Erster Bericht zu TrueCrypt-Audit: Code zwar nicht sauber, aber keine Hintertüren

Woher kommt es, wer hat es geschrieben und ist es sicher? Die Rede ist von der kostenlosen und Open-Source-Verschlüsselungs-Software für Linux, Mac OS X und Windows: TrueCrypt.

Die Kryptografie-Software TrueCrypt ist beliebt und wird viel eingesetzt. Allerdings wusste man nicht so richtig, wie sicher TrueCrypt wirklich ist. Der Code wurde nie einem Audit unterzogen und somit war nicht klar, ob es mögliche Backdoors gibt.

Das Ganze wollte man durch eine Spenden-Aktion adressieren und es kam ordentlich Geld zusammen. Im Dezember 2013 konnte man via Crowdfunding über 62.000 US-Dollar und 32,6 BitCoins sammeln. Initiatoren zeigten sich mehr als überrascht und erfreut.

Neben dem Security-Audit wollte man auch die Lizenzen untersuchen und was halt noch um TrueCrypt so anfällt. Nun ist man mit Phase Eins durch und es gibt einen ersten Bericht in PDF-Form.

Interessant wird es in den Punkten 1.2 (Project Summary) und 1.3. (Findings Summary). In 1.2 wird beschrieben, dass man einen Code-Review des TrueCrypt-Bootloaders und dem Windows-Kernel-Treiber vorgenommen hat. Es wurde der Quellcode von TrueCrypt 7.1a durchgeführt. Für weiterer Tests hat man die Software nicht aus den Quellen neu gebaut. Stattdessen hat man die Tests mit der downloadbaren Version und vorgefertigten Binär-Version durchgeführt.

Das iSEC-Team hat in den untersuchten Bereichen insgesamt elf Security-Probleme gefunden. Davon wurden vier als Medium, vier als niedrig und drei als “möglicherweise” (im Hinblick auf Defense in Depth) eingestuft.

Der Quellcode für den Bootloader und den Windows-Kernel-Treiber erfülle nicht die erwarteten Standards für sicheren Code. Es würden Kommentare fehlen und veraltete oder unsichere Funktionen benutzt. Weiterhin gebe es Inkonsistenzen bei der Verwendung von Variablen-Typen und so weiter.

Im Gegensatz dazu seien die Dokumenation für die Beschreibung der TrueCrypt-Funktionalität und Anwender-Anleitungen ausgezeichnet. Dazu gehören auch Ratschläge wie vollständige Verschlüsselung der Festplatte und so weiter.

iSEC hat keine Hinweise auf eine Backdoor oder ein Hintertürchen gefunden. Weitere im Dokument beschriebene Fehler oder Sicherheitslücken seien auf Bugs zurückzuführen und man könne keine Absicht darin erkennen.

Der Bericht kommt zur rechten Zeit – Heartbleed macht gerade das Internet verrückt. Nach dem Auftauchen dieses Bugs wird auch bei den OpenSSL-Entwicklern offen über Geld gesprochen – in diesem Blog-Beitrag.

Beziehungsweise weist Steve Marquess darauf hin, dass einige Leute freiwillig oder für sehr wenig Geld an dem Projekt arbeiten, das sehr viele Instanzen von Banken, Privat-Anwendern, Kommunikation und so weiter schützt. Man werde nicht einmal wahrgenommen und bekomme die Anerkennung, die man verdient – bis etwas schief geht. Marquess zeigt sich geschockt, nachdem er herausgefunden hat, wie viel eines der Gehirne hinter OpenSSL, Dr. Stephen Henson, für seine Arbeit bekomme.

Aus privaten Spenden nehme man zirka 2000 US-Dollar pro Jahr ein. Weiterhin habe man einige Support-Verträge am Laufen. Man glaube weiter daran, dass “OpenSSL dem Volk gehöre”. Allerdings werde die Wartung einer so komplexen Software ohne die notwendige Unterstützung schwierig: Unterstützen kann man hier.

Es sollte mindestens ein halbes Dutzend feste OpenSSL-Entwickler geben, die Vollzeit an dem Projekt arbeiten und sich komplett darauf konzentrieren können. Man ruft offen zu Sponsoren auf – Firmen oder Behörden – um diesen Missstand zu adressieren.