prüfer fanden einige Fehler, beziehungsweise unvorsichtige Programmierung, was unter den richtigen Umständen dazu führen könnte, dass TrueCrypt weniger Sicherheit gibt, als vom Nutzer erwünscht.

Ein besonderer Punkt ist hier der Zufallszahlengenerator in der Windows-Version von TrueCrypt. Dieser Generator ist zuständig für die Erzeugung der Schlüssel, mit denen TrueCrypt-Volumes verschlüsselt werden. Die TrueCrypt-Entwickler setzten hier auf die Guttman-Lösung, die 1998 erdacht wurde, zudem wird die Windows Crypto-API mit einbezogen. In ganz seltenen Fällen kann es sein, dass die Crypto API nicht richtig initialisiert werden kann.

Normalerweise sollte TrueCrypt dann Warnmeldungen ausgeben oder nicht funktionieren, stattdessen wird der Fehler akzeptiert und es werden weiterhin Schlüssel generiert. Dennoch wird festgehalten, dass Schlüssel zusätzlich noch aus Mausbewegungen generiert werden, sodass das Problem nicht zwingend für eine Sicherheitslücke sorgt – aber eben doch unsauber ausgeführt ist. Etwaige Forks mögen dann doch bitte darauf achten, dass dieser Fehler ausgemerzt wird.

Weiterhin gab es noch Kritik an der Widerstandsfähigkeit der TrueCrypt AES-Verschlüsselung gegenüber Cache Timing Attacken. Dies soll aber kein Problem sein, sofern man nicht auf Geräten ver- und entschlüsselt, die von mehreren Personen genutzt werden oder ein Angreifer direkten Zugriff hat.

Letzten Endes hält man fest, dass TrueCrypt ein einzigartiges Stück Software ist und der Verlust schwer wiegt. Zu hoffen ist, dass der Code von anderen Entwicklern weitergeführt wird – und offen für alle einsehbar ist.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

26 Kommentare

  1. Was ist mit der alternative VeraCrypt? Die soll ja auf truecrypt basieren… ?

  2. NSA – „not safe as“

    da wusste man doch schon, wer das stilgelegt hat!

  3. Wie vorausgesagt wurde.
    Einfach die vorletzte Version 7.1a nutzen und gut ist.
    Entweder hatte der Programmierer mangels Geldeinnahmen keine Lust mehr oder es wurde ihm „nahegelegt“ das Projekt zu beenden…..

  4. Ich bin auf VeraCrypt umgestiegen. VC ist nicht „abwärtskompatibel“ zu den TrueCrypt-Container. Dies kommt durch fixen/verbessern diverser Algorithmen und da TC die Abwärtskompatibelität waren wollte, kamen in dieser Richtung keine Updates. Desweiteren werden auch wesentlich mehr (300x mehr) Iterationen zur Hash-Berechnung verwendet.
    An sich funktioniert VC genauso wie TC, ist angeblich sicherer gegen (neuere) Bruteforce-Attacken und hat trotzdem keine Leistungseinbußen. Zumindest letzteres kann ich bestätigen.
    Es ist richtig, dass ein französisches Unternehmen Veracrypt (mit-)entwickelt. Die offizielle Website ist daher:
    http://www.veracrypt.fr

    Und der Source-Code ist bei GitHub zu finden – wer das selbst compilieren/überprüfen möchte:
    https://github.com/veracrypt/VeraCrypt

    Compiliert:
    https://veracrypt.codeplex.com/
    oder
    http://sourceforge.net/projects/veracrypt/

  5. Leider wird durch die Einstellung der Entwicklung eine mobile Nutzung wohl auch zukünftig nur ein Wunsch bleiben.

  6. Was nimmt man denn aktuell so, wenn man einzelne Ordner (und evtl. auch mal ganze Festplatten/Partitionen) verschlüsseln möchte?
    So wie Mike sagt Version 7.1a von Truecrypt oder was sind so die Alternativen?

  7. Hey Carsten, hast du mal die Entwicklung von VeraCrypt beobachtet und kannst etwas dazu sagen? (Z.B.Vertrauenswürdigkeit)

  8. Ich bin mit VeraCrypt sehr zufrieden. Die Entwicklung ist aktiv (oft updates) und ist neben Windows auch für Mac und Linux erhältlich. Ich nutze letzteres, dank PPA hab ich immer die neuste Version.

    https://veracrypt.codeplex.com/

  9. OT:
    Ich hasse diese Kommentarfunktion… etwas längeren Kommentar ist mal wieder weg -.-

    Kurzfassung:
    VeraCrypt! Keine Abwärtskompatibelität zu TC, aber dafür mit mehr „Sicherheit“ (u.a. 300x mehr Iterationen bei Hashwertberechnungen) etc. pp. ohne Leistungsverluste. go!

  10. Oder schlicht und einfach truecrypt.ch

  11. Gibt es denn vom Audit jetzt auch eine Liste auf welcher Hardware entsprechendes Modul im Zufallsgenerator zu ungemeldeten Fehlern kommt? Damit man sich zumindest darauf einstellen kann entsprechende Hardware nicht mehr zu nutzen?

  12. MD5-Summen von Truecrypt: (Portable version aus dem Downloadbereich hier)
    09355fb2e43cf51697a15421816899be *truecrypt-7.1a-linux-x86.tar.gz
    8ffe62d45f91b99e8f456663dcfd299a *Portable_TrueCrypt_7.1a.exe
    89affdc42966ae5739f673ba5fb4b7c5 *truecrypt_7.1a_mac_os_x.dmg
    7a23ac83a0856c352025a6f7c9cc1526 *truecrypt_setup_7.1a.exe
    bb355096348383987447151eecd6dc0e *truecrypt-7.1a-linux-x64.tar.gz

  13. Danke Niranda, Dein erster Kommentar ist doch noch aufgetaucht.

  14. @veracrypt: wenn man dem changelog glauben kann, sind truecrypt verschlüsselte Datenträger / Container neuerdings sehr wohl kompatibel (mounting + converting)

  15. EDS für Android unterstützt übrigens vier verschiedene Container-Formate, auch die von TrueCrypt und VeraCrypt:

    https://play.google.com/store/apps/details?id=com.sovworks.eds.android

  16. also, wenn veracrypt hier häufiger mal erwähnt würde, fände ich das recht informativ. 🙂

  17. Als es damals auseinanderging habe ich CipherShed verfolgt.
    Wie viele andere haben die auch nen guten VOrsatz, passieren tut aber nichts/wenig/kaum.

    Veracrypt allerdings ist wohl etwas interessanter. 🙂
    Schau ich mir mal genauer an.

    Gerade jetzt bin ich dabei ne 1TB Festplatte zu verschlüsseln … hmmm… Werde wohl dann noch umsteigen

  18. Gibt es eine portable Version von veracrypt, wenn man zb. Auf eine verschlüsselte Festplatte zugreifen möchte per USB auf einem Rechner ohne Administrator Rechte?

  19. Audit bestehen und Ergebnis fälschen also echt wer da noch was glaubt meint auch der Storch bringt die Babys 😉

  20. Beruhigend, dass der Autdit so ausgegangen ist. Aber mit der Einstellung der Weiterentwicklung ist TrueCrypt trotzdem nicht mehr wirklich zukunftssicher. Werd mir VC mal anschauen.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.