Sorry, most articles are not available in English yet
BSI hält Bericht über Verschlüsselungssoftware verschlossen
In unseren Artikeln unter dem Kapitel Privatsphäre schützen haben wir an mehreren Stellen auf Truecrypt verwiesen. Mit Truecrypt und seinem aktuellen Nachfolger Veracrypt kann man sich sogenannte verschlüsselte Container anlegen. Das sind entweder große Dateien oder versteckte Partitionen auf der Festplatte, in denen man seine privaten Daten geschützt ablegen kann.
Golem hat nun erfahren, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) Truecrypt auf Fehler und Schwächen in der Software untersucht hat. Die Ergebnisse dieses Audits blieben jedoch Verschlußsache. Auch wenn inzwischen einige Dokumente veröffentlicht wurden, so fehl weiterhin ein wichtiges Kapitel. Golem zitiert aus einem Dokument, dass "mangels einer vollständigen Codeanalyse nur Beispiele aufgezählt werden". Doch selbst die versprochenen Beispiele fehlen im Dokument - das nachfolgende Kapitel besteht nur aus einer Überschrift ohne Inhalt.
Die erkennbaren Schwächen und Lücken bestehen wohl darin, dass die Speicherverwaltung und das sichere Löschen von Speicherbereichen nicht optimal funktionieren. Bei kryptographischer Software ist es üblich, dass man Speicherbereiche, in denen Schlüssel, Passwörter oder andere kritische Daten gespeichert waren, nach ihrer Verwendung überschreibt. Das Problem besteht, auch nach Ansicht des CCCs darin, dass Compiler ein derartiges Überschreiben von Speicherbereichen oft wegoptimieren - auch künstliche Intelligenz kann sich dumm verhalten.
In der Geschichte um Truecrypt gab es vor einigen Jahren eine unerwartete Wendung - die Entwickler von Truecrypt stellten plötzlich die Entwicklung ein und veröffentlichten auf ihrer Webseite die Warnung: Truecrypt sei unsicher, es gebe möglicherweise ungefixte Sicherheitsprobleme. Seitdem wird als Nachfolger Veracrypt empfohlen. Dieser Empfehlung können wir uns anschließen, die letzte Version von Truecrypt vor dieser Warnung ist noch bei Heise herunterladbar.
Fazit der Untersuchung: Keine der im Bericht erwähnten Schwachstellen ist extrem kritisch. Unklar bleibt, warum sich das BSI bei der Nichtveröffentlichung hinter dem Urheberrecht und dem Begriff von Geschäftsgeheimnissen versteckt.
Mehr dazu bei https://www.golem.de/news/verschluesselungssoftware-bsi-verschweigt-truecrypt-sicherheitsprobleme-1912-145486.html
Category[21]: Unsere Themen in der Presse Short-Link to this page: a-fsa.de/e/36Q
Link to this page: https://www.aktion-freiheitstattangst.org/de/articles/7109-20191217-bsi-hat-truecrypt-untersucht.htm
Link with Tor: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7109-20191217-bsi-hat-truecrypt-untersucht.htm
Tags: #Truecrypt #Veracrypt #BSI #Untersuchung #Schwachstellen #geheim #Passwörter #Löschung #Überschreiben #Lauschangriff #Überwachung #Unschuldsvermutung #Verhaltensänderung
Created: 2019-12-17 10:04:12
Kommentar abgeben