News : TrueCrypt: Keine Hintertür gefunden

, 55 Kommentare

Nachdem bereits im Oktober 2013 ein kanadischer Student ein Audit der Verschlüsselungssoftware TrueCrypt vorgenommen hatte, ohne schädlichen Code oder eine Hintertür zu finden, wurden die Ergebnisse jetzt von der Firma iSEC in einem unabhängigen Audit verifiziert und bestätigt.

Die erste Untersuchung von TrueCrypt des Studenten der Concordia-Universität hatte ergeben, dass die Binärdateien, die für Windows in der 32-Bit-Version ausgeliefert werden, identisch mit dem Quellcode sind und keinerlei schädlichen Code enthalten.

Eine Initiative, die die Gerüchte aus der Welt schaffen will, in TrueCrypt gebe es eine Hintertür, die die Verschlüsselung aushebelt, sammelte im vergangenen Herbst über 50.000 US-Dollar Spendengelder für einen kompletten Audit der Software. Mit diesem wurde die Firma iSEC beauftragt, die jetzt ihren abschließenden Bericht (PDF) vorlegte. Dieser stimmt im Wesentlichen mit den Feststellungen des ersten Audits überein. Auch iSEC konnte keinen schädlichen Code finden, weist jedoch auf insgesamt elf Probleme hin, von denen jeweils vier der mittleren und niedrigen Stufe zugeordnet sind. Weitere drei Probleme sind rein informeller Natur. Sie weisen zudem daraufhin, dass der Code teils nachlässig geschrieben sei und keinen hohen Qualitätsanforderungen standhalte. Das mache ein Audit schwierig und erschwere das Auffinden von Fehlern. Außerdem moniert iSEC im Bericht, wie bereits der kanadische Student vor ihnen, die völlig veraltete Build-Umgebung. Ausdrücklich gelobt wurde die Ausführlichkeit und Qualität der Dokumentation des Projekts.

Die Untersuchung von TrueCrypt ist mit dem Bericht von iSEC jedoch noch nicht beendet. Weitere Ziele der Initiative sind eine formale öffentliche Kryptoanalyse von TrueCrypt 7.1a. Weiterhin gilt es die TrueCrypt-Open-Source-Lizenz 3.0 juristisch abzuklopfen und erneut auf ihre Kompatibilität mit der GPL zu prüfen. Bisher wird die Auslieferung der Verschlüsselungssoftware in den gängigen Distributionen durch die von der Linux Foundation nicht als Open Source anerkannte Lizenz verhindert.