Audit zeigt: Truecrypt 7.1a enthält keine Hintertüren

Truecrypt Audit

In Truecrypt 7.1a wurden keine Hintertüren gefunden, aber eine Handvoll kleinerer Fehler.

Truecrypt war für viele Jahre DAS Verschlüsselungsprogramm. Man konnte mit Truecrypt bis Version 7.1a Container und auch komplette Partitionen verschlüsseln und alle Inhalte so vor fremden Augen schützen. Vor fast einem Jahr, im Mai 2014, wurde das Projekt jedoch plötzlich eingestellt.

Die bis heute unbekannten Entwickler löschten die alte Truecrypt-Webseite und leiten seitdem auf eine neue Seite mit einer Warnung vor ihrem eigenen Programm um. Die auf der Warnseite angebotene Truecrypt-Version 7.2 kann Container nur noch entschlüsseln, aber keine neuen mehr anlegen.

Die Frage war nun, ob Truecrypt wirklich so unsicher ist, wie die Entwickler sagen, oder ob sie zu dieser Stellungnahme gezwungen wurden? Vermutlich ist doch Letzteres der Fall. Matthew Green von der Hopkins University hat jetzt nämlich die Ergebnisse des von NCC Crypto Services durchgeführten Sicherheits-Audits veröffentlicht, bei dem die letzte Truecrypt-Version vor der Einstellung des Projekts, also 7.1a, auf Herz und Nieren getestet wurde. Green schreibt in seinem Blog:

Truecrypt appears to be a relatively well-designed piece of crypto software. The NCC audit found no evidence of deliberate backdoors, or any severe design flaws that will make the software insecure in most instances.

Es wurden also keine Hintertüren oder schwere Sicherheitsfehler in Truecrypt 7.1a gefunden. Green weiter:

That doesn’t mean Truecrypt is perfect. The auditors did find a few glitches and some incautious programming — leading to a couple of issues that could, in the right circumstances, cause Truecrypt to give less assurance than we’d like it to.

Das heißt, Truecrypt 7.1a enthält ein paar kleinere Fehler, die aber eher in seltenen Fällen auftreten und die nicht dazu führen, dass man das Programm nicht mehr nutzen sollte. Green empfiehlt allen Verschlüsselungsprogrammen wie Veracrypt und tcplay, die nach der Einstellung von Truecrypt gestartet wurden und die einen Ersatz für Truecrypt schaffen wollen, diese Fehler aber trotzdem zu beheben.

Was kann man daraus schließen? Wer Daten verschlüsseln will, kann durchaus bis auf Weiteres weiter auf Truecrypt 7.1a setzen. Diese Version ist noch an vielen Stellen im Internet zum Download zu finden. Wer irgendwo noch eine ältere PC-Zeitschrift mit DVD herumliegen hat, wird auch dort noch oft Truecrypt 7.1a finden.

Download der vollständigen „Cryptographic Review“ zu Truecrypt 7.1a (PDF, 1 MByte).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.