Viren, Spyware, Datenschutz 11.213 Themen, 94.177 Beiträge

News: Noch vertrauenswürdig?

Truecrypt-Analyse: Windows-Version kritischer als Linux-Version

Michael Nickles / 1 Antworten / Flachansicht Nickles
Interessantes Türschloss in Venedig, Italien. (Foto: mn)

Geraume Zeit galt die kostenlose Verschlüsselungs-Software Truecrypt als "das Ding" um Daten effektiv zu verstecken und zu verbergen.

Im Dezember 2014 wurde unter anderem anhand Informationen von Edward Snowden bestätigt, dass Truecrypt auf der "Hass-Liste" der NSA-Schnüffler ganz weit oben steht.

Und das war wohl auch eine Bestätigung für den Vorfall, der Mitte 2014 schockiert hat.

Da haben die "anonymen" Truecrypt-Entwickler erklärt, dass das Projekt eingestellt wird und Truecrypt nicht mehr als sicher gilt. Veröffentlicht wurde die letzte Version 7.2 die nur noch entschlüsseln kann. Die letzte vollständige, auch verschlüsselungsfähige Version von Truecrypt ist 7.1a.

Alles was danach kommt ist heikel, wie hier detailliert im Report erklärt: Spionagegefahr bei Truecrypt - was Nutzer jetzt wissen müssen. Auch eine vertrauenswürdige Fortsetzung von Truecrypt durch andere Entwickler, haben die Truecrypt-Macher blockiert.

Der Quellcode von Truecrypt ist offen und wird alle Weile von Verschlüsselungsexperten auf Vertrauenswürdigkeit überprüft. Die letzte Überprüfung wurde 2014 vom Open Crypto Audit Project Truecrypt durchgeführt. Der erste Teil der Untersuchung wurde veröffentlicht (PDF).

Jetzt haben die Experten den zweiten Teil der Analyse präsentiert (PDF), die somit abgeschlossen ist. Resümee beim untersuchten Truecrypt 7.1a. Dabei wurden durchaus Schwachstellen entdeckt, die größtenteils aber als geringfügig eingestuft wird. Eine eher gewichtige Lücke wurde nur bei der Windows-Version von Truecrypt ermittelt, weil hier eine eventuell angreifbare Windows-API zur Erzeugung von Zufallszahlen verwendet wird.

Michael Nickles meint:

Kann eine Software mit erkannten Sicherheitslücken vertrauenswürdig sein? Nein. Und wenn die Ausnutzung dieser Sicherheitslücken extrem unwahrscheinlich ist? Ebenfalls klares Nein.

Diesen "Weisheiten" steht aber eine andere Frage gegenüber: Gibt es eine vertrauenswürdigere Verschlüsselungsmethode als eine alte (!!!) Version von Truecrypt? Soweit mir bekannt nein. Wer Daten effektiv verschlüsseln und verstecken will, kann das also weiterhin mit Truecrypt tun, sollte dabei aber ausdrücklich eine Version bis maximal 7.1a verwenden und diese aus einer vertrauenswürdigen (!!!) Quelle besorgen.

Weiter gilt unverändert: Verschlüsseln und verstecken mit Truecrypt ist nur dann wirklich effektiv, wenn es richtig gemacht, das Konzept porentief verstanden wird. Das alles wird hier detailliert erklärt: Daten perfekt verschlüsseln und verstecken

bei Antwort benachrichtigen
Borlander Michael Nickles „Truecrypt-Analyse: Windows-Version kritischer als Linux-Version“
Optionen
Eine eher gewichtige Lücke wurde nur bei der Windows-Version von Truecrypt ermittelt, weil hier eine eventuell angreifbare Windows-API zur Erzeugung von Zufallszahlen verwendet wird.

Wobei man dazu noch ergänzen sollte, dass die Zufallszahlen nur beim initialen Erstellen eines verschlüsselten Volumes benötigt werden. Wenn dritte ein System kompromittiert haben zu diesem Zeitpunkt die Verschlüsselung zu schwächen, dann macht das keinen großen Unterschied mehr aus.

bei Antwort benachrichtigen