BSI: TrueCrypt-Analyse abgeschlossen

Das Bundesamt für Sicherheit in der Informationstechnik hat TrueCrypt analysiert und kam zu interessanten Ergebnissen.

Verfasser: Berk Kutsal
Datum: 16. Februar 2016
Lesedauer: 2 Minuten

Als die Sicherheitssoftware TrueCrypt in 2014 überraschend die Pforten schloss, gingen teilweise wirre Verdächtigungen durchs Internet. Von „der Macher hat keine Lust mehr“ bis „die Software wurde kompromittiert und ist für Kriminelle/Regierung X komplett zugänglich“ fand sich fast jede Verschwörungstheorie.

Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, hat kurz nach dem Ende der Entwicklung selbst eine Analyse angestoßen. Das liegt vor allem daran, dass das Bundesamt Teile der Software in eigenen Lösungen verwendet und damit unter anderem Verschlusssachen gegen neugierige Blicke schützt. Das Bundesamt hat sich für die Analyse die Hilfe des Fraunhofer Instituts für sichere Informationstechnologie SIT gesichert.

Das Ergebnis lässt sich auf der Homepage des BSI als PDF herunterladen und das Wichtigste ist: „Insgesamt wurden bei der Untersuchung keine Hinweise darauf gefunden, dass die Implementierung von TrueCrypt die zugesicherten Verschlüsselungseigenschaften nicht erfüllt. Insbesondere ergab ein Vergleich der kryptografischen Funktionen mit Referenzimplementierungen bzw. Testvektoren keinerlei Abweichungen.“ Allerdings sei die Nutzung von Kryptographie in TrueCrypt nicht optimal. Zudem gäbe es Qualitätsmängel in Bezug auf die Wartbarkeit und Dokumentation der Quelltexte, so die Analyse der Experten.

„Gerade in mobilen Szenarien, also beim Einsatz von Laptops oder USB-Speichermedien, leistet die Verschlüsselung von Festplatten oder Containern einen unverzichtbaren Beitrag zum Schutz kritischer Daten“, erklärt Thomas Caspers, Leiter des Fachbereichs Evaluierung und Betrieb von Kryptosystemen im BSI. „Aufgrund der hohen Verbreitung von TrueCrypt und der zahlreichen darauf aufbauenden Produkte bietet die vorliegende Analyse eine wichtige Grundlage für die Bewertung des damit erreichbaren Schutzniveaus. Zudem enthält die Studie Informationen für mögliche Verbesserungen in Weiterentwicklungen.“

Die meisten Unternehmen müssen TrueCrypt-basierte Systeme also nicht automatisch über Bord werfen oder in Panik verfallen. Allerdings sollte man mittelfristig auch Alternativen überprüfen und in Zweifel eine andere Lösung in Betracht ziehen. Eine solche ist beispielsweise VeraCrypt, die auf der letzten stabilen TrueCrypt-Version basiert. Für E-Mail-Kommunikation bietet F-Secure zusätzlich den Messaging Security Gateway an, der SMTP-Kommunikation sichert und zusätzlich auch Spam und Co. bekämpft.


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s