zurück zum Artikel

Verschlüsselte Kommunikation: Erstes Code-Audit der pEp-Engine veröffentlicht

Detlef Borchers
pretty easy privacy

(Bild: pretty easy privacy)

Die Schweizer pEp-Stiftung hat das Code-Audit der pEp-Engine durch die Kölner Firma Sektioneins veröffentlicht. Sektioneins entdeckte einige Fehler und wurde beauftragt, bei jedem relevanten Update den Code neu zu prüfen.

Das pEp-Projekt (p=p, Pretty Easy Privacy) möchte alle geschriebene und digitale Kommunikation absichern und für Anwender eine einfache, benutzerfreundliche und durchgehende Verschlüsselung anbieten. Es beruht auf teilweise kommerziell vertriebenen "Frontends" (Adapter, Add-Ons und Apps) für verschiedene Betriebssysteme und Mailprogramme, sowie auf einer gemeinsamen pEp-Engine, die von der gemeinnützigen Schweizer pEp-Foundation [1] finanziert wird.

Diese Stiftung beauftragte Sektioneins [2] mit einem Code-Audit, dessen Ergebnisse [3] jetzt vorgestellt wurden. Sektioneins fand sieben Fehler mit der Einstufung "mittel" und vier mit der Einstufung "hoch". Sie sollen beseitigt sein, wenn im November Enigmail/pEp [4] an den Start geht. Basierend auf dem Code-Audit wurde zudem ein Update für pEp Outlook [5] verteilt.

Buffer-Overflows, Memoryleaks

Krista Grothoff vom pEp-Entwicklerteam bewertete die Ergebnisse: "Die meisten der gefundenen Fehler waren von der üblichen Sorte: Speicherallokation und -deallokation, Fehlerbehandlung und ähnliches. Diese sind leicht zu reparieren, können aber zu größeren Sicherheitsproblemen, wie beispielsweise Buffer-Overflows oder Memoryleaks, führen."

Derzeit überprüft die Firma die pEp-Adapter, später sollen die Apps und Add-Ons folgen. Als nächste pEp-Variante soll Enigmail/pEp auf dem Mozilla Festival [6] in London offiziell vorgestellt werden. In Deutschland wird pEp von Digitalcourage [7] unterstützt, wo man mit dem Vertrieb der Add-Ons beginnen will, wenn die "Frontends" stabil laufen. (kbe [8])

URL dieses Artikels:
https://www.heise.de/-3351458

Links in diesem Artikel:
[1] https://pep.foundation/
[2] https://www.sektioneins.de/
[3] https://pep.foundation/blog/medienmitteilung--pep-ver%C3%B6ffentlicht-erstes-code-audit-der-pep-engine/index.html
[4] https://en.wikipedia.org/wiki/Pretty_Easy_privacy#Enigmail_support
[5] https://prettyeasyprivacy.com/news/security-updates-pp-outlook/
[6] https://mozillafestival.org/
[7] https://digitalcourage.de/themen/sichere-e-mail-mit-pp
[8] mailto:kbe@heise.de

Copyright © 2016 Heise Medien