Truecrypt: BSI verheimlicht Audit-Dokumente

Im Jahr 2010 ließ das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Analyse der veralteten Software Truecrypt erstellen.

Truecrypt

Im Jahr 2010 ließ das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Audit der veralteten Verschlüsselungssoftware Truecrypt erstellen. Die Dokumente dazu wurden erst am 16. Dezember 2019 veröffentlicht, aufgrund einer Anfrage des Portals Frag den Staat.Seit dem 16. Dezember sind die Dokumente zur BSI-Untersuchung von Truecrypt online, allerdings mit einer Verspätung von neun Jahren.


Truecrypt-Analyse erst nach mehrfacher Anfrage herausgegeben

Ein Nutzer auf der Plattform Frag den Staat schickte eine Anfrage an das BSI und bat um alle Dokumente zur Truecrypt-Analyse. Daraufhin sandte die Behörde dem Antragsteller mehrere Unterlagen aus dem Jahr 2010. Das BSI teilte auch in seiner E-Mail mit, dass der Empfänger die Dokumente nicht veröffentlichen dürfe, weil man sie urheberrechtlich geschützt hätte. Das BSI ließ sich natürlich Zeit und rückte erst nach mehreren Anfragen die Dokumente heraus. Die Dokumente sind seit dem 16. Dezember nun für Jedermann einzusehen.

Truecrypt stammt von anonymen Entwicklern

Die Verschlüsselungssoftware Truecrypt hat eine wechselhafte Geschichte hinter sich. Angefangen bei der Spendenkampagne vom Kryptograph Matthew D. Green, um ein Audit für die Software zu finanzieren, bis zur Veröffentlichung von einigen Schwachstellen der Software. Im Mai 2014 kam dann das überraschende Ende – die Software wird nicht mehr weiterentwickelt. Laut einer Recherche des Journalisten Evan Ratliff, soll sogar der Drogenhändler Paul Le Roux an der Entwicklung beteiligt gewesen sein. Sicherheitsforscher raten schon seit Jahren aufgrund von zwei kritischen Sicherheitslücken von der Verwendung von Truecrypt ab.

Truecrypt

Entwickler von Veracrypt nicht informiert

Mittlerweile hat sich die Alternative Veracrypt, welche auf dem Truecrypt-Code basiert, etabliert. Veracrypt wird auch weiterentwickelt und es ist davon auszugehen, dass es auch zukünftig dabei bleibt. Die kürzlich bekannt gewordenen Dokumente des BSI betreffen auch Sicherheitslücken bei Veracrypt, diese werden aber nicht als kritisch eingestuft. Wer Veracrypt verwendet, sollte dennoch darauf achten, ausschließlich die neueste Version zu benutzen. Wer noch immer Truecrypt verwendet, sollte auf jden Fall zeitnah auf Veracrypt umsteigen.

verycryptDas Bundesamt für Sicherheit in der Informationstechnik hat die Entwickler der Nachfolgesoftware allerdings nicht informiert. Veracrypt-Chefentwickler Mounir Idrassi bestätigte auf Anfrage der Kollegen von Golem.de, dass er vom Sicherheitsaudit des BSI noch nie gehört habe. Da die BSI-Untersuchung Jahre vor der Gründung von Veracrypt abgeschlossen wurde, hat man es wohl nicht für nötig gehalten, die Entwickler der Nachfolgesoftware nachträglich über die gefundenen Sicherheitslücken in Kenntnis zu setzen.

Tarnkappe.info

Autor bei Tarnkappe