TrueCrypt: Keine Hintertüren
von caschy | 26 Kommentare
Das war ein Knall, als es hieß: Keine Entwicklung mehr von TrueCrypt – zudem solle man lieber etwas anderes nutzen. Logo, da schrillten viele Alarmglocken, von Backdoors für Regierungen war die Rede. Nun gibt es konkrete Informationen aus den Audits, denen TrueCrypt unterzogen wurde.
Matthew Green fasst in der Würze der Kürze zusammen, Interessierten der Kryptographie sei der volle Report empfohlen. Lange Rede, kurzer Sinn: Anhand des Audits kann man festhalten, dass TrueCrypt ein relativ gut konzipiertes Stück Software zur Verschlüsselung ist. Ferner gab der Audit keinerlei Hinweise darauf, dass TrueCypt mit Backdoors versehen wurde.
Es gibt auch keine schweren Fehler im Design, um die Software als unsicher zu bezeichnen. Doch TrueCrypt ist auch nicht ganz perfekt. Die Prüfer fanden einige Fehler, beziehungsweise unvorsichtige Programmierung, was unter den richtigen Umständen dazu führen könnte, dass TrueCrypt weniger Sicherheit gibt, als vom Nutzer erwünscht.
Ein besonderer Punkt ist hier der Zufallszahlengenerator in der Windows-Version von TrueCrypt. Dieser Generator ist zuständig für die Erzeugung der Schlüssel, mit denen TrueCrypt-Volumes verschlüsselt werden. Die TrueCrypt-Entwickler setzten hier auf die Guttman-Lösung, die 1998 erdacht wurde, zudem wird die Windows Crypto-API mit einbezogen. In ganz seltenen Fällen kann es sein, dass die Crypto API nicht richtig initialisiert werden kann.
Normalerweise sollte TrueCrypt dann Warnmeldungen ausgeben oder nicht funktionieren, stattdessen wird der Fehler akzeptiert und es werden weiterhin Schlüssel generiert. Dennoch wird festgehalten, dass Schlüssel zusätzlich noch aus Mausbewegungen generiert werden, sodass das Problem nicht zwingend für eine Sicherheitslücke sorgt – aber eben doch unsauber ausgeführt ist. Etwaige Forks mögen dann doch bitte darauf achten, dass dieser Fehler ausgemerzt wird.
Weiterhin gab es noch Kritik an der Widerstandsfähigkeit der TrueCrypt AES-Verschlüsselung gegenüber Cache Timing Attacken. Dies soll aber kein Problem sein, sofern man nicht auf Geräten ver- und entschlüsselt, die von mehreren Personen genutzt werden oder ein Angreifer direkten Zugriff hat.
Letzten Endes hält man fest, dass TrueCrypt ein einzigartiges Stück Software ist und der Verlust schwer wiegt. Zu hoffen ist, dass der Code von anderen Entwicklern weitergeführt wird – und offen für alle einsehbar ist.
Wird geladen ...
@Taranis bzgl. TrueCrypt-Kompatibelität:
Ich glaube es waren nur 7.0er TC-Container einbindbar, seit Version 1.0f auch 6.0er Versionen. Allerdings kann man davon ausgehen, dass diese kein „upgrade“ bzgl neuerer Technik erhalten werden, was neue VC-Container auszeichnet.
@KoB bzgl. CipherShed:
CS erntete sehr viel Misstrauen, weil einer der Hauptentwickler Namens „Jason Pyeron“ bei DISA (Defense Information Systems Agency, https://en.wikipedia.org/wiki/Defense_Information_Systems_Agency ) arbeitet. Von CS selbst gab es dazu einen großen „Transparenzbericht“, trotzdem hat es einen miesen Beigeschmack. Man kann es positiv oder negativ auslegen, dass so eine Person involviert ist. Die Masse entscheidet sich jedoch dagegen, daher ist CS nicht so sehr gefragt.
@Hengst bzgl. portable Version:
Wenn du TrueCrypt bzw. VeraCrypt installierst, wirst du gefragt, ob du es herkömmlich installieren möchtest oder eine portable Version erstellen möchtest. Kurz: Es gibt eine portable Version, direkt aus dem Installer. 😉
@Niranda
Danke für die kleine Info.
CS hat sich ja inzwischen schon von selbst diaqualifiziert und nun kann man es offenbar auch in die Tonne kloppen.
VC hingegen bietet keine Unterstützung für 7.1 Volumen (ganze Festplatte)? Hmm…. Gerade erst frisch die 2TB frisch verschlüsselt bekommen über Nacht. 😀
Ab ins kryptische Abenteuer!~
Truecrypt wird weiterentwickelt:
https://ciphershed.org/
Aufgrund der Namensrechte gibt es truecrypt.ch nicht mehr.
Veracrypt ist dazu keinem Audit unterzogen worden, was es zwar nicht weniger vertrauenswürdig macht, aber im Falle von Truecrypt halt ein klasse Bonus ist.
Niranda hatte sich ja schon zu CipherShed geäußert, wegen dieser Gründe kommt es für mich dann auch eher nicht in Frage.
Ich teste zur Zeit VeraCrypt, das mir deutlich sympathischer ist. Scheint wirklich ein guter Nachfolge-Kandidat für TrueCrypt zu sein.
@Niranda: Ja, aber ohne Admin-Rechte aufm Rechner schaffe ich es nicht zu installieren, um auf eine portable verschlüsselte Festplatte zugreifen zu können, oder gibts da einen Weg?