|
BSI hält Bericht über Verschlüsselungssoftware verschlossenIn unseren Artikeln unter dem Kapitel Privatsphäre schützen haben wir an mehreren Stellen auf Truecrypt verwiesen. Mit Truecrypt und seinem aktuellen Nachfolger Veracrypt kann man sich sogenannte verschlüsselte Container anlegen. Das sind entweder große Dateien oder versteckte Partitionen auf der Festplatte, in denen man seine privaten Daten geschützt ablegen kann. Golem hat nun erfahren, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) Truecrypt auf Fehler und Schwächen in der Software untersucht hat. Die Ergebnisse dieses Audits blieben jedoch Verschlußsache. Auch wenn inzwischen einige Dokumente veröffentlicht wurden, so fehl weiterhin ein wichtiges Kapitel. Golem zitiert aus einem Dokument, dass "mangels einer vollständigen Codeanalyse nur Beispiele aufgezählt werden". Doch selbst die versprochenen Beispiele fehlen im Dokument - das nachfolgende Kapitel besteht nur aus einer Überschrift ohne Inhalt. Die erkennbaren Schwächen und Lücken bestehen wohl darin, dass die Speicherverwaltung und das sichere Löschen von Speicherbereichen nicht optimal funktionieren. Bei kryptographischer Software ist es üblich, dass man Speicherbereiche, in denen Schlüssel, Passwörter oder andere kritische Daten gespeichert waren, nach ihrer Verwendung überschreibt. Das Problem besteht, auch nach Ansicht des CCCs darin, dass Compiler ein derartiges Überschreiben von Speicherbereichen oft wegoptimieren - auch künstliche Intelligenz kann sich dumm verhalten. In der Geschichte um Truecrypt gab es vor einigen Jahren eine unerwartete Wendung - die Entwickler von Truecrypt stellten plötzlich die Entwicklung ein und veröffentlichten auf ihrer Webseite die Warnung: Truecrypt sei unsicher, es gebe möglicherweise ungefixte Sicherheitsprobleme. Seitdem wird als Nachfolger Veracrypt empfohlen. Dieser Empfehlung können wir uns anschließen, die letzte Version von Truecrypt vor dieser Warnung ist noch bei Heise herunterladbar. Fazit der Untersuchung: Keine der im Bericht erwähnten Schwachstellen ist extrem kritisch. Unklar bleibt, warum sich das BSI bei der Nichtveröffentlichung hinter dem Urheberrecht und dem Begriff von Geschäftsgeheimnissen versteckt. Mehr dazu bei https://www.golem.de/news/verschluesselungssoftware-bsi-verschweigt-truecrypt-sicherheitsprobleme-1912-145486.html Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/36Q Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7109-20191217-bsi-hat-truecrypt-untersucht.html Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7109-20191217-bsi-hat-truecrypt-untersucht.html Tags: #Truecrypt #Veracrypt #BSI #Untersuchung #Schwachstellen #geheim #Passwörter #Löschung #Überschreiben #Lauschangriff #Überwachung #Unschuldsvermutung #Verhaltensänderung Erstellt: 2019-12-17 10:04:12 Aufrufe: 970 Kommentar abgeben |
CC Lizenz Mitglied im European Civil Liberties Network Bundesfreiwilligendienst Wir speichern nicht World Beyond War Tor nutzen HTTPS nutzen Kein Java Transparenz in der Zivilgesellschaft |