Open Source im professionellen Einsatz

Durchleuchtet: Neues vom Truecrypt-Audit

19.02.2015

Matthew Green, Sicherheitsforscher an der Johns Hopkins University in Baltimore hat die Leser seines Blogs über Neuigkeiten zum Truecrypt-Audit informiert.

172

2013 hatten die Forscher rund um Green per Crowdfunding 70 000 US-Dollar eingesammelt, um die Software zu untersuchen. Ihre ersten Funde haben sie bereits veröffentlicht, es handelt sich um einige mittelschwere Sicherheitslücken. Der zweite Teil sollte sich ursprünglich der Kryptografie selbst widmen, als die Truecrypt-Entwickler im Frühjahr 2014 plötzlich ankündigten, die Software nicht mehr weiterzuentwickeln.

Das Team habe sich nun die Frage gestellt, wie sich das eingesammelte Geld vor diesem Hintergrund am sinnvollsten verwenden lasse. So hätte man zum Beispiel einen der Forks untersuchen können.

Plan B sei nun aber, die Truecrypt-Version 7.1a zu durchleuchten, auf der die neueren Forks beruhen. Mit dieser Arbeit werde man demnächst beginnen und habe bereits einen Vertrag mit einer Gruppe von Sicherheitsforschern geschlossen. Zusätzlich habe man in der spärlichen Freizeit einige Codekomponenten manuell begutachtet, diese Arbeit finde ergänzend zum offiziellen Audit statt. Dafür habe man sich die Freiheit genommen, das Anfangsdatum etwas flexibler auszuwählen, schreibt Green in seinem Blogeintrag, weshalb es bislang noch keine Ergebnisse gebe.

Ähnliche Artikel

  • Audit für Open VPN 2.4

    Der Londoner VPN-Anbieter Private Internet Access finanziert ein Audit für Open VPN 2.4, das der bekannte Kryptologe Matthew Green übernehmen wird.

  • Wird das Veracrypt-Audit belauscht?

    Ein Blogeintrag zu verschwundenen E-Mails legt nahe, dass die Kommunikation zu einer geplanten Veracrypt-Sicherheitsüberprüfung belauscht wird.

  • BSI lässt Truecrypt prüfen

    Das Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) damit beauftragt, die Verschlüsselungslösung Truecrypt auf Sicherheitslücken zu prüfen.

  • Open VPN behebt nach Audits Sicherheitsmängel

    Die neue Version 2.4.2 von Open VPN repariert die in gleich zwei Security-Audits gefundenen Sicherheitsmängel, darunter eine als kritisch eingestufte Sicherheitslücke. Neben Ostif hatte auch Private Internet Access die VPN-Software untersuchen lassen.

  • Sirrix verspricht freien Truecrypt-Nachfolger

    Die Sirrix AG aus Saarbrücken hat angekündigt, einen Nachfolger der Verschlüsselungssoftware Truecrypt als Open Source zu veröffentlichen.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.