WinPage

Windows, Web, Software, Hardware & Co

Sicherheitslücke in TrueCrypt

Kommentar verfassen

Schon vor über einem Jahr haben die damaligen Entwickler von TrueCrypt die Weiterentwicklung der Verschlüsselungssoftware eingestellt. Über die Gründe wurde heftig spekuliert. So weit, so gut. Doch jetzt tauchen zwei kritische Sicherheitslücken auf, die also nicht mehr gefixt werden.

Encryption

Dass es keine Weiterentwicklung mehr gab, war zuerst kein wirklich großes Problem. Immerhin hat eine erste unabhängige Überprüfung von iSEC im Februar 2014 ergeben, dass es keine wirklichen Sicherheitsprobleme oder Backdoors geben würde. Auch ein zweiter Audit im Frühjahr 2015 blieb ohne Befund. Doch nun hat James Forshaw von Googles Project Zero zwei als kritisch eingestufte Sicherheitslücken entdeckt. Diese sind unter der Kennung CVE-2015-7538 und CVE-2015-7539 in die einschlägigen Datenbanken eingetragen.
Die Sicherheitslücken befinden sich nicht direkt in der TrueCrypt Anwendung, sondern in einem Windows Treiber, den das Krypto Tool mitliefert. Nur, wie konnte das Problem in den beiden Audits übersehen werden? Forshaw kommentierte diese Frage via Twitter mit dem Kommentar: “Windows-Treiber sind komplexe Biester”.

Da die Entwicklung an TrueCrypt eingestellt wurde, werden die gefundenen Sicherheitslücken also auch nicht geschlossen. Ein Alternative stellt der Ableger “VeraCrypt” dar, in dem die beiden Lücken bereits geschlossen wurden.

Truecrypt: Keine Hintertüren gefunden

Kommentar verfassen

Truecrypt wird zwar nicht weiterentwickelt, trotzdem ist die Verbreitung noch recht hoch. Deshalb dürfte es viele beruhigen, dass in einer Untersuchung unbeteiligter Dritter keinerlei Hintertüren gefunden wurden.

Encryption

Aus dem abschließenden Bericht der NCC Group geht hervor, dass es weder für die NSA noch für irgendjemanden anderen eine Hintertüre für die äußerst erfolgreiche Verschlüsselungssoftware Truecrypt gibt. Es wurden zwar einige kleinere Sicherheitslücken gefunden, die allerdings nicht als sonderlich beunruhigend eingestuft werden. Am stärksten wurde die Nutzung einer offiziellen Programmierschnittstelle von Windows zur Erstellung von Zufallszahlen kritisiert. Würde sich diese als fehlerhaft herausstellen, würde dadurch auch die Sicherheit von Truecrypt in Mitleidenschaft gezogen.

Nachdem Truecrypt mittlerweile eingestellt wurde gibt es inzwischen unter anderem die Open Source Anwendung VeraCrypt, die auf der Code Basis von Truecrypt aufbaut und daher von den Ergebnissen der Überprüfung ebenfalls profitieren sollte.

TrueCrypt am Ende?

Kommentar verfassen

Wer aktuell das freie und äußerst beliebte Verschlüsselungstool TrueCrypt bei den Entwicklern unter www.truecrypt.org herunterladen möchte wird dort leider enttäuscht. Die Seite wird weitergeleitet auf truecrypt.sourceforge.net. Dort gibt es lediglich den Hinweis, dass TrueCrypt unsicher wäre und eine Anleitung, wie man seine Daten zur Verschlüsselungslösung Bitlocker von Microsoft migrieren kann. Und eben eine neue Version 7.2 von TrueCrypt, die aber nur lesenden Zugriff erlaubt.

Reichlich nebulös das Ganze. Vor allem weil aktuell ja ein unabhängiges Audit die Version 7.1a untersucht und bisher bis auf einige kleinere Problem grundsätzlich keine Sicherheitslücke aufdecken konnte. Auch der Hinweis zur Nutzung von Bitlocker wirft Rätsel auf. Zum einen steht Bitlocker eben nur auf Windows Systemen zur Verfügung, und selbst dort eben nicht in allen Editionen. Zum anderen mag Bitlocker zwar als sicher gelten, aber ob es dort nicht eine Backdoor gibt, ist in Zeiten von NSA und Co. fraglicher denn je.

Encryption

[Weiterlesen…]

Informationen