SYSTOLA
Aus den Nachrichten
Analyse der TrueCrypt-Executables
TrueCrypt ist eine beliebte und sehr weit verbreitete plattformübergreifende Open-Source-Verschlüsselungssoftware mit zahlreichen Features für alle möglichen und unmöglichen Szenarien. Allerdings wurde TrueCrypt noch nie einem gründlichen Audit unterzogen, und daher ist unbekannt, ob die Software Backdoors oder kryptografische Schwächen enthält.
Roman Kuznetsov @ 29.10.2013
Follow Roman Kuznetsov on LinkedIn
TrueCrypt ist eine beliebte und sehr weit verbreitete plattformübergreifende Open-Source-Verschlüsselungssoftware mit zahlreichen Features für alle möglichen und unmöglichen Szenarien. Allerdings wurde TrueCrypt noch nie einem gründlichen Audit unterzogen, und daher ist unbekannt, ob die Software Backdoors oder kryptografische Schwächen enthält.

Seit Edward Snowden uns auf die weitreichenden Möglichkeiten aufmerksam gemacht hat, die sich die NSA quer durch die gesamte Softwarelandschaft zunutze gemacht hat, zweifelt die Community an der Vertrauenswürdigkeit von TrueCrypt, insbesondere, da sich bereits das Kompilieren der Software aus dem verfügbaren Quellcode äußert schwierig gestaltet.

Vor einiger Zeit wurde eine neue Initiative mit dem Namen "IsTrueCryptAuditedYet?" ins Leben gerufen, deren Ziel darin besteht, einen Audit der Software durchzuführen und zu belegen, dass sie vertrauenswürdig ist – oder eben nicht.

Zu Anfang berichteten viele angesehene Quellen, dass es ihnen nicht gelungen sein, eine funktionsfähige Binärdatei aus dem auf der Website des Projekts veröffentlichten Quellcode zu erstellen. Doch am 21. Oktober veröffentlichte Xavier de Carné, ein Student des Concordia Institute for Information Systems Engineering, einen gründlichen Artikel über seine Erfahrungen mit dem Kompilieren von TrueCrypt aus den Quelldateien. Seine Arbeit genügt nicht nur wissenschaftlichen Maßstäben, sondern sie belegt auch, dass die ausführbaren Binärdateien auf der TrueCrypt-Website in der Tat authentisch sind und nicht mehr Code enthalten als der Quellcode. Ob die eigentlichen Algorithmen vertrauenswürdig sind, lässt sich nicht aus dieser Studie ableiten, da dies den Rahmen der Arbeit überschreitet. Diesen Nachweis zu führen ist nun die Aufgabe des "IsTrueCryptAuditedYet?"-Projekts.
Die Analyse hat gezeigt, dass ich TrueCrypt aus dem offiziellen Quellcode kompilieren und Übereinstimmung mit den offiziell veröffentlichten Binärdateien erzielen konnte, und jeder, der sich die Mühe macht, die Voraussetzungen für das Kompilieren von TrueCrypt auf dieselbe Weise herzustellen wie ich, kann denselben Nachweis führen.

Bevor ich dieses interessante Ergebnis erreicht hatte, zweifelte ich wie viele andere. Zunächst kompilierte ich TrueCrypt mit Visual Studio 2010 SP1 mit allen Updates, und meine Binärdateien unterschieden sich ganz wesentlich von den offiziellen Binärdateien; auch die disassemblierten Versionen wichen deutlich voneinander ab. Ich wechselte daraufhin zu Visual Studio 2008 SP1 mit allen Updates, aber immer noch bestanden erhebliche Unterschiede, wenn auch bereits weniger als bei VS2010. Ich musste mir große Mühe geben, die Umgebung der Entwickler so genau wie möglich nachzustellen. Dazu installierte ich VS2008 erneut mit SP1, aber nur mit denjenigen Updates nach SP1, die vor dem Erscheinen von TrueCrypt 7.1a erschienen waren. Auf diese Weise gelang es mir, identische Binärdateien zu erzeugen und damit zu beweisen, dass TrueCrypt keine Backdoors enthält, die nicht im Quellcode zu sehen sind. Der geneigte Leser möge sich jedoch nicht auf meine Schlussfolgerungen verlassen, sondern ist angehalten, dieses Ergebnis selbst zu reproduzieren.
Xavier de Carné, Student in IT Security at Concordia University, Canada