DE | EN
Sitemap | Impressum
web2.0 Diaspora Vimeo Wir in der taz Wir bei Mastodon A-FsA Song RSS Twitter Youtube Unsere Artikel bei Tumblr Unsere Bilder bei Flickr Aktion FsA bei Wikipedia Spenden Facebook Bitmessage Spenden über Betterplace Zugriff im Tor-Netzwerk https-everywhere
17.12.2019 BSI hat Truecrypt untersucht

BSI hält Bericht über Verschlüsselungssoftware verschlossen

In unseren Artikeln unter dem Kapitel Privatsphäre schützen haben wir an mehreren Stellen auf Truecrypt verwiesen. Mit Truecrypt und seinem aktuellen Nachfolger Veracrypt kann man sich sogenannte verschlüsselte Container anlegen. Das sind entweder große Dateien oder versteckte Partitionen auf der Festplatte, in denen man seine privaten Daten geschützt ablegen kann.

Golem hat nun erfahren, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) Truecrypt auf Fehler und Schwächen in der Software untersucht hat. Die Ergebnisse dieses Audits blieben jedoch Verschlußsache. Auch wenn inzwischen einige Dokumente veröffentlicht wurden, so fehl weiterhin ein wichtiges Kapitel. Golem zitiert aus einem Dokument, dass "mangels einer vollständigen Codeanalyse nur Beispiele aufgezählt werden". Doch selbst die versprochenen Beispiele fehlen im Dokument - das nachfolgende Kapitel besteht nur aus einer Überschrift ohne Inhalt.

Die erkennbaren Schwächen und Lücken bestehen wohl darin, dass die Speicherverwaltung und das sichere Löschen von Speicherbereichen nicht optimal funktionieren. Bei kryptographischer Software ist es üblich, dass man Speicherbereiche, in denen Schlüssel, Passwörter oder andere kritische Daten gespeichert waren, nach ihrer Verwendung überschreibt. Das Problem besteht, auch nach Ansicht des CCCs darin, dass Compiler ein derartiges Überschreiben von Speicherbereichen oft wegoptimieren - auch künstliche Intelligenz kann sich dumm verhalten.

In der Geschichte um Truecrypt gab es vor einigen Jahren eine unerwartete Wendung - die Entwickler von Truecrypt stellten plötzlich die Entwicklung ein und veröffentlichten auf ihrer Webseite die Warnung: Truecrypt sei unsicher, es gebe möglicherweise ungefixte Sicherheitsprobleme. Seitdem wird als Nachfolger Veracrypt empfohlen. Dieser Empfehlung können wir uns anschließen, die letzte Version von Truecrypt vor dieser Warnung ist noch bei Heise herunterladbar.

Fazit der Untersuchung: Keine der im Bericht erwähnten Schwachstellen ist extrem kritisch. Unklar bleibt, warum sich das BSI bei der Nichtveröffentlichung hinter dem Urheberrecht und dem Begriff von Geschäftsgeheimnissen versteckt.

Mehr dazu bei https://www.golem.de/news/verschluesselungssoftware-bsi-verschweigt-truecrypt-sicherheitsprobleme-1912-145486.html

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/36Q
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7109-20191217-bsi-hat-truecrypt-untersucht.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7109-20191217-bsi-hat-truecrypt-untersucht.html
Tags: #Truecrypt #Veracrypt #BSI #Untersuchung #Schwachstellen #geheim #Passwörter #Löschung #Überschreiben #Lauschangriff #Überwachung #Unschuldsvermutung #Verhaltensänderung
Erstellt: 2019-12-17 10:04:12 Aufrufe: 901
Kommentar abgeben

Für eine weitere vertrauliche Kommunikation empfehlen wir, unter dem Kommentartext einen Verweis auf einen sicheren Messenger, wie Session, Bitmessage, o.ä. anzugeben.

Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots zu verhindern.

CC Lizenz   Mitglied im European Civil Liberties Network   Bundesfreiwilligendienst   Wir speichern nicht   World Beyond War   Tor nutzen   HTTPS nutzen   Kein Java   Transparenz in der Zivilgesellschaft

logos Mitglied im European Civil Liberties Network Creative Commons Bundesfreiwilligendienst Wir speichern nicht World Beyond War Tor - The onion router HTTPS - verschlüsselte Verbindungen nutzen Wir verwenden kein JavaScript Für Transparenz in der Zivilgesellschaft