TrueCrypt besteht die Prüfung

Kostenloses und Open-Source-Programm zur vollständigen Festplattenverschlüsselung TrueCrypt war der Liebling der Sicherheitswelt (empfohlen von Edward Snowden und Amazon), obwohl seine Entwickler anonym blieben und der Code nicht unabhängig geprüft worden war.

Gerade als dieses zweite Problem im Anschluss an ein von der Electronic Frontier Foundation (EFF) unterstütztes Crowdfunding-Projekt im Rahmen eines laufenden Audits behoben wurde, zogen die TrueCrypt-Entwickler unter äußerst zwielichtigen Umständen plötzlich den Stecker ihrer Software aus der Steckdose und empfahlen den Benutzern, auf das wild unsichere und seither bestätigte System umzusteigen BitLocker - ein Umzug, der so bizarr ist, dass viele ihn für einen eindeutigen Kanarienvogel halten.

Verschwörungstheorien unter einer zunehmend paranoiden Sicherheitsgemeinschaft blühten auf, obwohl das Open Crypto Audit Project ankündigte, dass nach Phase I seiner Prüfung keine größeren Sicherheitslücken gefunden wurden. Mit dem Vertrauen in TrueCrypt auf dem niedrigsten Stand aller Zeiten, aber mit der Nachfrage nach den versprochenen Funktionen (kein anderes Programm bot alle Vorteile von TrueCrypts, mit Ausnahme von Gabeln davon, die selbst vermutet wurden), beschlossen die Forscher, das Audit fortzusetzen.

Letzte Woche wurden die Ergebnisse der Phase II des Audits veröffentlicht und geben TrueCrypt im Großen und Ganzen ein sauberes Gesundheitszeugnis. Soweit das Auditteam feststellen kann (es gibt keine Möglichkeit, 100% sicher zu sein), enthält die Kryptosoftware keine absichtlich von NSA ausnutzbaren Hintertüren oder Sicherheitslücken. Als Chefforscher des Berichts fasste Matthew Green in einem Blogbeitrag zusammen,

"Der TL; DR basiert auf diesem Audit. Truecrypt scheint ein relativ gut entworfenes Stück Kryptosoftware zu sein." Das NCC-Audit ergab keine Hinweise auf absichtliche Hintertüren oder schwerwiegende Konstruktionsfehler, die die Software in den meisten Fällen unsicher machen. “

Das Team hat eine Reihe von Problemen festgestellt, deren Behebung empfohlen wird. Diese können jedoch behoben werden und stellen für die Benutzer nur unter den unwahrscheinlichsten Umständen eine große Bedrohung dar,

„Das heißt nicht, dass Truecrypt perfekt ist. Die Prüfer haben ein paar Pannen und eine unüberlegte Programmierung festgestellt - was zu ein paar Problemen führte, die unter den richtigen Umständen dazu führen könnten, dass Truecrypt weniger Sicherheit gibt, als wir es gerne hätten.

Beispiel: Das wichtigste Problem im Truecrypt-Bericht ist ein Ergebnis im Zusammenhang mit der Windows-Version des Zufallszahlengenerators (RNG) von Truecrypt, der für die Generierung der Schlüssel verantwortlich ist, mit denen Truecrypt-Volumes verschlüsselt werden. Dies ist ein wichtiger Teil des Codes, da ein vorhersehbarer RNG eine Katastrophe bedeuten kann, die die Sicherheit für alles andere im System gewährleistet.

Dies ist nicht das Ende der Welt, da die Wahrscheinlichkeit eines solchen Ausfalls äußerst gering ist. Darüber hinaus erfasst Truecrypt auch dann Entropie von Quellen wie Systemzeigern und Mausbewegungen, wenn die Windows Crypto-API auf Ihrem System ausfällt. Diese Alternativen sind wahrscheinlich gut genug, um Sie zu schützen. Aber es ist ein schlechtes Design und sollte auf jeden Fall in Truecrypt-Gabeln repariert werden. “

Die Sicherheitsgemeinschaft wird jetzt wahrscheinlich aufatmen, und diese Ergebnisse werden wahrscheinlich das Vertrauen in Gabeln stärken, die seit dem theoretischen Ableben von TrueCrypt entwickelt wurden. Das große Problem bei solchen Gabeln besteht darin, dass der TrueCrypt-Code, obwohl er als Quelle für Audits verfügbar ist, keine echte Open Source-Quelle ist und daher unter Verstoß gegen das Urheberrecht entwickelt wird. Damit dies jedoch zu einem Problem wird, müssten sich die ursprünglichen Entwickler selbst de-anonymisieren und auf die Behauptung drücken, was angesichts der Anstrengungen, die sie unternommen haben, um ihre Identität zu schützen, die meisten Beobachter für unwahrscheinlich halten. Dennoch ist es für zukünftige Entwickler ein Glücksspiel, möglicherweise viel Zeit und Mühe in die Entwicklung von Software zu stecken, die möglicherweise irgendwann heruntergefahren wird.

Die beiden Hauptgabeln von TrueCrypt, die sich derzeit in der Entwicklung befinden, sind VeraCrypt und CypherShed, von denen VeraCrypt im Allgemeinen als die bessere angesehen wird (und die behauptet, einige der Probleme mit TrueCrypt behoben zu haben). Sehen Sie sich diesen Bereich an, um VeraCrypt genauer kennenzulernen.

Diejenigen, die dem bereits geprüften Code vertrauen möchten, finden ältere Versionen der Software im TrueCrypt Final Release Repository (hier finden Sie eine vollständige Anleitung zur Verwendung von TrueCrypt) Trotz der neuen Erkenntnisse lesen Sie unseren Artikel über die 5 besten Open-Source-Alternativen zu TrueCrypt.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me