ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Apps

Keine Hintertür in TrueCrypt gefunden

Ferdinand Thommes
80 Kommentare

Die Verschlüsselungssoftware TrueCrypt zählt sich selbst als Open Source, was jedoch von der Free Software Foundation nicht anerkannt wird. Der Quellcode ist bislang keine Garantie, dass die ausgelieferten Binärdateien aus diesem hervorgegangen sind. Erste Ergebnisse eines Audits entkräften diese Bedenken.

Ein kürzlich veröffentlichter Aufruf zum Auditing von TrueCrypt hat Spenden von fast 50.000 US-Dollar gebracht. Es gab seit längerem Bedenken, TrueCrypt könne beispielsweise eine Hintertür enthalten, die die Verschlüsselung aushebelt. Ein Master-Student an der kanadischen Concordia-Universität stellte nun jedoch fest, dass die offiziellen Binärdateien, die als Download angeboten werden, mit dem Quellcode übereinstimmen. Somit kann TrueCrypt in der untersuchten Version 7.1a für die 32-Bit Plattform von Windows vom Februar 2012 als sicher angesehen werden. Zudem kommt er zu dem Schluss, die Versionen 6.3a und 7.0a seien ebenfalls sicher.

Sehr detailliert beschreibt der Tester, welche Hürden er beim Übersetzen des Quellcodes nehmen musste, um zu einem verlässlichen Ergebnis zu kommen. So musste er laut einer Readme-Datei im Quellcode beispielsweise Visual C++ 1.52 aus dem Jahre 1994 sowie Microsoft Visual C++ 2008 SP1 installieren. Zudem wurde eine ganz bestimmte Version des Tools „dd“ benötigt, die sich nur in den CoreUtils für Windows fand. Seine Übersetzung unterscheidet sich zwangsläufig in einigen Punkten, wie etwa Zeitstempeln, was aber für das Ergebnis irrelevant ist. Ein Deassemblieren seines Ergebnisses und der Originaldateien brachte dann auch eine hundertprozentige Übereinstimmung.

Diese Untersuchung bringt auch den Initiatoren des Audits wertvolle Hinweise, worauf sie im weiteren Verlauf ihrer Qualitätskontrolle achten müssen. Jetzt soll eine Sicherheitsfirma mit einer weiteren Untersuchung des Quellcodes beauftragt werden. Sicherheitsexperte Bruce Schneier hat bereits seine Hilfe zugesagt. Zudem soll die „TrueCrypt Collective License“, der die Software unterliegt, erneut auf Kompatibilität mit der GPL geprüft werden. Aufgrund rechtlicher Probleme mit dieser Lizenz, bei der einzelne Programmteile unterschiedlichen und teils autorenspezifischen Lizenzen unterliegen, ist TrueCrypt in den meisten Distributionen nicht in den Software-Archiven enthalten. Debian lehnte eine Aufnahme bereits 2006 ab. Wenn diese Hürden überwunden werden könnten, hätte die Aufnahme des Codes in die Linux-Distributionen den Vorteil, dass ein ständiger Audit von vielen Entwicklern die Sicherheit erhöhen würde.

Downloads

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz