Coming soon ... IT Summit by heise

Open Source: OCAP-Audit befindet TrueCrypt für sicher

Das Verschlüsselungsprogramm TrueCrypt in der Version 7.1a ist sicher und bietet Angreifern keine Hintertüren. Das ist das Ergebnis einer Analyse des Tools und seines Quellcodes, die das Open Crypto Audit Project (OCAP) durchgeführt hat. Die Sicherheitsfirma iSEC Partners hatte im vergangenen Jahr im Auftrag von OCAP zunächst den Bootloader und die Windows-Kernel-Treiber der Open-Source-Software untersucht und lediglich einige kleinere Programmierfehler gefunden.

Nun ist auch der Audit des restlichen Codes abgeschlossen. Der Untersuchungsbericht wurde als PDF veröffentlicht. Dem Dokument zufolge haben die Experten vier Schwächen in TrueCrypt entdeckt, von denen jedoch lediglich eine gefährlich werden könne. Es geht dabei um die Erzeugung von Zufallszahlen in der Windows-Version des Programms, bei der unter sehr unwahrscheinlichen Umständen unsichere Schlüssel erzeugt werden könnten.

TrueCrypt hatte im vergangenen Jahr im Zuge der Enthüllungen von Edward Snowden die Aufmerksamkeit der IT-Branche auf sich gezogen. In der Folge wurden Spenden gesammelt, um eine Untersuchung des Quellcodes zu finanzieren. Die Organisation übernahm das neu gegründete OCAP. Währenddessen hatten im Mai 2014 die Entwickler von TrueCrypt völlig überraschend die Arbeit am Projekt eingestellt und den Anwendern empfohlen, zu Microsofts BitLocker zu wechseln. Was sie dazu bewogen hat, ist bis heute ungeklärt. Ihre Software hat sich jedenfalls als sicher erwiesen.

Die Version 7.1a, auf die sich die Untersuchung bezieht, ist auf GitHub erhältlich. Den Prüfbericht der NCC Group gibt es als PDF zum Download. (Quelle: OCAP/rf)