Bundesamt für Sicherheit in der Informationstechnik

Sicherheitsanalyse TrueCrypt

TrueCrypt ist ein bis vor Kurzem frei erhältliches Verschlüsselungsprogramm. Ende Mai 2014 wurde die Entwicklung und der Vertrieb von TrueCrypt in der Version 7.1a ohne Vorankündigung eingestellt. Über die Gründe hierfür ist wenig bekannt. Auf der offiziellen TrueCrypt-Webseite findet man ganz oben in roter Schrift: »WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues«. Da Teile von TrueCrypt auch im zugelassenen Produkt Trusted Disk enthalten sind, könnte eine Sicherheitsschwäche von TrueCrypt auch Trusted Disk betreffen.

Aus diesem Grund hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Fraunhofer-Institut für sichere Informationstechnologie (SIT) mit der Durchführung einer Sicherheitsanalyse von TrueCrypt beauftragt. Dieser Bericht fasst die Ergebnisse der Sicherheitsanalyse zusammen. Ziel war es dabei neben der Aufdeckung möglicher Schwachstellen auch Verbesserungsmöglichkeiten
für zukünftige Entwicklungen aufzuzeigen.

Die Untersuchungen erstreckten sich bis zur Quelltextprüfung und fanden u. A. mittels automatisierter Code-Analyse statt.

Sicherheitsanalyse TrueCrypt (PDF, 1MB, Datei ist nicht barrierefrei)

Security Analysis of TrueCrypt (PDF, 2MB, Datei ist nicht barrierefrei)