Auch die zweite, nun beendete, Phase des Truecrypt-Audits gibt Grund zur Hoffnung. Hier wurden vor allem die kryptographischen Funktionen der Verschlüsselungssoftware unter die Lupe genommen. Die Version 7.1a des Programms enthalte zwar laut dem vorliegenden Bericht des Open-Crypto-Audit-Projekts vier Schwachstellen (davon zwei kritische), diese treten aber nur in sehr seltenen Fällen auf. Der Verdacht auf versteckte Hintertüren und absichtliche Programmierfehler der anonymen Programmierer bestätigte sich nicht.
Die kritischen Lücken umfassen eine Codezeile wo der Rückgabewert einer Funktion nicht korrekt geprüft wird, so dass nicht-zufällige Zufallszahlen für einen Schlüssel benutzt werden könnten. Dieses Problem soll aber nur auftreten, wenn der Zugriff auf den Windows-Zufallsgenerator durch eine Gruppenrichtlinie gesperrt wurde, aber nicht im Normalbetrieb von Windows. Ein weites genanntes Problem ist, dass die AES-Implementierungen von Truecrypt anfällig für Cache-Timing-Angriffe sind. In Mehrbenutzersystemen könnte ein zweiter gerade angemeldeter Benutzer die Daten eines Truecrypt-Nutzers entschlüsseln.
Auch wenn die gefundenen Schwachstellen eine Weiterbenutzung der Truecrypt-Version 7.1a nicht ausschließen, die Zukunft der Verschlüsselungssoftware bleibt weiterhin unklar, nachdem die Entwicklung im Mai 2014 eingestellt wurde. Der Quellcode der Software ist zwar offen, steht aber nicht unter einer gängigen freien Lizenz und enthält diverse Code-Bestandteile unter abweichenden Lizenzen. Es ist derzeit immer noch fraglich, ob ein Fork der Software überhaupt zulässig wäre.
Quelle: Golem
Die kritischen Lücken umfassen eine Codezeile wo der Rückgabewert einer Funktion nicht korrekt geprüft wird, so dass nicht-zufällige Zufallszahlen für einen Schlüssel benutzt werden könnten. Dieses Problem soll aber nur auftreten, wenn der Zugriff auf den Windows-Zufallsgenerator durch eine Gruppenrichtlinie gesperrt wurde, aber nicht im Normalbetrieb von Windows. Ein weites genanntes Problem ist, dass die AES-Implementierungen von Truecrypt anfällig für Cache-Timing-Angriffe sind. In Mehrbenutzersystemen könnte ein zweiter gerade angemeldeter Benutzer die Daten eines Truecrypt-Nutzers entschlüsseln.
Auch wenn die gefundenen Schwachstellen eine Weiterbenutzung der Truecrypt-Version 7.1a nicht ausschließen, die Zukunft der Verschlüsselungssoftware bleibt weiterhin unklar, nachdem die Entwicklung im Mai 2014 eingestellt wurde. Der Quellcode der Software ist zwar offen, steht aber nicht unter einer gängigen freien Lizenz und enthält diverse Code-Bestandteile unter abweichenden Lizenzen. Es ist derzeit immer noch fraglich, ob ein Fork der Software überhaupt zulässig wäre.
Quelle: Golem