{"id":10055,"date":"2014-05-30T15:05:07","date_gmt":"2014-05-30T13:05:07","guid":{"rendered":"http:\/\/www.planet3dnow.de\/cms\/?p=10055"},"modified":"2014-05-30T17:10:02","modified_gmt":"2014-05-30T15:10:02","slug":"posse-um-verschluesselungssoftware-truecrypt-verunsichert-die-anwender","status":"publish","type":"post","link":"https:\/\/www.planet3dnow.de\/cms\/10055-posse-um-verschluesselungssoftware-truecrypt-verunsichert-die-anwender\/","title":{"rendered":"Posse um Verschl\u00fcsselungssoftware TrueCrypt verunsichert die Anwender"},"content":{"rendered":"

Die Ver\u00adschl\u00fcs\u00adse\u00adlungs\u00adsoft\u00adware True\u00adCrypt ist seit Jah\u00adren ein belieb\u00adtes Tool in der IT-Welt, gera\u00adde bei Anwen\u00addern, die gro\u00ad\u00dfen kom\u00admer\u00adzi\u00adel\u00adlen Anbie\u00adtern im Zwei\u00adfel erst ein\u00admal miss\u00adtrau\u00aden. Mit True\u00adCrypt lie\u00ad\u00dfen sich ver\u00adschl\u00fcs\u00adsel\u00adte Con\u00adtai\u00adner erstel\u00adlen, die dann als Lauf\u00adwer\u00adke ein\u00adge\u00adbun\u00adden wer\u00adden konn\u00adten. Ohne den pas\u00adsen\u00adden Schl\u00fcs\u00adsel war der Con\u00adtai\u00adner nur eine Datei voll mit Daten\u00adm\u00fcll, f\u00fcr Angrei\u00adfer oder Daten\u00addie\u00adbe unbrauch\u00adbar. Selbst gan\u00adze Par\u00adti\u00adtio\u00adnen lie\u00ad\u00dfen sich mit\u00adtels True\u00adCrypt ver\u00adschl\u00fcs\u00adseln, ide\u00adal f\u00fcr Au\u00dfen\u00addienst-Mit\u00adar\u00adbei\u00adter, die sen\u00adsi\u00adble Daten, z.B. von Patienten\/Klienten auf ihren Lap\u00adtops mit sich f\u00fch\u00adren. Auch hier galt: ohne Schl\u00fcs\u00adsel kein Zugriff auf die ver\u00adschl\u00fcs\u00adsel\u00adte Par\u00adti\u00adti\u00adon. Die Art der Ver\u00adschl\u00fcs\u00adse\u00adlung konn\u00adte vom Anwen\u00adder vor\u00adab fest\u00adge\u00adlegt wer\u00adden, je nach zur Ver\u00adf\u00fc\u00adgung ste\u00adhen\u00adder Hard\u00adware-Leis\u00adtung. Das Bes\u00adte an True\u00adCrypt war jedoch: es kos\u00adte\u00adte nichts und wur\u00adde nicht von gro\u00ad\u00dfen US-Soft\u00adware-H\u00e4u\u00adsern ent\u00adwi\u00adckelt, wo man nach den j\u00fcngs\u00adten Ent\u00adh\u00fcl\u00adlun\u00adgen bei\u00adna\u00adhe schon vor\u00adaus\u00adset\u00adzen kann, dass f\u00fcr die ein\u00adhei\u00admi\u00adschen Geheim\u00addiens\u00adte pas\u00adsen\u00adde Hin\u00adter\u00adt\u00fcr\u00adchen offen\u00adge\u00adlas\u00adsen wurden.<\/p>\n

In letz\u00adter Zeit jedoch war es bei der Ent\u00adwick\u00adlung erstaun\u00adlich still gewor\u00adden um True\u00adCrypt. Die letz\u00adte Ver\u00adsi\u00adon 7.1a war bei\u00adna\u00adhe 2 Jah\u00adre alt. Die Ent\u00adwick\u00adler selbst blie\u00adben bis dato anonym, ver\u00admut\u00adlich auch, um sich nicht angreif\u00adbar zu machen.<\/p>\n

Gestern, am 29.05.2014, jedoch wur\u00adde die offi\u00adzi\u00adel\u00adle Web\u00adsei\u00adte truecrypt.org auf ein\u00admal auf truecrypt.sourceforge.net wei\u00adter\u00adge\u00adlei\u00adtet. Dort fand der erstaun\u00adte Besu\u00adcher die Mitteilung:<\/p>\n

WARNING<\/span>: Using True\u00adCrypt is not secu\u00adre as it may con\u00adtain unfi\u00adxed secu\u00adri\u00adty issues<\/p><\/blockquote>\n

Also sinn\u00adge\u00adm\u00e4\u00df \u00fcber\u00adsetzt: \u201cTrue\u00adCrypt ist nicht sicher, da es m\u00f6g\u00adli\u00adcher\u00adwei\u00adse nicht beho\u00adbe\u00adne Sicher\u00adheits\u00adlecks ent\u00adh\u00e4lt\u201d. Zeit\u00adgleich wur\u00adde die bis\u00adher aktu\u00adel\u00adle Ver\u00adsi\u00adon 7.1a off\u00adline genom\u00admen und durch die Ver\u00adsi\u00adon 7.2 ersetzt, die jedoch nur noch das Lesen bereits erstell\u00adter Con\u00adtai\u00adner erm\u00f6g\u00adlicht, jedoch nicht mehr das Erstel\u00adlen neu\u00ader. Zudem wird auf der Web\u00adsei\u00adte der Umstieg auf die Micro\u00adsoft-Ver\u00adschl\u00fcs\u00adse\u00adlungs\u00adsoft\u00adware Bit\u00adlo\u00adcker beschrie\u00adben, die in man\u00adchen Ver\u00adsio\u00adnen von Win\u00addows Vista\/7\/8 ent\u00adhal\u00adten ist.<\/p>\n

Was sich zun\u00e4chst nach einem April\u00adscherz anh\u00f6rt, h\u00f6chs\u00adtens jedoch nach einer gehack\u00adten Web\u00adsei\u00adte, scheint sich lang\u00adsam als ernst gemeint her\u00adaus\u00adzu\u00adkris\u00adtal\u00adli\u00adsie\u00adren. Die neue Nur-Lese-Ver\u00adsi\u00adon 7.2 scheint mit einem g\u00fcl\u00adti\u00adgen Key der True\u00adCrypt-Ent\u00adwick\u00adler signiert zu sein. Die Akti\u00adon kommt zudem zu einem Zeit\u00adpunkt, an dem True\u00adCrypt durch ver\u00adschie\u00adde\u00adne unab\u00adh\u00e4n\u00adgi\u00adge Stel\u00adlen unter\u00adsucht<\/a> wor\u00adden war, die zwar eini\u00adge (nicht unge\u00adw\u00f6hn\u00adli\u00adche) Schlam\u00adpe\u00adrei\u00aden im Quell\u00adcode ent\u00addeck\u00adten, jedoch kei\u00adne Sicher\u00adheits\u00adl\u00fc\u00adcke an sich fanden.<\/p>\n

Spe\u00adku\u00adla\u00adtio\u00adnen<\/strong>
\nSeit\u00adher r\u00e4t\u00adselt die IT-Welt was es mit die\u00adser vir\u00adtu\u00adel\u00adlen Voll\u00adbrem\u00adsung auf sich hat. Wir haben die g\u00e4n\u00adgigs\u00adten Spe\u00adku\u00adla\u00adtio\u00adnen zusammengetragen:<\/p>\n

1. Dro\u00adhung durch Geheimdienste<\/strong>
\nAm h\u00e4u\u00adfigs\u00adten wird der\u00adzeit der Pr\u00e4\u00adzen\u00addenz\u00adfall Lav\u00ada\u00adbit<\/a> genannt. Lav\u00ada\u00adbit war ein US-ame\u00adri\u00adka\u00adni\u00adsches Unter\u00adneh\u00admen, das ver\u00adschl\u00fcs\u00adsel\u00adte E\u2011Mail-Diens\u00adte anbot. Es wur\u00adde nach 9 Jah\u00adren Betrieb im Jahr 2013 kur\u00adzer\u00adhand ein\u00adge\u00adstellt, da man die For\u00adde\u00adrun\u00adgen der US-Beh\u00f6r\u00adden nicht erf\u00fcl\u00adlen woll\u00adte, die eine Her\u00adaus\u00adga\u00adbe von SSL-Schl\u00fcs\u00adseln gefor\u00addert haben soll, womit die Beh\u00f6r\u00adden die gesam\u00adte Kom\u00admu\u00adni\u00adka\u00adti\u00adon der Lav\u00ada\u00adbit-Nut\u00adzer h\u00e4t\u00adten lesen k\u00f6n\u00adnen. Offi\u00adzi\u00adell durf\u00adte Lav\u00ada\u00adbit dies jedoch nicht als Grund f\u00fcr die Schlie\u00ad\u00dfung nen\u00adnen, da bereits dies zu juris\u00adti\u00adschen Pro\u00adble\u00admen f\u00fcr die Betrei\u00adber h\u00e4t\u00adte f\u00fch\u00adren k\u00f6nnen.
\nVie\u00adle Beob\u00adach\u00adter sehen hier die Par\u00adal\u00adle\u00adle zu True\u00adCrypt. Eben\u00adso wie die Lav\u00ada\u00adbit-E-Mails sind auch True\u00adCrypt-Lauf\u00adwer\u00adke nach heu\u00adti\u00adgen Ma\u00df\u00adst\u00e4\u00adben nicht mit ver\u00adtret\u00adba\u00adren Mit\u00adteln zu kna\u00adcken; f\u00fcr Geheim\u00addiens\u00adte nat\u00fcr\u00adlich unbe\u00adquem. Die Spe\u00adku\u00adla\u00adtio\u00adnen gehen nun dahin, dass die True\u00adCrypt-Ent\u00adwick\u00adler eine neue Ver\u00adsi\u00adon mit Hin\u00adter\u00adt\u00fcr f\u00fcr die Geheim\u00addiens\u00adte h\u00e4t\u00adten ent\u00adwi\u00adckeln sol\u00adlen. Um das nicht tun zu m\u00fcs\u00adsen, wur\u00adde die Ent\u00adwick\u00adlung mit dem Ver\u00adweis auf die Unsi\u00adcher\u00adheit der Soft\u00adware (den wah\u00adren Grund d\u00fcrf\u00adten sie nicht nen\u00adnen, falls es sich bei den Ent\u00adwick\u00adlern um US-B\u00fcr\u00adger han\u00addelt) eingestellt.<\/p>\n

2. Das Wis\u00adsen um Sicherheitsl\u00fccken<\/strong>
\nWie erw\u00e4hnt hat True\u00adCrypt bereits eini\u00adge Quell\u00adcode-Ana\u00adly\u00adsen ohne gr\u00f6\u00ad\u00dfe\u00adre Bean\u00adstan\u00addun\u00adgen \u00fcber\u00adstan\u00adden. Im Sep\u00adtem\u00adber jedoch soll ein zwei\u00adtes Audit ver\u00ad\u00f6f\u00adfent\u00adlicht wer\u00adden. Eini\u00adge Spe\u00adku\u00adla\u00adtio\u00adnen gehen in die Rich\u00adtung, dass die Ent\u00adwick\u00adler selbst um Sicher\u00adheits\u00adl\u00fc\u00adcken oder gar eine selbst ein\u00adge\u00adbau\u00adte Back\u00addoor wuss\u00adten und mit der Ein\u00adstel\u00adlung des Pro\u00adjekts einer m\u00f6g\u00adli\u00adchen Ent\u00adtar\u00adnung zuvor kom\u00admen woll\u00adten. Wie das m\u00f6g\u00adlich sein soll\u00adte? Zwar ist True\u00adCrypt prin\u00adzi\u00adpi\u00adell quell\u00adof\u00adfen, jedoch anders als vie\u00adle Open\u00adso\u00adur\u00adce-Soft\u00adware nicht nach GPL-Lizenz<\/a> ver\u00ad\u00f6f\u00adfent\u00adlicht. Zudem wur\u00adden immer wie\u00adder Zwei\u00adfel ge\u00e4u\u00ad\u00dfert, ob die ange\u00adbo\u00adte\u00adnen Bina\u00adries auch wirk\u00adlich aus den ver\u00ad\u00f6f\u00adfent\u00adlich\u00adten Quell\u00adcodes kom\u00adpi\u00adliert wurden.<\/p>\n

3. Gekr\u00e4nk\u00adter Stolz<\/strong>
\nWie erw\u00e4hnt war True\u00adCrypt von den anony\u00admen Ent\u00adwick\u00adlern zwar eigent\u00adlich quell\u00adof\u00adfen kon\u00adzi\u00adpiert, lief jedoch nie unter g\u00e4n\u00adgi\u00adgen Open\u00adso\u00adur\u00adce-Lizen\u00adzen wie GPL<\/span>. Das macht es auch schwie\u00adrig, das Pro\u00adjekt nach der Ein\u00adstel\u00adlung durch ande\u00adre Frei\u00adwil\u00adli\u00adge wei\u00adter\u00adf\u00fch\u00adren zu las\u00adsen (Fork), wie es z.B mit Libre\u00adOf\u00adfice gesche\u00adhen ist nach der \u00dcber\u00adnah\u00adme von Open\u00adOf\u00adfice durch Ora\u00adcle<\/a>. Wes\u00adhalb die Ent\u00adwick\u00adler sich bei der Open\u00adso\u00adur\u00adce-Lizenz der\u00adart zier\u00adten, kann nur spe\u00adku\u00adliert wer\u00adden. Wom\u00f6g\u00adlich hat\u00adten die Ent\u00adwick\u00adler vor, mit\u00adtel\u00adfris\u00adtig doch mal Geld zu ver\u00addie\u00adnen mit ihrer Ent\u00adwick\u00adlungs\u00adar\u00adbeit. Da w\u00e4re eine GPL-Lizenz hin\u00adder\u00adlich gewesen.
\nDoch statt ihre Ent\u00adwick\u00adlungs\u00adar\u00adbeit finan\u00adzi\u00adell hono\u00adriert zu bekom\u00admen, muss\u00adten die Ent\u00adwick\u00adler mit anse\u00adhen, wie die Leu\u00adte lie\u00adber 46.000 US-Dol\u00adlar in den erw\u00e4hn\u00adten Audit steck\u00adten, also in die Suche nach Sicher\u00adheits\u00adl\u00fc\u00adcken in einer Soft\u00adware, die Frei\u00adwil\u00adli\u00adge unent\u00adgelt\u00adlich ent\u00adwi\u00adckelt hat\u00adten. Auf den ers\u00adten Blick mag es kin\u00addisch klin\u00adgen, wenn man jedoch ein klein wenig Gesp\u00fcr daf\u00fcr hat, wie die Welt der frei\u00aden Soft\u00adware tickt, ist es kei\u00adnes\u00adwegs abwe\u00adgig anzu\u00adneh\u00admen, dass der True\u00adCrypt-Ent\u00adwick\u00adlungs\u00adstopp eine Trotz-Reak\u00adti\u00adon der Pro\u00adgram\u00admie\u00adrer auf die bei\u00adden Audits dar\u00adstellt. Dar\u00adin ste\u00adhen auf zig Sei\u00adten aus\u00adge\u00adbrei\u00adtet die Ver\u00ads\u00e4um\u00adnis\u00adse der Coder, da wer\u00adden feh\u00adlen\u00adde Kom\u00admen\u00adta\u00adre ange\u00adpran\u00adgert, ver\u00admisch\u00adte Daten\u00adty\u00adpen, und so wei\u00adter. Jemand, der das alles unent\u00adgelt\u00adlich in sei\u00adner Frei\u00adzeit pro\u00adgram\u00admiert hat, mag sich das aber wom\u00f6g\u00adlich nicht unter die Nase rei\u00adben las\u00adsen von einer Orga\u00adni\u00adsa\u00adti\u00adon, die allein 46.000 US-Dol\u00adlar f\u00fcr die Ana\u00adly\u00adse des fer\u00adti\u00adgen Codes ein\u00adge\u00adstri\u00adchen hat. Der Satz \u201cTrue\u00adCrypt ist nicht sicher, da es m\u00f6g\u00adli\u00adcher\u00adwei\u00adse nicht beho\u00adbe\u00adne Sicher\u00adheits\u00adlecks ent\u00adh\u00e4lt\u201d l\u00e4sst sich mit auf\u00adge\u00adsetz\u00adter Trotz-Bril\u00adle durch\u00adaus so interpretieren\u2026<\/p>\n

\u2026und das sind nur die g\u00e4n\u00adgis\u00adten der der\u00adzeit kur\u00adsie\u00adren\u00adden Theo\u00adrien \u00fcber das pl\u00f6tz\u00adli\u00adche Able\u00adben des True\u00adCrypt-Pro\u00adjekts. In unse\u00adrem Forum wird bereits eif\u00adrig dis\u00adku\u00adtiert, wes\u00adwe\u00adgen wir auf den bereits gut besuch\u00adten Dis\u00adkus\u00adsi\u00adons\u00adth\u00adread im Forum ver\u00adwei\u00adsen<\/a>.<\/p>\n

Abge\u00adse\u00adhen davon lie\u00adgen die \u00e4lte\u00adren True\u00adCrypt-Ver\u00adsio\u00adnen bereits seit 2 bzw. 4 Jah\u00adren auf unse\u00adrem Down\u00adload-Ser\u00adver her\u00adum. Wer also auf Num\u00admer Sicher gehen will, im Zuge der aktu\u00adel\u00adlen Irri\u00adta\u00adtio\u00adnen kei\u00adne nach\u00adtr\u00e4g\u00adlich mit Tro\u00adja\u00adnern ver\u00adseuch\u00adte Ver\u00adsi\u00adon unter\u00adge\u00adscho\u00adben zu bekom\u00admen, kann sich die letz\u00adten bei\u00adden Ver\u00adsio\u00adnen hier bei uns herunterladen:<\/p>\n

Down\u00adload:<\/b><\/p>\n