TrueCrypt: Keine Backdoor, nur Bugs

it-sicherheit 42
News

Wie auf heise.de berichtet, wurde die erste Phase der Überprüfung des Quellcodes von TrueCrypt nunmehr beendet. Die Überprüfung habe ergeben, dass der Code keine vorsätzlich eingebauten Hintertüren enthält, allerdings nicht den gängigen Standards zur Programmierung sicherheitsrelevanter Software genüge.

TrueCrypt, was ist das?

TrueCrypt ist eine Software zur Verschlüsselung von Festplatten und Wechseldatenträgern. Es bietet die Algorithmen AES, Twofish und Serpent, welche nicht nur separat, sondern auch miteinander verbunden verwendet werden können.

Was wurde überprüft?

Die erste Phase der Überprüfung durch das gemeinnützige Open Crypto Audit Project (OCAP) befasste sich mit verschiedenen Themen, es wurde u.a. der Quellcode der letzten freigegebenen TrueCrypt-Version 7.1a analysiert sowie Tests am Windows-Bootloader und des Windows-Kerneltreibers durchgeführt. Ziel war u.a. die Prüfung des Programms auf etwaig eingebaute Hintertüren und sicherheitsrelevante Fehler im Allgemeinen. Im Rahmen des Audits wurden sowohl die erhältlichen Binärdateien als auch selbst kompilierte getestet.

Dem Bericht der beiden Prüfer zufolge zeigten sich elf Sicherheitslücken, von denen vier als mittelschwer, vier als geringfügig und drei als eher theoretisch eingestuft wurden. Der Code enthalte aber keine vorsätzlich eingebaute Hintertür.

Der TrueCrypt-Quellcode wurde insoweit kritisiert, dass er schlecht kommentiert sei, unsichere und überholte Funktionen sowie inkonsistente Datentypen wie Variablen verwende. Weiterhin wurde kritisiert, dass veraltete Werkzeuge zum Kompilieren der Windows-Version eingesetzt würden.

Als gravierendste Sicherheitslücke wurde die Verschlüsselung der Volume Header gesehen, welche die Password-Based Key Derivation Function 2 (PBKDF2-Funktion) verwendet, um aus dem Passwort für das Volume den Schlüssel für die verschlüsselten Daten abzuleiten. TrueCrypt nutze hierzu allerdings, je nach Anwendungsgebiet, nur 1000 oder 2000 Durchgänge, was die Verschlüsselung anfälliger für Brute-Force-Angriffe mache.

Welche Risiken bestehen?

Die gefundenen Programmfehler, sog. Bugs, seien laut den Prüfern zwar nicht kritisch, ermöglichten aber ggf. die Entschlüsselung von Daten. Durch die Schwächen bei der Generierung des Schlüssels für die Daten seien selbst mittelmäßig komplexe Passwörter nicht sicher und erlaubten es einem Angreifer, unter Umständen das verschlüsselte Volume zu knacken.

Was wird in der zweiten Phase geprüft?

Gegenstand der zweiten Phase der Prüfung soll speziell die Kryptografie von TrueCrypt sein.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.