TrueCrypt

Alexander Benesch

Ein längst überfällige, unabhängige Prüfung des weltweit populären Verschlüsselungsprogramms TrueCrypt ergab ein fragwürdiges Ergebnis:

“Insgesamt erfüllt der Quellcode sowohl für den Bootloader als auch für den Windows Kernel-Treiber nicht die erwarteten Standards für sicheren Code. […] Die weiter hinten in diesem Dokument beschriebenen Schwachstellen scheinen alle unbeabsichtigt zu sein, das Resultat von Fehlern anstelle von bösen Absichten.”

Der verheerende Heartbleed-Bug bei OpenSSL war anscheinend jahrelang von Geheimdiensten ausgenutzt worden bevor der “Fehler” öffentlich entdeckt wurde.

Seit fast zehn Jahren erfreut sich Truecrypt weltweit großer Beliebtheit. Immer wieder taucht es in Ermittlungsunterlagen auf, wenn beispielsweise Nutzer von Tauschbörsen ihre Dateien vor den Fahndern schützen wollen, oder wenn Dissidenten und Whistleblower geheimes Material bunkern. Insgesamt wurde es 28 Millionen mal heruntergeladen.

Frappierenderweise weiß eigentlich niemand, wer Truecrypt geschaffen hat und niemand hatte bislang den Code auf Hintertüren und ausnutzbare Schwachstellen untersucht. Vor wenigen Monaten tat sich eine Gruppe professioneller Kryptographen zusammen und sammelten Spenden, um die Arbeitsleistung einer Prüfung stemmen zu können. Matthew Green, ein Kryptograph und Professor für Forschung an der Johns Hopkins University, schrieb auf seinem Blog:

“Das Problem mit Truecrypt ist das gleiche Problem, das ich mit jeder populären Sicherheits-Software in der Ära nach dem 5. Sptember habe: Wir wissen nicht mehr wem wir trauen können. Wir haben erfahren, dass die NSA Verschlüsselungssoftware und -Hardware manipuliert und der gesunde Menschenverstand sagt uns, dass die NSA wohl dabei nicht die einzigen sind. Truecrypt ist wegen seiner Popularität und dem Vertrauen, das ihm entgegen gebracht wird, ein fantastisches Ziel für Subversion.

Auf Privacylover.com wurde bereits 2010 angesprochen, wie seltsam es ist, dass zwei unbezahlte mysteriöse Programmierer soviel Arbeit leisten können:

“Konkurrenzprodukte ohne offenen Quellcode wie WinMagic, DriveCrypt (Securstar) oder die PGP Corporation haben Teams von Software-Entwicklern, die vollzeit an den Produkten arbeiten. Ein solches Produkt zu schaffen, ist keine leichte Sache.

Währenddessen gelingt es zwei unbezahlten Truecrypt-Entwicklern, an Versionen für Linux, Mac und Windows in 32 und 64 Bit zu arbeiten. Sie unterstützen das neue Windows 7 gleich nachdem es veröffentlicht wurde. Und diese beiden Truecrypt-Entwickler sollen nebenher noch noch Vollzeit-Jobs haben mit denen sie ein Gehalt bekommen um ihre Familien zu ernähren und ihre Kredite abzuzahlen?”

Der Technologie-Blogger Felix von Leitner kommentierte kürzlich Zeitungsberichte, laut denen Detective Superintendent Caroline Goode bei den Ermittlungen gegen Edward Snowden unter anderem eine beschlagnahmte Festplatte von Snowdens Freund hat untersuchen lassen, die mit Truecrypt verschlüsselt war. Man könne bereits auf 20 von 60 Gigabytes zugreifen und hätte 75 Dokumente wiederhergestellt. Dies würde darauf hindeuten, dass zumindest Scotland Yard auf keine Hintertür zurückgreifen kann, jedoch in der Lage wäre, mit Rechenpower die Verschlüsselung nach und nach aufzuheben.

Die Hacker-Szene fürchtet generell vehement, dass die Nachrichtendienste Hintertüren zu populären Verschlüsselungsprogrammen und -Algorithmen haben könnten, sowie Supercomputer deren Leistung weit über dem liegen, was öffentlich zugegeben wird.

Inzwischen mehrt sich die Empörung darüber, dass ein Angestellter der NSA weiterhin den Co-Vorsitz einer einflussreichen Gruppe innehalten wird, die die Standards für Verschlüsselung bestimmt.

Liked it? Take a second to support AlexBenesch on Patreon!

Related posts

Das Ende des Darknets

AlexBenesch

Politisches Inferno im Schatten von Fußball-WM und Haupturlaubszeit

AlexBenesch

Der Hoax um den deutschen Tesla mit 1 Million Kilometern

AlexBenesch

7 comments

Avatar
Hans 18. April 2014 at 7:50

Hier zeigt Bensch mal wieder wie viel er von Technik versteht. Dachte er wollte alles sauber recherchieren und nicht einfach nur abschreiben. Jaja hetzt auch nur noch über alles was nicht sein Stempel trägt.

Reply
Avatar
Gordon F. 18. April 2014 at 18:06

hallo hansi ! bitte ankreuzen: 1. ich bin ein bezahlter troll 2.Alex hat mir irgendwann mal einen meiner ideologischen lutscher weggenommen 3. ich steh einfach total drauf wenn ich vom “freigeist” angeblufft werde – ps. du darfst auch gerne mehrere kreuzchen machen

Reply
Avatar
konni0883 18. April 2014 at 18:10

Und wo genau in diesem Artikel hetzt Alex? Lege Beweise vor! Zeide die Stellen im Artikel an! Hans, wenn du das nicht machen kannst, dann müssen wir davon aussgehen, dass du diffamierend und ein nüthlich idiotischer Pöbel bist, der in egozentrisch-narzistischer Manier darüber jammert, dass seine Eitelkeit pikoskopische Kratzer abbekommen hat.

Werd’ lieber erwachsen!

Reply
Avatar
AlexBenesch 19. April 2014 at 10:37

Ich bin kein Experte für Code, sondern für das Verhalten von Geheimdiensten, Militärs und Regierungen. Wenn in dem Audit tiefer im Text das Fazit steht, Truecrypt erfüllt nicht die Strandards von sicherem Code wegen verschiedener Schwächen die aus Zufall entstanden sein sollen, dann sehe ich das nicht als Entwarnung. Ganz zu schweigen von der Frage, wer von Anfang an die Hand auf den verwendeten VErschlüsselungsalgorithmen hatte (IBM etc.) Die Coder-Zunft will halt keine Open Source-Kollegen in die Pfanne hauen, da gibt es immer den Sympathiebonus und Vertrauensvorschuss. Leute überall benutzen immer noch TOR obwohl längst bestätigt ist dass die US-Regierung das bezahlt und überall Schwachstellen sind.

Reply
Avatar
Werner 17. April 2014 at 12:55

Wer möglist sicher verschlüsseln möchte, empfehle ich das Programm Opeus mit bis 16.384 bit Verschlüsselung.
http://www.opheus.de .
Das Programm ist von Markus Gohs.

Reply
Avatar
Wahrheitssuchender 17. April 2014 at 4:42

Die genannten Mängel betreffen nur die Windows-Version, nicht jedoch die GNU-Linux-Version. Dies lässt sich auch nicht ändern, da Windows den Programmen keine ausreichenden Kernel-Zugriffsmöglichkeiten bietet, um das Passwort im Speicher halbwegs sicher zu verwahren (in einen CPU-Debug-Speicher).

Reply
Avatar
Gordon F. 18. April 2014 at 18:02

Hallo lieber Wahrheitsfestlegender, hab mir den bericht angeguckt und auch mit meinen lieblingshackern besprochen -fazit- generelle sicherheitslücken im program -eagl ob nun linux oder windoof & und dann noch die sicherheitslücke im bootloader?! bzw. wie kommst du zu deiner meinung, dass truecrypt doch noch super sicher ist unter linux? mfg

Reply

Leave a Comment

Diese Webseite verwendet Cookies. Wenn Sie einverstanden sind, benutzen Sie die Seite weiter und klicken auf „OK“. Erfahren Sie mehr in unserer Datenschutzerklärung. OK Datenschutz