Linux-App Cryptkeeper gibt verschlüsselte Daten mit Standardpasswort "p" frei

In der Test-Version von Debian 9 (Stretch) können Dritte einem Sicherheitsforscher zufolge verschlüsselte Daten mit einem Standard-Passwort einsehen. Cryptkeeper wurde vorerst aus dieser Version entfernt.

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen
Linux-App Cryptkeeper soll verschlüsselte Daten mit Standardpasswort "p" freigeben

(Bild: kristy, CC BY-ND 2.0)

Lesezeit: 1 Min.

Wer Debian 9 in der Testversion mit dem Codenamen Stretch einsetzt, sollte Daten nicht mit Cryptkeeper verschlüsseln: Aufgrund eines Bugs lassen sich in dieser Version mit Cryptkeeper neu chiffrierten Ordner mit dem Standardpasswort "p" entsperren, warnt der Sicherheitsforscher Kirill Tkhai.

In der Stable-Version von Debian 8 (Jessie) soll Cryptkeeper verlässlich das vom Nutzer vergebene Passwort für den Zugriff auf verschlüsselte Daten einfordern. Bis der Bug gefixt ist, wurde Cryptkeeper aus der Testversion entfernt.

Dem Sicherheitsforscher zufolge soll in der Testversion das Zusammenspiel von Cryptkeeper mit der Verschlüsselungserweiterung EncFS für das Problem verantwortlich sein. Dabei kommt es zu einem Fehler bei der Passwortübergabe an EncFS. Das liegt wiederum an einem Bugfix für EncFS (Version1.9.1-3), der letztlich den Austausch zwischen Cryptkeeper und EncFS stört.

Kommt wie bei Debian 8 (Jessie) EncFS in der Ausgabe 1.7.4-5 zum Einsatz, soll es keine Probleme bei der Passwortübergabe geben, versichert ein Debian-Entwickler.

[UPDATE 02.02.2017 10:20 Uhr]

Situation, wann das Standardpasswort "p" greift im Fließtext angepasst. (des)