{"id":226175,"date":"2019-12-16T16:53:24","date_gmt":"2019-12-16T15:53:24","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=226175"},"modified":"2019-12-19T02:31:39","modified_gmt":"2019-12-19T01:31:39","slug":"das-bsi-und-das-unverffentlichte-truecrypt-audit-aus-2010","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/12\/16\/das-bsi-und-das-unverffentlichte-truecrypt-audit-aus-2010\/","title":{"rendered":"Das BSI und das unveröffentlichte TrueCrypt-Audit aus 2010"},"content":{"rendered":"

Die zwischenzeitlich eingestellte Verschl\u00fcsselungssoftware TrueCrypt war im Auftrag des Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) einem Audit unterzogen worden. Der Bericht \u00fcber die Ergebnisse schlummerte aber 9 Jahre unver\u00f6ffentlicht in den Schubladen des BSI. Erg\u00e4nzung:<\/strong> Das BSI hat auf Twitter eine Stellungnahme abgegeben.<\/p>\n

<\/p>\n

Kurze Hintergrundinformationen<\/h2>\n

\"\"TrueCrypt<\/a> ist ja eine Verschl\u00fcsselungssoftware auf Open Source-Basis, die sich auch unter Windows verwenden l\u00e4sst, um vertrauliche Daten verschl\u00fcsselt und damit sicher vor unbefugten Zugriffen zu speichern. Aber wie sicher ist eigentlich die TrueCrypt-Verschl\u00fcsselung? Matthew Green, Verschl\u00fcsselungsspezialist und Inhaber einer Forschungsprofessur an der Johns Hopkins Universit\u00e4t, und Kenneth White, Grundlagenforscher bei Social & Scientific Systems, hatten 2013 eine Crowdfunding-Intiative aufgesetzt (siehe Crowdfunding erm\u00f6glicht TrueCrypt Sicherheitsaudit<\/a>). Ziel sollte es sein, gen\u00fcgend Geld einzuwerben, um die Sicherheit von TrueCrypt in einem Audit zu untersuchen und ggf. nachzuweisen. Im Jahr 2014 lag dann die Untersuchung vor \u2013 das Ergebnis lautete 'im Prinzip alles sicher (siehe TrueCrypt: Erst-iSEC-Audit abgeschlossen\u2013ist aktuell sicher<\/a>).<\/p>\n

Im Mai 2014 kam dann der Paukenschlag, \u00fcber den ich im Artikel Warnung: TrueCrypt unsicher \u2013 Entwicklung eingestellt?<\/a> berichtete. Pl\u00f6tzlich gab es Warnung, dass die Open Source-Verschl\u00fcsselungssoftware TrueCrypt unsicher sein soll. Vor der Verwendung wurde offiziell auf der TrueCrypt-SourceForge-Seite gewarnt. In der Folge wurde der Quellcode \u00f6ffentlich freigegeben. Aus diesem entwickelte die franz\u00f6sische Firma Idrix seitdem das Programm unter dem Namen VeraCrypt weiter. Auf Spiegel Online<\/a> erf\u00e4hrt man noch, dass der urspr\u00fcngliche Quellcode vermutlich von einem Drogenh\u00e4ndler entwickelt wurde.<\/p>\n

Das BSI und das TrueCrypt-Audit<\/h2>\n

Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat TrueCrypt bereits im Jahr 2010 analysieren lassen, aber diese Ergebnisse wurden niemals ver\u00f6ffentlicht und erreichten das VeraCrypt-Projekt auch nicht. Dass es eine TrueCrpt-Analyse und einen Bericht gab, kam durch eine allgemeine Anfrage<\/a> von \"Frag den Staat ans Tageslicht. Die vom BSI \u00fcbersandten Dokumente sind (Begr\u00fcndung: Urheberrecht) nicht \u00f6ffentlich. Sicherheitsforscher Hanno B\u00f6ck hat das Ganze aber bei Golem und SPON aufgedeckt<\/a>.<\/p>\n

Die Kurzfassung: Bereits 2010 wurde TrueCrypt vom BSI einer Sicherheitsanalyse unterzogen. In einem 400 Seiten-Bericht wurde TrueCrypt ausf\u00fchrlich in Sachen Funktionsweise und Sicherheit analysiert. Fazit aus der Darstellung von Hanno B\u00f6ck: Es gibt zahlreiche kleinere Sicherheitsprobleme, aber nichts gravierendes. H\u00e4tten diese \u00f6ffentlich vorgelegen, w\u00e4re das oben erw\u00e4hnte Audit \u00fcberfl\u00fcssig gewesen. Und auch die VeraCrypt-Entwickler h\u00e4tten wohl von diesen Informationen f\u00fcr die Entwicklung des Nachfolgers profitieren k\u00f6nnen. Auf Golem schreibt B\u00f6ck:<\/p>\n

Auf den Truecrypt-Dokumenten ist der Vermerk \"Verschlusssache – nur f\u00fcr den Dienstgebrauch<\/em>\" zu lesen, der aber durchgestrichen wurde. Der Inhalt ist brisant, denn er zeigt, dass dem BSI zahlreiche Informationen \u00fcber die Sicherheit von Truecrypt sowie ganz konkrete Sicherheitsprobleme seit langem vorlagen. Das BSI hat nach eigenen Angaben zwar die Truecrypt-Entwickler \u00fcber die Resultate informiert, sich aber offenbar entschieden, die Dokumente weder zu ver\u00f6ffentlichen noch das Nachfolgeprojekt Veracrypt dar\u00fcber zu informieren.<\/p><\/blockquote>\n

Wer sich f\u00fcr die Details interessiert, sei auf den Artikel bei Golem<\/a> verwiesen, wo die diversen Schlenker und Bewertungen dokumentiert sind. So viel zu das staatlich finanzierte 'BSI sch\u00fctzt seine B\u00fcrger' und ist auch sonst absolut transparent.<\/p>\n

Erg\u00e4nzung:<\/strong> Das BSI hat auf Twitter eine Stellungnahme abgegeben, warum man die erste Studie zu TrueCrypt nicht ver\u00f6ffentlichen konnte.<\/p>\n

\n

Re: TrueCrypt: Wir wollen hier noch einmal auf die Diskussion um #TrueCrypt<\/a> eingehen.<\/p>\n

Aus Sicht des BSI konnte die erste Studie zu TrueCrypt aus verschiedenen Gr\u00fcnden nicht ver\u00f6ffentlicht werden. (1\/x)<\/p>\n

\u2014 BSI (@BSI_Bund) December 18, 2019<\/a><\/p><\/blockquote>\n