Diese Woche veröffentliche die Plattform Golem.de – IT News für Profis einen Artikel, in dem sie berichtete, dass das BSI in 2010 eine umfangreiche Analyse der Verschlüsselungssoftware TrueCrypt durchgeführt hat. Die dabei gefundenen Ergebnisse zu verschiedenen Sicherheitslücken und Schwachstellen wurden nie veröffentlicht.
Bis jetzt. Nur durch Zufall wurde jetzt über eine allgemeine Anfrage über das Portal „Frag den Staat“ bekannt, dass 2010 ein Audit vom BSI zur Prüfung von TrueCrypt durchgeführt und entsprechende Ergebnisse in mehreren Dokumenten auf etwa 400 Seiten niedergeschrieben wurden.
Golem.de konnte sich diese Dokumente nach mehreren Anfragen beschaffen und geht in dem oben verlinkten Artikel auszugsweise auf die Inhalte der Dokumente ein. Interessanter Weise wurde vom BSI versucht die Ergebnisse trotz unterlassener Veröffentlichung den Herausgebern von TrueCrypt mitzuteilen, die jedoch an einer Beseitigung gefundener Sicherheitslücken nicht interessiert schienen:
„Die Truecrypt Foundation habe aber mitgeteilt, dass die Ergebnisse für sie nicht relevant seien.“
Einige Jahre später wurde die Entwicklung von TrueCrypt wegen „Sicherheitsproblemen“ eingestellt und ein Fork davon seit 2015 unter dem Namen VeraCrypt weiterentwickelt. An dieser Stelle sah das BSI keine Notwendigkeit mehr das Entwicklerteam rund um VeraCrypt auf die Sicherheitserkenntnisse des im Jahre 2010 durchgeführten Sicherheitsaudits von TrueCrypt hinzuweisen. Erschreckenderweise konnte Golem.de bei einer Analyse der Dokumente des BSI-Audits feststellen, dass viele Fehler und Sicherheitslücken auch heute noch im Code von VeraCrypt vorhanden sind:
„Der BSI-Audit erwähnt jedoch zahlreiche weitere derartige Fehler, von denen viele im Veracrypt-Code noch vorhanden sind.“
Auch wenn sich die damals durchgeführte Analyse auf die Software TrueCrypt beschränkte, hätte eine Veröffentlichung der Ergebnisse durch das BSI und damit einer erhöhten Transparenz zur Verbesserung der heute viel eingesetzten Verschlüsselungssoftware VeraCrypt beigetragen. In einem aktuellen Twitter-Beitrag nahm das BSI noch einmal Stellung:
In einem abschließenden Fazit weist Golem.de darauf hin, dass keine der gefundenen Schachstellen „extrem kritisch“ seien sowie eine Verschlüsselung „vergleichsweise solide und sicher“ bleibe. Trotzdem wird empfohlen VeraCrypt nur in der „jüngsten Version“ zu verwenden.
19. Dezember 2019 @ 11:25
Just heute kam noch ein Folgeartikel mit weiteren interessanten Informationen bzgl. der damals involvierten Unternehmen. Was die Beauftragung von Firmen, die Finanzierung von Studien und die Verwendung der daraus hervorgehenden Ergebnisse und mögliche Interessenkonflikte angeht müsste man sich diese Fälle eigentlich mal genauer ansehen.
19. Dezember 2019 @ 11:44
Hallo,
vielen Dank für den Hinweis.
Mit freundlichen Grüßen
Ihre Blogredaktion