Trotz Prüfung: Neue Sicherheitslücken in TrueCrypt entdeckt

Trotz des umfassenden Code-Audits sind zwei Sicherheitslücken in der Verschlüsselungs-Software TrueCrypt bisher nicht entdeckt worden. Über diese informierte nun der Sicherheitsforscher James Forshaw von Googles Project Zero die Öffentlichkeit. mehr... Verschlüsselung, Kryptographie, Buch, Truecrypt, Schlüssel Bildquelle: Moxylyn Verschlüsselung, Kryptographie, Buch, Truecrypt, Schlüssel Verschlüsselung, Kryptographie, Buch, Truecrypt, Schlüssel Moxylyn

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Zumindest keine kryptographischen Lücken die das entschlüsseln erlauben.
 
@ESmazter: Wenn man zur Laufzeit eindringen und Rechte umbiegen kann, ist unter Umständen der Schlüssel kompromittiert, und damit letztlich auch die Verschlüsselung selbst. Das ist also auch nicht viel besser.
 
@starship: Ja solange man den Speicher auslesen kann, kann man auch den Key auslesen (Siehe auch Coldboot). Aber wenn jemand die Festplatte nach einer Durchsuchung vor sich hat, wird er mit diesen Lücken die Festplatte nicht entschlüseln können. Das meinte ich damit.
 
@ESmazter: Ja, da stimme ich Dir zu.
 
Soviel zu "das ist OSS, da kann jeder den Code prüfen" ... wenn nichtmal ein "Audit" dazu in der Lage ist.
 
@iPeople: Wären diese Fehler entdeckt worden, wenn Truecrypt nicht OSS wäre?
 
@gutenmorgen1: Er ist trotz OSS nicht von einem speziell darauf angesetztem Expertenteam gefunden worden. DAS ist es, was die Aussage der Nerds ad absurdum führt.
 
@iPeople: Natürlich kann auch ein Expertenteam bei OSS etwas übersehen, genauso wie das interne Expertenteam bei CSS Fehler übersehen kann.
Aber gerade dieser Fall führ die "Aussage der Nerds" eben nicht ad absurdum sondern beweist deren Standpunkt. Die Fehler wurden dank OS gefunden weil ausserhalb des Expertenteams nochmals jemand nach Fehlern gesucht hat. Genau das wäre bei CS eben nicht möglich gewesen.
 
@gutenmorgen1: Nein, es beweist eben nicht deren Standpunkt, weil eben 99,9% keine Experten sind und niemals einen fehler finden, wenn sie sich die Source runterladen, kontrollieren und dann kompilieren sollen, was ja der angebliche Vorteil in Sachen Sicherheit bei OSS sein soll.
 
@iPeople: Nochmal: wären diese Fehler in CSS gefunden worden oder sind sie nur gefunden worden, weil Truecrypt OSS ist?
 
@gutenmorgen1: Werden is nicht-OSS nie Fehler gefunden?
 
@iPeople: Natürlich. Aber was hat das mit diesem Fall zu tun?
Diese Fehler wurden während der Prüfung des Quellcodes gefunden und das war nur möglich, weil in diesem Fall "jeder den Code prüfen kann"
 
@gutenmorgen1: wo hast du das gelesen?
 
@gutenmorgen1: ich vermute mal, das Problem ist, dass in nem Code sicherlich NICHT über der oder den betroffenen Stellen als Kommentar steht "# Vulnerable code below!" - Es wird wie so oft sein, dass man halt auch die Zusammenhänge erkennen muss und das kann sicherlich komplizierter sein als es für viele Leute in der OS Community nachvollziehbar ist.
 
@gutenmorgen1: Ja, aber nicht jeder ist dazu in der Lage, darum ging es mir
 
@gutenmorgen1: Du meinst nachdem auf Sicherheitslücken überprüft wurde, hat man eine schwere Sicherheitslücke gefunden. Und das soll jetzt ein Vorteil sein? Mit der Begründung, in CS wäre das nicht passiert?

Ich weiß nicht ob dir das so wirklich bewusst ist, aber man kann von Glück reden, dass es ein Sicherheitsforscher war und kein Geheimdienst oder Krimineller. Hier wird etwas geprüft mit dem Ergebnis sicher und jeder wiegt sich in dieser Sicherheit, noch dazu weil es OSS ist. Und genau das ist eben nicht der Fall wie dieses Scenario hier beweist.

In dem Falle wäre CS sicherer, weil was der Sicherheitsforscher nicht gefunden hätte, hätte auch kein Krimineller gefunden!

OSS und CS sind sich fast identisch was Sicherheit angeht, der Nachteil des einen ist der Vorteil das anderen und umgekehrt. Der einzige unterschied besteht darin, dass man Aussagen von Programmierern überprüfen kann. Man kann bei OSS überprüfen ob es ein Backdoor gibt, vorausgesetzt man findet ihn.
 
@gutenmorgen1: in aller regel, ja. Sicherheitslücken werden in der heutigen zeit fast nur noch "von aussen" durch pen testing u.ä. gefunden und nicht mehr durch code audits

Im konkreten fall kann man das aber meines wissens noch nicht beantworten da der herr forshaw nicht gesagt hat wie er auf die lücke gestossen ist.
 
@0711: http://www.heise.de/newsticker/meldung/VeraCrypt-entledigt-sich-alter-Sicherheitsluecken-2832494.html
"Forshaw zufolge waren beide Lücken gut im Programmcode versteckt, wurden aber nicht mit Absicht eingefügt"
Für mich klingt das nach einem audit.
 
@gutenmorgen1: Für mich klingt dass nach der Erklärung warum "sowas" im Audit nicht aufgefallen ist...wie er auf die Lücke gestoßen ist klärt das für mich nicht - das wäre Kaffeesatzlesen
 
@gutenmorgen1: Okay, hier kommt schon viel Mist von iPeople. Dass OSS es einfacher macht, Sicherheitslücken aufzudecken wenn man den Quellcode hat, sollte klar sein. Reverse-Engineering oder andere Ansätze sind sicherlich komplexer.
Allerdings muss man sich auch vor Augen führen, dass nicht jeder, der in OSS nach Fehlern sucht ein edler Ritter sein muss. Mir fallen da spontan Hacker ein, die Lücken auf dem Schwarzmarkt verkaufen oder auch Regierungsorganisationen. Geht man davon aus, dass der Hersteller der Software nicht mit letzteren kooperiert, KANN(!) CSS sicherer sein.
 
@iPeople: Ein Sicherheitsforscher von Google hat die Sicherheitslücken gefunden. Dazu brauchte er den Quellcode. TrueCrypt ist nicht von Google. Wäre TrueCrypt Closed Source, hätte es der Sicherheitsforscher somit wohl deutlich schwerer gehabt, die Lücken zu finden. Open Source hat hier also sehr gut funktioniert.
 
@TiKu: Und jeder ist Sicherheitsforscher?
 
@iPeople: Nein. Aber inwiefern spricht das für CSS bzw. gegen OSS?
 
@TiKu: Ich habe kein CSS vs OSS Vergleich gemacht, sondern das Totschlagargument "Jeder kann den Quellcode einsehen und Fehler finden" persifliert. Offenbar ist das bei Truecrypt nie gemacht worden.
 
@TiKu: warum braucht er den code um sicherheitslücken zu finden? nach der Argumentation gibt es in css keine sicherheitslücken.

Er kann auf die stelle im code zeigen wo was schief läuft aber zum auffinden der sicherheitslücken ist sicher keine codeeinsicht notwendig - so wie er es bisher schreibt wirkt es auch nicht dass er den code reviewed hat und dadurch darauf gestossen ist sodnern durch testen
 
@0711: "warum braucht er den code um sicherheitslücken zu finden? nach der Argumentation gibt es in css keine sicherheitslücken." Das musst du mir erklären.

Codeeinsicht mag zum Finden von Sicherheitslücken nicht unbedingt notwendig sein, sie erleichtert die Arbeit aber ungemein. CSS ist wie eine Blackbox, ein schwarzer Kasten. Du weißt nicht, was innendrin passiert. Du kannst durch das Verhalten der Blackbox bei bestimmten Eingaben Rückschlüsse auf das Innenleben ziehen, aber das ist mühsig. OSS ist hingegen ein Glaskasten. Du siehst sehr genau was passiert, du musst nur hinschauen.
Nicht unwahrscheinlich ist, dass Forshaw auf einen typischen Programmierfehler beim Entwickeln von Windows-Treibern gestoßen ist (vll. weil er den selben Fehler gemacht hat oder er eine Software überprüft hat, die diesen Fehler enthielt) und daraufhin interessehalber einige OSS-Projekte auf diesen Fehler überprüft hat. Bei Truecrypt ist er dann eben fündig geworden.
 
@TiKu: Wenn man Codeeinsicht bräuchte um Sicherheitslücken zu finden, wer sollte diese dann bei CSS Software finden? Du schreibst es ja im nächsten Satz selbst, die Aussage ist Unsinn.

Die Realität sieht so aus dass die überwältigende Mehrheit aller bekannten Sicherheitslücken nicht durch Codeaudits sondern durch Tests von außen gefunden werden. Wo die Codeeinsicht dann hilft ist rauszufinden warum sich dies und jenes so verhält (also das warum) und man kann mit dem finger zeigen wo der fehler liegt aber dass es sich so verhält wie es sich verhält wird nur noch selten durch codeaudits rausgefunden, dafür gibt es inzwischen auch Software die das ganz gut automatisch macht - das ist auch der Grund warum OSS bei Sicherheitslücken eigentlich nicht besser dasteht wie CSS.

"Du siehst sehr genau was passiert, du musst nur hinschauen." es gibt wohl nur eine sehr sehr begrenzte anzahl von leuten die eine "matrixsicht" auf code haben wenn man nur nach "läuft irgendwas falsch" sucht. Auch ein grund warum es in der Praxis keine großen unterschiede zwischen OSS und CSS gibt.
 
@0711: "es gibt wohl nur eine sehr sehr begrenzte anzahl von leuten die eine "matrixsicht" auf code haben wenn man nur nach "läuft irgendwas falsch" sucht." Und wenn es nur einen dieser Menschen auf der ganzen Welt gäbe: Bei OSS besteht die Chance, dass dieser Mensch sich den Code anschaut. Bei CSS besteht diese Chance nur, wenn dieser eine Mensch für das Unternehmen arbeitet.
 
@TiKu: Ja ich weiß dass dies das Wunschdenken ist, die Realität sieht halt anders aus, im OSS Bereich sind Code Audits äußerst selten und Bugfixing steht oft hinter Featuren an...

Nicht das im CSS Bereich alles besser ist, mitnichten aber hier werden die anbieter hin und wieder auch durch auflagen dazu gezwungen Audits zu veranlassen

In Summe kommt sowohl bei CSS als auch bei OSS der gleiche Müll rum
 
@0711: Im CSS-Bereich kommt oftmals der Terminzwang vor dem Bugfixing, insbesondere wenn es Bugs sind, die nur wenige Nutzer betreffen. Code wird in CSS-Projekten in der Regel auch nur dann überarbeitet, wenn es einen konkreten Anlass (Bugmeldungen, Feature-Requests) gibt. Bei CSS-Projekten ist es auch nicht unüblich, mit Workarounds zu leben, wenn das billiger ist als das eigentliche Problem zu lösen.
Bei OSS habe ich es hingegen schon oft erlebt, dass Code, der eigentlich funktioniert, überarbeitet wurde, einfach weil er hier und da unschön war.
Ich würde nicht behaupten, dass alle OSS-Projekte sicherer sind als CSS-Projekte. Aber ein jedes OSS-Projekt hat die Chance dazu.
 
@iPeople: Dir ist schon klar, dass es EXAKT deshalb gefunden wurde?
 
@Shadow27374: bitte um eine quelle
 
@0711: Dieser Winfuture-Artikel, aus dem habe ich das entnommen. So wie es HIER geschrieben ist, bedeutet es genau das!
 
@Shadow27374: gut dann lese ich das anders wie du...hier wird nicht gesagt wie es entdeckt wurde sondern warum sowas in einem audit übersehen werden konnte
 
@0711: Dann lesen/verstehen wir das in der Tat unterschiedlich.
 
@Shadow27374: Aha, und wie werden dann Fehler in CCS gefunden? Und das Sicherheitsforscher etwas gefunden haben (weil gezielt danach gesucht) macht es für mich als Nicht-Experte genau wie zum sichererer Software? Darum gings doch, die Aussagen, jeder kann OSS auf Fehler prüfen. Natürlich _könnte_ das jeder, aber nicht jeder ist in der Lage dazu, was das Argument irgendwie unsinnig erscheinen lässt. Und mal ehrlich, Truecrypt gibt es jetzt wie lange? Und JETZT, nachdem es etwas Trubel darum gab, wird das Teil mal untersucht? Und man hat tatsächlich etwas gefunden.
 
@iPeople: Man hats gefunden, alles super.
 
@Shadow27374: Nach wievielen Jahren?
 
@iPeople: Weiß ich nicht, da musst du aber selber in der Truecrypt Doku nach schauen wann diese betroffene Funktion in den Code floss.
 
@Shadow27374: Und merkste was?
 
@iPeople: Ich merke nur, dass mein Kaffee kalt wird. Moment.
 
@Shadow27374: Viel ist das nicht gerade ;)
 
@iPeople: Richtig, Kaffee ist nun leer und ich werde mich nun entspannen.
 
@iPeople: Der Audit hat sich mit solchen Probleme gar nicht beschäftigt. Im Audit ging es darum, ob die Verschlüsselung an sich sicher ist und keine Hintertüren bietet. TrueCrypt wurde im Audit nicht auf Bugs, Sicherheitslücken und Co. untersucht!
 
@Scaver: Na noch schlimmer.
 
SicherheitsForshaw ^^
 
Ich bin schon vor über einem Jahr oder länger auf VeraCrypt umgestiegen. Es ist im Prinzip das gleiche Tool. Es mag sein, dass das Einbinden einen Tick länger dauert als bei TrueCrypt, aber was soll's.
Außerdem können mit Veracrypt auch alte TrueCrypt-Container (im "TrueCrypt-Modus") geöffnet werden. Aber auch hier empfiehlt es sich auf die VeraCrypt-Container umzustellen.
 
@Aloysius: Dauert aber nicht länger, weil es schlechter programmiert ist, sondern weil es eine viel höhere Sicherheit bietet. Wurde zumindest mal so erläutert, so sollen die Container weitaus besser gegen Brute-Force usw. geschützt sein. Gefährliches Halbwissen meinerseits, aber wollte es dennoch nicht unkommentiert so stehen lassen. :-)
 
@Aloysius: Ich bin auch am überlegen von TrueCrypt auf VeraCrypt umzusteigen, irgendwie habe ich bei letzterem ein schlechtes Gefühl nach der ganzen TrueCrypt Geschichte, dass da vielleicht doch etwas nicht ganz in Ordnung sein könnte.
Ich habe in verschiedenen Foren jetzt schon gelesen das VeraCrypt auf der TrueCrypt Version basieren soll, vor der die TrueCrypt-Mache gewarnt hatten. Ist an der Sache was dran oder bloß Geschwätz ?
 
@chris899: Ich denke, das könnte am ehesten ein Audit klären. Einen solchen hat es meines Wissens für VeraCrypt bisher jedoch leider noch nicht gegeben. Ich bin selbst auch auf der Suche nach einem entsprechenden TC Nachfolger.
 
@starship: Von einem Audit habe ich leider auch noch nichts gehört. Ich wüsste sonst momentan auch keine andere Alternative zu TC. BitLocker ist es jedenfalls bestimmt nicht.
 
@chris899: Ein Autdit wäre bestimmt nicht schlecht, aber wie man sieht, bringt selbst das nicht 100% Sicherheit.
Man kann nur vertrauen und hoffen, dass es sicher ist.

Es ist schon schlimm, wie man durch diese ganzen Machenschaften der Geheimdienste und Konsorten, schon selbst paranoid wird.
 
@chris899: installier' es doch einfach und schau es Dir an. Es sieht aus wie ne 1:1 Kopie von TrueCrypt, nur dass eben VeraCrypt ist.

Angeblich basiert VeraCrypt auf der letzten Version von TrueCrypt, nämlich v7.1a. Sicherheitstechnisch ist um einiges erweitert worden. Noch dazu wurde (mit VeraCrypt v1.15) am letzten Wochenende die jetzt veröffnentlichen Sicherheitslücken bereits gefixt.
 
@Aloysius: Ja, VeraCrypt basiert auf TC 7.1a steht auch hier nochmal: https://veracrypt.codeplex.com/
Ich denke, ich warte noch bis es hoffentlich bald ein Audit gibt. Bei TC weiß ich mehr oder weniger was ich habe. Das Erstellen von neuen Containern und rüberkopieren der Daten aus den alten würde nur für einen Test auch zu lange dauern.
 
Kleiner Spaß am Rande *Aluhut aufsetz*:

Dieses Gerücht wurde von den Geheimdiensten in die Welt gesetzt um das Vertrauen der Leute in TrueCrypt zu erschüttern und sie stattdessen dazu zu bewegen, nicht auditierte Software fragwürdiger Herkunft einzusetzen, an deren Entwicklung sie "natürlicht nicht" beteiligt sind.

*Aluhutmodus off*

Oder vielleicht doch kein Scherz? ;)
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles