TrueCrypt ist weitestgehend sicher: Keine Hintertüren gefunden
Wie der Kryptographie-Spezialist Matthew Green in seinem Blog berichtet, wurden jüngst die Ergebnisse einer ausführlichen Prüfung der Sicherheit von TrueCrypt durch Spezialisten von der NCC Crypto Services Gruppe auf der Website des Open Crypto Audit Projects veröffentlicht. Das Resultat der Untersuchung ist im Grunde, dass TrueCrypt ein "relativ gut gestaltetes Stück Krypto-Software ist".
Siehe auch: Nach dem TrueCrypt-Aus: Verschlüsselungs-Alternativen für Windows
So habe das Team von NCC Crypto Services keine Anzeichnen für absichtlich integrierte Hintertüren oder schwerwiegende Design-Fehler gefunden, die die Software auf breiter Front anfällig für Attacken oder Spionage machen. Es gebe allerdings eine Reihe von Problemen und Beispiele für unvorsichtige Programmierung, die letztlich unter bestimmten Bedingungen zu Sicherheitsbedenken führen könnten.
Das wichtigste Problem sei, dass der Random Number Generator (RNG) der Windows-Version unter "sehr seltenen Fällen" zum Sicherheitsrisiko werden könnte. Weil die Windows Crypto API unter bestimmten Umständen nicht richtig initialisiert werde, könne es vorkommen, dass TrueCrypt dennoch die zur Verschlüsselung verwendeten Keys generiert, statt einen Fehler auszugeben und den Dienst zu verweigern.
Dies stelle ein potenzielles Risiko dar, doch im Alltag sollte dies laut Green kein besorgniserregendes Problem sein. Selbst wenn die Windows Crypto API nicht initialisiert werden könne, verlasse sich TrueCrypt auch noch auf andere Quellen, um die Entropie seiner Zufallszahlen zu gewährleisten. Dennoch sei es "schlechtes Design", dass das Problem überhaupt bestehe, weshalb die Entwickler von Forks die Ursachen rasch beseitigen sollten, so die Empfehlung.
Darüber hinaus gebe es auch einige Bedenken, weil der AES-Code von TrueCrypt unter Umständen für sogenannte Cache-Timing-Angriffe anfällig sein könnte. Diese seien jedoch nur dann problematisch, wenn ein Angreifer die Aktivität von TrueCrypt auf einem Zielsystem nachvollziehen und eigenen Code auf dem jeweiligen Rechner ausführen könne.
TrueCrypt wird nicht mehr aktiv weiterentwickelt, nachdem das Team hinter dem Projekt im Mai 2014 aufgegeben wurde. Inzwischen gibt es jedoch einige alternative Projekte, die die Basis von TrueCrypt für eigene Verschlüsselungslösungen nutzen. Weil das Tool extrem populär war und immer noch ist, dürften die Resultate der Sicherheitsprüfungen durch das Experten-Team auch heute noch hohe Relevanz haben.
Download TrueCrypt 7.1a - Freie Verschlüsselungs-Software Download VeraCrypt - Alternative Volume-Verschlüsselung
Siehe auch: Nach dem TrueCrypt-Aus: Verschlüsselungs-Alternativen für Windows
So habe das Team von NCC Crypto Services keine Anzeichnen für absichtlich integrierte Hintertüren oder schwerwiegende Design-Fehler gefunden, die die Software auf breiter Front anfällig für Attacken oder Spionage machen. Es gebe allerdings eine Reihe von Problemen und Beispiele für unvorsichtige Programmierung, die letztlich unter bestimmten Bedingungen zu Sicherheitsbedenken führen könnten.
Das wichtigste Problem sei, dass der Random Number Generator (RNG) der Windows-Version unter "sehr seltenen Fällen" zum Sicherheitsrisiko werden könnte. Weil die Windows Crypto API unter bestimmten Umständen nicht richtig initialisiert werde, könne es vorkommen, dass TrueCrypt dennoch die zur Verschlüsselung verwendeten Keys generiert, statt einen Fehler auszugeben und den Dienst zu verweigern.
Dies stelle ein potenzielles Risiko dar, doch im Alltag sollte dies laut Green kein besorgniserregendes Problem sein. Selbst wenn die Windows Crypto API nicht initialisiert werden könne, verlasse sich TrueCrypt auch noch auf andere Quellen, um die Entropie seiner Zufallszahlen zu gewährleisten. Dennoch sei es "schlechtes Design", dass das Problem überhaupt bestehe, weshalb die Entwickler von Forks die Ursachen rasch beseitigen sollten, so die Empfehlung.
Darüber hinaus gebe es auch einige Bedenken, weil der AES-Code von TrueCrypt unter Umständen für sogenannte Cache-Timing-Angriffe anfällig sein könnte. Diese seien jedoch nur dann problematisch, wenn ein Angreifer die Aktivität von TrueCrypt auf einem Zielsystem nachvollziehen und eigenen Code auf dem jeweiligen Rechner ausführen könne.
TrueCrypt wird nicht mehr aktiv weiterentwickelt, nachdem das Team hinter dem Projekt im Mai 2014 aufgegeben wurde. Inzwischen gibt es jedoch einige alternative Projekte, die die Basis von TrueCrypt für eigene Verschlüsselungslösungen nutzen. Weil das Tool extrem populär war und immer noch ist, dürften die Resultate der Sicherheitsprüfungen durch das Experten-Team auch heute noch hohe Relevanz haben.
Download TrueCrypt 7.1a - Freie Verschlüsselungs-Software Download VeraCrypt - Alternative Volume-Verschlüsselung
Kommentar abgeben
Netiquette beachten!
Jetzt als Amazon Blitzangebot
Ab 10:20 Uhr 
MinSoHi AA-Akku, 1,5 V, 2600 mWh wiederaufladbare Batterien mitTyp-C Mikroladekabel, Schnellladung in 2 Stunden, Pack 4
MinSoHi AA-Akku, 1,5 V, 2600 mWh wiederaufladbare Batterien mitTyp-C Mikroladekabel, Schnellladung in 2 Stunden, Pack 4 Original Amazon-Preis
21,79 €
Blitzangebot-Preis
18,52 €
Ersparnis zu Amazon 15% oder 3,27 €
Beliebte Downloads
Video-Empfehlungen
Beliebt im Preisvergleich
- cat swsec_av:
Neue Nachrichten
Beliebte Nachrichten
Videos
Folgt uns auf Twitter
Meist kommentierte Nachrichten
WinFuture wird gehostet von Artfiles
Forum
-
Server schmeißt Clienets aus dem Internet
BL007 - vor 2 Stunden -
Datenvolumen D vs Luxemburg
Nutzpass - Heute 16:52 Uhr -
Win 11 Vers. 22H2 Anzeigeprobleme bei Spielen
Reteibeg - Heute 13:41 Uhr -
Windows 11 Probleme mit Audio
Majosho - Heute 12:26 Uhr -
Outlook 365 Formular-Vorlage
Mikesch - Heute 11:50 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen