TrueCrypt ist eine Open Source-Software zur Festplattenverschlüsselung, die von sehr vielen Menschen weltweit verwendet wird. Es hatte jedoch bislang noch nie ein vollständiges Audit vom Code gegeben, um sicherzustellen, dass TrueCrypt keine Backdoors enthält. Das Crowdfunding-Projekt Open Crypto Audit Project hat nun durch das Sammeln von über 45.000$ ermöglicht, die Experten für IT-Sicherheit iSEC Partners mit einem Audit zu beauftragen.
Diese haben nun die Ergebnisse ihrer ersten Prüfungs-Phase veröffentlicht, in der der Fokus auf dem TrueCrypt-Bootloader, dem Installations-Prozess und dem Windows Kernel-Treiber lag. Dabei wurden 11 Schwachstellen entdeckt, deren Schwere jedoch nur von "Gering" bis Mittel" kategorisiert wurde. Der potentiellen Vermutung, jemand habe mit Absicht eine Backdoor im Code platziert, fehlt es daher an Belegen. In einer zweiten Prüfungs-Phase soll zukünftig noch eine formelle Kryptoanalyse stattfinden.
Neben dem Beheben dieser Schwachstellen rät iSEC Partners dem TrueCrypt-Entwicklungsprojekt zu weiteren Verbesserungen: Beim Erstellungsprozess der Software unter Windows dürfen keine Tools oder Software-Pakete verwendet werden, die veraltet sind oder nicht aus vertrauenswürdigen Quellen stammen. Außerdem solle die Code-Qualität im Allgemeinen verbessert werden, um zukünftige Fehler leichter zu finden und zu korrigieren.
Sofern man der Firma iSEC Partners also glaubt, dass sie fehlerfreie Arbeit geleistet hat, kann man TrueCrypt weiterhin ruhigen Gewissens verwenden.
Report: https://opencryptoaudit.org/reports...dit_Project_TrueCrypt_Security_Assessment.pdf
Nebenquelle: http://istruecryptauditedyet.com/
Diese haben nun die Ergebnisse ihrer ersten Prüfungs-Phase veröffentlicht, in der der Fokus auf dem TrueCrypt-Bootloader, dem Installations-Prozess und dem Windows Kernel-Treiber lag. Dabei wurden 11 Schwachstellen entdeckt, deren Schwere jedoch nur von "Gering" bis Mittel" kategorisiert wurde. Der potentiellen Vermutung, jemand habe mit Absicht eine Backdoor im Code platziert, fehlt es daher an Belegen. In einer zweiten Prüfungs-Phase soll zukünftig noch eine formelle Kryptoanalyse stattfinden.
Neben dem Beheben dieser Schwachstellen rät iSEC Partners dem TrueCrypt-Entwicklungsprojekt zu weiteren Verbesserungen: Beim Erstellungsprozess der Software unter Windows dürfen keine Tools oder Software-Pakete verwendet werden, die veraltet sind oder nicht aus vertrauenswürdigen Quellen stammen. Außerdem solle die Code-Qualität im Allgemeinen verbessert werden, um zukünftige Fehler leichter zu finden und zu korrigieren.
Sofern man der Firma iSEC Partners also glaubt, dass sie fehlerfreie Arbeit geleistet hat, kann man TrueCrypt weiterhin ruhigen Gewissens verwenden.
Report: https://opencryptoaudit.org/reports...dit_Project_TrueCrypt_Security_Assessment.pdf
Nebenquelle: http://istruecryptauditedyet.com/