Der Weg zu einem verlässlicheren TrueCrypt
Die Verschlüsselungssoftware TrueCrypt soll auf Herz und Nieren geprüft werden. Zu den Zielen gehört ein nachvollziehbarer Build-Prozess, der zu sicheren Binärdateien führt. Sicherheitsexperte Bruce Schneier unterstützt das Vorhaben.
- Fabian A. Scherschel
Ist TrueCrypt wirklich vertrauenswürdig? Diese Frage versucht eine Gruppe interessierter Nutzer des Verschlüsselungswerkzeugs zu beantworten und sammelt zu diesem Zweck Spenden; über 37.000 US-Dollar sind dafür bereits zusammengekommen.
Der eigentliche Quellcode des Programms gilt zwar als relativ gut untersucht. Allerdings ist nicht klar, ob die vom TrueCrypt-Projekt zum Download angebotenen Binärdateien tatsächlich mit diesem Quellcode übereinstimmen. Die Binärdateien könnten zum Beispiel mit Hintertüren kompiliert sein, die in den öffentlichen Quellen nicht vorkommen.
Schon lange ist vielen Sicherheitsexperten ein Dorn im Auge, dass die meisten TrueCrypt-Nutzer nicht imstande sind, den Quellcode selbst zu kompilieren. Um den Code unter Windows in Binärdateien zu übersetzen, ist unter anderem Version 1.52 des Microsoft-C-Compilers von 1994 nötig. Für den Artikel Artikel Tarnkappen in c't 16/2013 versuchte c't-Redakteur Andreas Stiller, Binärdateien nachzubauen, die mit denen vom TrueCrypt-Projekt bereitgestellten Dateien identisch sind. Der Versuch bedeutete viel Mühe und war nur annähernd erfolgreich: Letztlich blieben doch ungeklärte Differenzen.
Um Nutzern vertrauenswürdige Binärdateien zur Verfügung stellen zu können, wollen Kenn White und Matthew Green den Build-Prozess des Tor-Projektes so anpassen, dass er sich für TryCrypt nutzen lässt. Die daraus resultierenden Binärdateien sollen in nachprüfbarer Weise mit dem Quellcode übereinstimmen. Für ein Programm, dem man seine vertraulichen Daten übergibt, ist das spätestens angesichts der Snowden-Enthüllungen ein Muss.
Darüber hinaus möchten White & Co. mit den Spendengeldern eine professionelle Sicherheitsfirma beauftragen, den Quellcode noch einmal genau zu untersuchen. Da dies aufwändig und damit auch sehr teuer ist, hofft man auf Kooperation und vielleicht auch auf Rabatt von einer dieser Firmen. Der renommierte Sicherheitsexperte Bruce Schneier hat bereits zugesagt, helfen zu wollen. Sofern finanziell machbar, wollen die Initiatoren des Projekts auch Finderlohn für Lücken in der Software zahlen. Firmen wie Google, Facebook und Microsoft nutzen solche Bug-Bounty-Programme bereits erfolgreich, um Lücken in ihrer Software zu schließen, bevor Angreifer sie ausnutzen können.
Weiterhin soll die Lizenz, unter der TrueCrypt veröffentlicht wird, auf Kompatibilität mit etablierten Open-Source-Lizenzen wie etwa der GPL geprüft werden. Dadurch ließe TrueCrypt sich in die Paketquellen einer größeren Zahl von Linux-Distributionen aufnehmen. Die schwierige Lizenzsituation ist auch der Grund, warum TrueCrypt trotz häufiger Lesernachfragen nicht in Desinfec't enthalten ist. Die derzeitige Lizenz des Programms lässt sich so auslegen, dass sie auch die Offenlegung der Quellcodes aller anderer im Projekt enthaltenen Software bedingt. Das scheitert bei Desinfec't nicht zuletzt an den kommerziellen Virenscannern. (fab)
