Coming soon ... IT Summit by heise

Open Crypto Audit Project: TrueCrypt ist sicher, aber unsauber

Durch den von Edward Snowden aufgedeckten NSA-Skandal war im vergangenen Jahr TrueCrypt, das quelloffene Programm zum Verschlüsseln von Festplatten und Wechselmedien, in den Fokus des Interesses der Open-Source-Szene geraten. Finanziert durch eine Spendensammelaktion läuft derzeit unter dem Titel Open Crypto Audit Project (OCAP) eine Überprüfung durch die Sicherheitsfirma iSEC Partners, die den Code von TrueCrypt 7.1a auf Bugs und Schwachstellen untersucht.

In einem ersten Bericht (PDF-Download) zählen die beauftragten Forscher eine Reihe von Programmfehlern auf, stufen diese jedoch nicht als kritisch ein. Ein Bug könne allerdings dazu genutzt werden, Daten zu entschlüsseln. Eine vorsätzlich eingebaute Hintertür, etwa für die NSA, konnten die Experten im Quellcode nicht finden.

Insgesamt bemängeln die Forscher jedoch die Qualität des Codes und verweisen dabei auf die schlechte Kommentierung und den Einsatz von unsicheren und überholten Funktionen. (Quelle: OCAP/rf)