Die zwischenzeitlich eingestellte Verschlüsselungssoftware TrueCrypt war im Auftrag des Bundesamt für Sicherheit in der Informationstechnik (BSI) einem Audit unterzogen worden. Der Bericht über die Ergebnisse schlummerte aber 9 Jahre unveröffentlicht in den Schubladen des BSI. Ergänzung: Das BSI hat auf Twitter eine Stellungnahme abgegeben.
Anzeige
Kurze Hintergrundinformationen
TrueCrypt ist ja eine Verschlüsselungssoftware auf Open Source-Basis, die sich auch unter Windows verwenden lässt, um vertrauliche Daten verschlüsselt und damit sicher vor unbefugten Zugriffen zu speichern. Aber wie sicher ist eigentlich die TrueCrypt-Verschlüsselung? Matthew Green, Verschlüsselungsspezialist und Inhaber einer Forschungsprofessur an der Johns Hopkins Universität, und Kenneth White, Grundlagenforscher bei Social & Scientific Systems, hatten 2013 eine Crowdfunding-Intiative aufgesetzt (siehe Crowdfunding ermöglicht TrueCrypt Sicherheitsaudit). Ziel sollte es sein, genügend Geld einzuwerben, um die Sicherheit von TrueCrypt in einem Audit zu untersuchen und ggf. nachzuweisen. Im Jahr 2014 lag dann die Untersuchung vor – das Ergebnis lautete 'im Prinzip alles sicher (siehe TrueCrypt: Erst-iSEC-Audit abgeschlossen–ist aktuell sicher).
Im Mai 2014 kam dann der Paukenschlag, über den ich im Artikel Warnung: TrueCrypt unsicher – Entwicklung eingestellt? berichtete. Plötzlich gab es Warnung, dass die Open Source-Verschlüsselungssoftware TrueCrypt unsicher sein soll. Vor der Verwendung wurde offiziell auf der TrueCrypt-SourceForge-Seite gewarnt. In der Folge wurde der Quellcode öffentlich freigegeben. Aus diesem entwickelte die französische Firma Idrix seitdem das Programm unter dem Namen VeraCrypt weiter. Auf Spiegel Online erfährt man noch, dass der ursprüngliche Quellcode vermutlich von einem Drogenhändler entwickelt wurde.
Das BSI und das TrueCrypt-Audit
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat TrueCrypt bereits im Jahr 2010 analysieren lassen, aber diese Ergebnisse wurden niemals veröffentlicht und erreichten das VeraCrypt-Projekt auch nicht. Dass es eine TrueCrpt-Analyse und einen Bericht gab, kam durch eine allgemeine Anfrage von "Frag den Staat ans Tageslicht. Die vom BSI übersandten Dokumente sind (Begründung: Urheberrecht) nicht öffentlich. Sicherheitsforscher Hanno Böck hat das Ganze aber bei Golem und SPON aufgedeckt.
Die Kurzfassung: Bereits 2010 wurde TrueCrypt vom BSI einer Sicherheitsanalyse unterzogen. In einem 400 Seiten-Bericht wurde TrueCrypt ausführlich in Sachen Funktionsweise und Sicherheit analysiert. Fazit aus der Darstellung von Hanno Böck: Es gibt zahlreiche kleinere Sicherheitsprobleme, aber nichts gravierendes. Hätten diese öffentlich vorgelegen, wäre das oben erwähnte Audit überflüssig gewesen. Und auch die VeraCrypt-Entwickler hätten wohl von diesen Informationen für die Entwicklung des Nachfolgers profitieren können. Auf Golem schreibt Böck:
Anzeige
Auf den Truecrypt-Dokumenten ist der Vermerk "Verschlusssache – nur für den Dienstgebrauch" zu lesen, der aber durchgestrichen wurde. Der Inhalt ist brisant, denn er zeigt, dass dem BSI zahlreiche Informationen über die Sicherheit von Truecrypt sowie ganz konkrete Sicherheitsprobleme seit langem vorlagen. Das BSI hat nach eigenen Angaben zwar die Truecrypt-Entwickler über die Resultate informiert, sich aber offenbar entschieden, die Dokumente weder zu veröffentlichen noch das Nachfolgeprojekt Veracrypt darüber zu informieren.
Wer sich für die Details interessiert, sei auf den Artikel bei Golem verwiesen, wo die diversen Schlenker und Bewertungen dokumentiert sind. So viel zu das staatlich finanzierte 'BSI schützt seine Bürger' und ist auch sonst absolut transparent.
Ergänzung: Das BSI hat auf Twitter eine Stellungnahme abgegeben, warum man die erste Studie zu TrueCrypt nicht veröffentlichen konnte.
Re: TrueCrypt: Wir wollen hier noch einmal auf die Diskussion um #TrueCrypt eingehen.
Aus Sicht des BSI konnte die erste Studie zu TrueCrypt aus verschiedenen Gründen nicht veröffentlicht werden. (1/x)
— BSI (@BSI_Bund) December 18, 2019
Kann man zur Kenntnis nehmen – komisch ist es in meinen Augen aber schon. Ergänzung 2: Bei heise ist nun dieser Artikel zur Stellungnahme des BSI erschienen.
Ähnliche Artikel:
TrueCrypt und die Sicherheit der Verschlüsselung
TrueCrypt: Erst-iSEC-Audit abgeschlossen–ist aktuell sicher
TrueCrypt-Sicherheitslücken in VeraCrypt geschlossen
TrueCrypt-Alternativen gesucht
TrueCrypt-Nachfolger: Lizenzumstellung abgelehnt
Gibt's doch noch Hoffnung für TrueCrypt?
'StrongPity' Malware kommt per WinRAR & TrueCrypt-Installer
Warnung: TrueCrypt unsicher – Entwicklung eingestellt?
Geht's mit einem deutschen TrueCrypt-Clone weiter?
Anzeige
Tjo,
wo steht denn geschroben, wer genau diese "seine Bürger" sind? Wir sinds ja dann anscheinend/offensichtlich nicht… :D
Bei solch' gravierenden und insbesondere behördlichen Verfehlungen würde ich als diensthöhere Stelle konsequent durchgreifen und die Verantwortlichen strafversetzen, bei noch schwerwiegenderen Verfehlungen gar suspendieren. Wenn das BSI für die Sicherheit beauftragt ist, dann soll es bitteschön auch berichten und zwar so, dass es transparent und verständlich ist. Es kann nicht sein, dass solch' wichtige Informationen, egal, wie brisant der Inhalt ist, unter Verschluss bleiben.
Wir brauchen keine Behörden oder Personen, die frei nach dem Motto von Thomas de Maizière mit "Ein Teil dieser Antworten würde die Bevölkerung verunsichern." arbeiten!
Dokumente sind nun anscheinend doch öffentlich abrufbar:
https://fragdenstaat.de/anfrage/untersuchungen-zum-verschlusselungsprogramm-truecrypt/442037/anhang/20191216_BescheidTruecrypt_Wehrmeyer_geschwaerzt.pdf
https://fragdenstaat.de/anfrage/untersuchungen-zum-verschlusselungsprogramm-truecrypt/442037/anhang/AP1.Vergleich_Windows_Linux_v1.0_geschwrzt.pdf
https://fragdenstaat.de/anfrage/untersuchungen-zum-verschlusselungsprogramm-truecrypt/442037/anhang/AP2.UseCases_v1.2_geschwrzt_.pdf
https://fragdenstaat.de/anfrage/untersuchungen-zum-verschlusselungsprogramm-truecrypt/442037/anhang/AP3.Angriffszenarien.Bedrohungsanalyse_v1.0_geschwrzt_.pdf
https://fragdenstaat.de/anfrage/untersuchungen-zum-verschlusselungsprogramm-truecrypt/442037/anhang/AP4.Analyse_v1.0_geschwrzt_.pdf
https://fragdenstaat.de/anfrage/untersuchungen-zum-verschlusselungsprogramm-truecrypt/442038/anhang/AP5.Pruefungen_geschwrzt.pdf
https://fragdenstaat.de/anfrage/untersuchungen-zum-verschlusselungsprogramm-truecrypt/442038/anhang/AP6.Ressourcenanalyse_v1.0_geschwrzt_.pdf
https://fragdenstaat.de/anfrage/untersuchungen-zum-verschlusselungsprogramm-truecrypt/442038/anhang/AP7.SoftwareSchutz_v1.0_geschwrzt.pdf
Hier dann die Dokumente:
https://fragdenstaat.de/anfrage/untersuchungen-zum-verschlusselungsprogramm-truecrypt/#nachricht-442037
Zitat: Fazit aus der Darstellung von Hanno Böck: Es gibt zahlreiche kleinere Sicherheitsprobleme, aber nichts gravierendes.
Zu dem Ergebnis kommt auch eine Studie des BSI aus dem Jahr 2015:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Truecrypt/Truecrypt.pdf?__blob=publicationFile&v=4
– Grauer Kasten auf Seite 64, Zusammenfassung von Kapitel 7, welches die in dieser PDF beschriebenen Probleme zusammenfasst und bewertet.
… Den ursprünglichen Quellcode von TrueCrypt soll ein Drogenhändler entwickelt haben … Dieser neue Gründungsmythos wird jedes Anarchistenherz höher schlagen lassen. So ein bisschen klingt die Story aber schon nach Räuberpistole und passt zu vielen anderen Anekdoten, die sich um diese fast schon legendäre Software ranken. TrueCrypt ist ein kleiner Outlaw. – Abgesehen davon ist TrueCrypt nach wie vor eine interessante Software. Ja, TrueCrypt hat Schwachstellen. Aber: Die Schwachstellen sind bekannt, und sie sind bekannt, weil TrueCrypt eingehend analysiert und überprüft wurde. Das kann man über viele andere Verschlüsselungsprogramme, die eingesetzt werden, nicht sagen: Da weiß man nicht, wie sicher oder unsicher sie sind, oder ob es in der Verschlüsselung Hintertüren gibt, weil sie nie einem Audit unterzogen wurden.