Keine Hintertür in TrueCrypt gefunden

Ferdinand Thommes
80 Kommentare

Die Verschlüsselungssoftware TrueCrypt zählt sich selbst als Open Source, was jedoch von der Free Software Foundation nicht anerkannt wird. Der Quellcode ist bislang keine Garantie, dass die ausgelieferten Binärdateien aus diesem hervorgegangen sind. Erste Ergebnisse eines Audits entkräften diese Bedenken.

Ein kürzlich veröffentlichter Aufruf zum Auditing von TrueCrypt hat Spenden von fast 50.000 US-Dollar gebracht. Es gab seit längerem Bedenken, TrueCrypt könne beispielsweise eine Hintertür enthalten, die die Verschlüsselung aushebelt. Ein Master-Student an der kanadischen Concordia-Universität stellte nun jedoch fest, dass die offiziellen Binärdateien, die als Download angeboten werden, mit dem Quellcode übereinstimmen. Somit kann TrueCrypt in der untersuchten Version 7.1a für die 32-Bit Plattform von Windows vom Februar 2012 als sicher angesehen werden. Zudem kommt er zu dem Schluss, die Versionen 6.3a und 7.0a seien ebenfalls sicher.

Sehr detailliert beschreibt der Tester, welche Hürden er beim Übersetzen des Quellcodes nehmen musste, um zu einem verlässlichen Ergebnis zu kommen. So musste er laut einer Readme-Datei im Quellcode beispielsweise Visual C++ 1.52 aus dem Jahre 1994 sowie Microsoft Visual C++ 2008 SP1 installieren. Zudem wurde eine ganz bestimmte Version des Tools „dd“ benötigt, die sich nur in den CoreUtils für Windows fand. Seine Übersetzung unterscheidet sich zwangsläufig in einigen Punkten, wie etwa Zeitstempeln, was aber für das Ergebnis irrelevant ist. Ein Deassemblieren seines Ergebnisses und der Originaldateien brachte dann auch eine hundertprozentige Übereinstimmung.

Diese Untersuchung bringt auch den Initiatoren des Audits wertvolle Hinweise, worauf sie im weiteren Verlauf ihrer Qualitätskontrolle achten müssen. Jetzt soll eine Sicherheitsfirma mit einer weiteren Untersuchung des Quellcodes beauftragt werden. Sicherheitsexperte Bruce Schneier hat bereits seine Hilfe zugesagt. Zudem soll die „TrueCrypt Collective License“, der die Software unterliegt, erneut auf Kompatibilität mit der GPL geprüft werden. Aufgrund rechtlicher Probleme mit dieser Lizenz, bei der einzelne Programmteile unterschiedlichen und teils autorenspezifischen Lizenzen unterliegen, ist TrueCrypt in den meisten Distributionen nicht in den Software-Archiven enthalten. Debian lehnte eine Aufnahme bereits 2006 ab. Wenn diese Hürden überwunden werden könnten, hätte die Aufnahme des Codes in die Linux-Distributionen den Vorteil, dass ein ständiger Audit von vielen Entwicklern die Sicherheit erhöhen würde.

Downloads