TrueCrypt ist weitestgehend sicher: Keine Hintertüren gefunden

Verschlüsselung, Kryptographie, Buch, Truecrypt, Schlüssel Bildquelle: Moxylyn
Die Verschlüsselungs-Software TrueCrypt ist weitestgehend sicher. Absichtlich integrierte Hintertüren soll es in dem von unabhängigen Entwicklern stammenden Tool nicht geben. Dies geht aus einer Untersuchung durch Sicherheitsexperten hervor.
Wie der Kryptographie-Spezialist Matthew Green in seinem Blog berichtet, wurden jüngst die Ergebnisse einer ausführlichen Prüfung der Sicherheit von TrueCrypt durch Spezialisten von der NCC Crypto Services Gruppe auf der Website des Open Crypto Audit Projects veröffentlicht. Das Resultat der Untersuchung ist im Grunde, dass TrueCrypt ein "relativ gut gestaltetes Stück Krypto-Software ist".

Siehe auch: Nach dem TrueCrypt-Aus: Verschlüsselungs-Alternativen für Windows

So habe das Team von NCC Crypto Services keine Anzeichnen für absichtlich integrierte Hintertüren oder schwerwiegende Design-Fehler gefunden, die die Software auf breiter Front anfällig für Attacken oder Spionage machen. Es gebe allerdings eine Reihe von Problemen und Beispiele für unvorsichtige Programmierung, die letztlich unter bestimmten Bedingungen zu Sicherheitsbedenken führen könnten.

Das wichtigste Problem sei, dass der Random Number Generator (RNG) der Windows-Version unter "sehr seltenen Fällen" zum Sicherheitsrisiko werden könnte. Weil die Windows Crypto API unter bestimmten Umständen nicht richtig initialisiert werde, könne es vorkommen, dass TrueCrypt dennoch die zur Verschlüsselung verwendeten Keys generiert, statt einen Fehler auszugeben und den Dienst zu verweigern.

TrueCryptTrueCryptTrueCryptTrueCrypt

Dies stelle ein potenzielles Risiko dar, doch im Alltag sollte dies laut Green kein besorgniserregendes Problem sein. Selbst wenn die Windows Crypto API nicht initialisiert werden könne, verlasse sich TrueCrypt auch noch auf andere Quellen, um die Entropie seiner Zufallszahlen zu gewährleisten. Dennoch sei es "schlechtes Design", dass das Problem überhaupt bestehe, weshalb die Entwickler von Forks die Ursachen rasch beseitigen sollten, so die Empfehlung.

Darüber hinaus gebe es auch einige Bedenken, weil der AES-Code von TrueCrypt unter Umständen für sogenannte Cache-Timing-Angriffe anfällig sein könnte. Diese seien jedoch nur dann problematisch, wenn ein Angreifer die Aktivität von TrueCrypt auf einem Zielsystem nachvollziehen und eigenen Code auf dem jeweiligen Rechner ausführen könne.

TrueCrypt wird nicht mehr aktiv weiterentwickelt, nachdem das Team hinter dem Projekt im Mai 2014 aufgegeben wurde. Inzwischen gibt es jedoch einige alternative Projekte, die die Basis von TrueCrypt für eigene Verschlüsselungslösungen nutzen. Weil das Tool extrem populär war und immer noch ist, dürften die Resultate der Sicherheitsprüfungen durch das Experten-Team auch heute noch hohe Relevanz haben.

Download
TrueCrypt 7.1a - Freie Verschlüsselungs-Software
Download
VeraCrypt - Alternative Volume-Verschlüsselung
Verschlüsselung, Kryptographie, Buch, Truecrypt, Schlüssel Verschlüsselung, Kryptographie, Buch, Truecrypt, Schlüssel Moxylyn
Diese Nachricht empfehlen
Kommentieren98
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden