TrueCrypt

– UPDATED

Alexander Benesch

Seit fast zehn Jahren erfreut sich das Verschlüsselungsprogramm “Truecrypt” weltweit großer Beliebtheit. Immer wieder taucht es in Ermittlungsunterlagen auf, wenn beispielsweise Nutzer von Tauschbörsen ihre Festplatten mit heruntergeladenen Videos und Musikdateien vor den Fahndern schützen wollen, oder wenn Dissidenten und Whistleblower geheimes Material bunkern. Insgesamt wurde es 28 Millionen mal heruntergeladen.

Frappierenderweise weiß eigentlich niemand, wer Truecrypt geschaffen hat und niemand hat bisher den Code auf Hintertüren untersucht. Vor Wochen hat sich eine Gruppe professioneller Kryptographen zusammengetan und bisher 16.000$ gesammelt, um die Arbeitsleistung stemmen zu können, den Code einer gründlichen Prüfung zu unterziehen. Matthew Green, ein Kryptograph und Professor für Forschung an der Johns Hopkins University, schrieb auf seinem Blog:

“Das Problem mit Truecrypt ist das gleiche Problem, das ich mit jeder populären Sicherheits-Software in der Ära nach dem 5. Sptember habe: Wir wissen nicht mehr wem wir trauen können. Wir haben erfahren, dass die NSA Verschlüsselungssoftware und -Hardware manipuliert und der gesunde Menschenverstand sagt uns, dass die NSA wohl dabei nicht die einzigen sind. Truecrypt ist wegen seiner Popularität und dem Vertrauen, das ihm entgegen gebracht wird, ein fantastisches Ziel für Subversion.

Die Software macht ein paar verdammt seltsame Dinge die jeden, der zu Recht paranoid ist, dazu bringen sich das gründlich zu überlegen. Ich zitiere hier aus der Rezension der Ubuntu Privacy Group vonTruecrypt 7.0:

Die Windows-Version von TrueCrypt 7.0a unterscheidet sich von der Linux-Version darin, dass sie die letzten 65,024 Bytes des Headers mit zufäligen Werten füllt während die Linux-Version diese mit verschlüsselten zero bytes füllt. Durch eine Analyse der entschlüsselten Header-Daten kann nicht unterschieden werden, ob es sich tatsächlich um zufällige Werte handelt oder um eine zweite Verschlüsselung des Master- und des XTR-Schlüssels mit einem Hintertür-Passwort.

Selbst wenn der Quellcode von Truecrypt vertrauenswürdig wäre, hätte man noch keinen Anlass zu glauben dass die Binaries es auch sind.”

Auf Privacylover.com wurde bereits 2010 angesprochen, wie seltsam es ist, dass zwei unbezahlte mysteriöse Programmierer soviel Arbeit leisten können:

“Konkurrenzprodukte ohne offenen Quellcode wie WinMagic, DriveCrypt (Securstar) oder die PGP Corporation haben Teams von Software-Entwicklern, die vollzeit an den Produkten arbeiten. Ein solches Produkt zu schaffen, ist keine leichte Sache.

Währenddessen gelingt es zwei unbezahlten Truecrypt-Entwicklern, an Versionen für Linux, Mac und Windows in 32 und 64 Bit zu arbeiten. Sie unterstützen das neue Windows 7 gleich nachdem es veröffentlicht wurde. Und diese beiden Truecrypt-Entwickler sollen nebenher noch noch Vollzeit-Jobs haben mit denen sie ein Gehalt bekommen um ihre Familien zu ernähren und ihre Kredite abzuzahlen?”

Der Technologie-Blogger Felix von Leitner kommentierte kürzlich Zeitungsberichte, laut denen Detective Superintendent Caroline Goode bei den Ermittlungen gegen Edward Snowden unter anderem eine beschlagnahmte Festplatte von Snowdens Freund hat untersuchen lassen, die mit Truecrypt verschlüsselt war. Man könne bereits auf 20 von 60 Gigabytes zugreifen und hätte 75 Dokumente wiederhergestellt. Dies würde darauf hindeuten, dass zumindest Scotland Yard auf keine Hintertür zurückgreifen kann, jedoch in der Lage wäre, mit Rechenpower die Verschlüsselung nach und nach aufzuheben.

Die Hacker-Szene fürchtet generell vehement, dass die Nachrichtendienste Hintertüren zu populären Verschlüsselungsprogrammen und -Algorithmen haben könnten, sowie Supercomputer deren Leistung weit über dem liegen, was öffentlich zugegeben wird.

Inzwischen mehrt sich die Empörung darüber, dass ein Angestellter der NSA weiterhin den Co-Vorsitz einer einflussreichen Gruppe innehalten wird, die die Standards für Verschlüsselung bestimmt.

Liked it? Take a second to support AlexBenesch on Patreon!

Related posts

Unveröffentlichte Wikileaks-Einsendungen wandern in den Datenschredder, das “chinesische Paket” beibt unter Verschluss

AlexBenesch

Prüfung von TrueCrypt ist fertig: “Erfüllt nicht die Standards von sicherem Code”

AlexBenesch

US Army Colonel warnt vor einer Zukunft der Killerroboter

AlexBenesch

3 comments

Avatar
beewhyz 10. Januar 2014 at 23:15

Würde mich mal interressieren wer mich verklagen will, wenn ich gegen deren Lizenz verstoßen würde. Immerhin ist weder TrueCrypt Foundation noch TrueCrypt Developers Association irgendwo bei den US Behörden in einem Register eingetragen.

Bei älteren Versionen wurden auch immer wieder extreme Sicherheitsmängel festgestellt http://www.cvedetails.com/vulnerability-list/vendor_id-4447/product_id-7698/Truecrypt-Foundation-Truecrypt.html

schade dass die ab 2009 die Überprüfung von truecrypt ausgelassen haben

Reply
Avatar
beewhyz 10. Januar 2014 at 23:17

P.S. auch die ganze bitcoin software ist voller remote access quellen:

http://www.cvedetails.com/product-list/vendor_id-12094/Bitcoin.html

Reply
Avatar
Wahrheitssuchender 13. Januar 2014 at 16:53

So kritisch sind die gefundenen Lücken nicht bzw. unter GNU-Linux-Distros mit Kernel-Access zu umgehen. Die meisten Lücken basierten darauf, den RAM zu freezen (im wahrsten Sinne des Wortes – mit Kühlspray) und mit extrem komplizierten Verfahren das Passwort auszulesen. Unter Linux lässt sich das Passwort in den Debug-Speicher des Prozessors verstecken und ist dort vor derartigen Methoden sicher.

Dennoch sollte man Truecrypt keine lebenswichtigen Infos anvertrauen. Vor allem bei den modernen Computern, welche mit sicherheit Hardware-Trojaner wie Clipper-Chips installiert haben, welche vermutlich den RAM auf TC-Passwörter überwachen. Sicherster Weg: Airgap. Du stellst einen Rechner ohne Internetzugang in dein Haus, auf dem die ganze Crypto-Arbeit läuft, Dokumente überträgst du via USB-Stick zwischen diesem und deinen Nutzcomputern.

Reply

Leave a Comment

Diese Webseite verwendet Cookies. Wenn Sie einverstanden sind, benutzen Sie die Seite weiter und klicken auf „OK“. Erfahren Sie mehr in unserer Datenschutzerklärung. OK Datenschutz