Een jaar na TrueCrypt - Kunnen we ons nog wel beveiligen?

Door: Edmond Varwijk | 06 juli 2015 07:56

Blog

Inhoudsopgave

  1. Inleiding
  2. pagina 2
  3. pagina 3

Een aangekondigde dood

Waarom dan stoppen? Een reden hebben de ontwikkelaars van TrueCrypt nooit gegeven. Toch liggen redenen wel voor de hand. In februari 2014 publiceerde het Open Crypto Audit Project een eerste rapport op basis van een controle van de programmeercode van TrueCrypt. Onderzocht waren de Windows Kernel-code, de bootloader en de driver voor het bestandssysteem. Het kritische rapport beschreef enkele fouten die waren ontdekt. Bovendien bleek de kwaliteit van het programmeerwerk minder goed dan men had gehoopt en kon TrueCrypt alleen worden gecompileerd door gebruik te maken van enkele verouderde tools en libraries, die zelf al niet meer veilig waren. Alleen het oplossen van de bevindingen van de audit zou een team van ontwikkelaars een paar jaar werk opleveren, vermoedelijk zagen de ontwikkelaars van TrueCrypt dat niet meer zitten.

Piratenpartij

Deze conclusie wordt onderschreven door Jos Doekbrijder, de Nederlandse oprichter van Pure-Privacy, een organisatie die strijdt voor een kwaliteitskeurmerk voor opensource privacyproducten en tevens de ex-vicepresident van de Zwitserse Piratenpartij. Al snel na het einde van TrueCrypt startte Doekbrijder de website truecrypt.ch, met daarop de 7.1a-versies van TrueCrypt.

"De code van TrueCrypt is over vele jaren geschreven. Delen stammen uit het begin van de jaren negentig," vertelt Doekbrijder. "En hoewel het allemaal correct werkt, het is geen mooie code en niet goed genoeg gestructureerd en gedocumenteerd. De uitkomsten van de audit maakten de ontwikkelaars duidelijk dat ze niet met het fiksen van een paar bugs van TrueCrypt een moderne up-to-date tool zouden kunnen maken."

De TrueCrypt-site is onveranderd sinds de aankondiging dat het project stopte.

Het belang van encryptie

Cryptografie is Grieks voor geheimschrift. Het is de methode om informatie te bewaren en te transporteren, zodat alleen zij die toegang tot de informatie mógen hebben, er ook echt bij kunnen. Vaak zijn dit een zender en een ontvanger, maar je kunt cryptografie ook gebruiken om alleen zelf nog toegang tot de gegevens te hebben. Geheimhouding van de gegevens is overigens maar een van de kwaliteiten van cryptografie, maar in het geval van TrueCrypt draait het wel volledig om die vertrouwelijkheid; de gegevens geheimhouden.

Zoals de lezers van dit blad natuurlijk weten, is cryptografie of versleuteling tegenwoordig vooral belangrijk voor online privacy. Het is hét middel om vertrouwelijke informatie veilig te kunnen bewaren én te transporteren. Maar cryptografie kom je op nog veel meer plekken tegen: van de WPA-beveiliging van het draadloos netwerk tot de https-verbinding bij het internetbankieren. En zelfs je bankrekeningnummer zelf bevat een controlemechanisme die je tot de cryptografie kunt rekenen.

Open versus gesloten

Cryptografie staat en valt met geheimhouding. Maar niet de manier waarop de versleuteling plaatsvindt, wordt verborgen gehouden; alleen de sleutel die toegang geeft tot de data is geheim. Al het andere mag iedereen weten. Beter zelfs, de manier van versleutelen moet immers zo sterk zijn dat alleen een sleutel toegang geeft tot de informatie en die niet ook via een fout in het systeem kan worden verkregen.

Dit uitgangspunt, reeds in de negentiende eeuw vastgelegd door de cryptograaf Kerckhoffs, wordt ook vaak als argument gebruikt om beveiligingssoftware opensource te laten zijn.

Pure-Privacy-oprichter Jos Doekbrijder: "Per definitie kan alleen opensource-software veilig zijn. De logica is eenvoudig. Met een black box-benadering zoals bij closed source zie je de input, dat wat je versleutelt en de output. Maar er is geen enkele manier om te controleren of er niet meer output is dan strikt noodzakelijk, en er is ook geen enkele manier om te controleren of niet meer mensen dan jijzelf de output kunnen zien. Als garantie heb je alleen het woord van de ontwikkelaar. Als je Apple, Google of Microsoft vertrouwt, dan kun je hun producten gebruiken. Maar de mogelijkheid om de code te verifiëren en zelf te zien hoe de software doet wat het doet, die ontbreekt, en daarmee ontbreekt het ultieme element van vertrouwen dat je in een product kunt hebben."

Geen backdoor nodig

Ook zonder backdoor is TrueCrypt niet helemaal veilig, het programma is kwetsbaar voor een aantal aanvallen. Zo bewaart TrueCrypt de encryptiesleutels in het RAM-geheugen en kunnen deze in de seconden nadat een computer is uitgezet, maar het geheugen nog data bevat, worden 'bevroren' en uitgelezen. Crasht een pc terwijl TrueCrypt actief is, dan worden ook de sleutels opgeslagen in de geheugendump. Deze zwakheid is een van drie manieren waarop het programma Elcomsoft Forensic Disk Decryptor (EFDD) in het bezit kan komen van de sleutels van TrueCrypt en een versleutelde schijf of TrueCrypt-container kan mounten. EFDD kan dit trouwens ook bij schijven die met BitLocker en PGP zijn versleuteld, beide kennen dezelfde zwakheid.

EFDD van Elcomsoft haalt de encryptiesleutels uit een geheugendump en kan daarmee een TrueCrypt-schijf of -volume weer mounten.

Hoewel de broncode van TrueCrypt vrij beschikbaar is, is het programma zelf geen opensource-software. Dat TrueCrypt zichzelf aanprees als 'gratis opensource-software voor on-the-fly encryptie' is namelijk niet voldoende. Software geldt pas als opensource wanneer de licentie is goedgekeurd door een expertgroep zoals de Free Software Foundation (FSF), het Open Source Initiative (OSI) of het Debian of Fedora Project. En dit geldt niet voor de eigen TrueCrypt License van TrueCrypt. Hoewel het TrueCrypt-team de licentie in 2006 ter goedkeuring heeft aangeboden aan de OSI, trok men de aanvraag naarstig in toen bleek dat de kans op goedkeuring klein was.

De belangrijkste bezwaren van de OSI tegen de TrueCrypt-licentie zijn enkele beperkingen om de software vrij te mogen verspreiden en vooral onduidelijkheid of de TrueCrypt-code wel echt vrij was van auteursrechtelijke claims door derden. Volgens onderzoekers van de OSI en Fedora loopt iedereen die TrueCrypt verspreidt of gebruikt een serieus risico door rechthebbenden te worden aangeklaagd wegens het schenden van hun intellectuele eigendom.

Juristen van Fedora beoordeelden de TrueCrypt License als 'horrifying' en een risico voor iedereen die het product verspreidt of gebruikt.

Waarom is TrueCrypt geen opensource?

Dat TrueCrypt een eigen licentie gebruikt en niet een van de erkende opensource-licenties heeft, heeft een historische achtergrond. Al vanaf de eerste versie van TrueCrypt is er een dispuut met het Duitse bedrijf SecurStar over mogelijk onrechtmatig hergebruik van een deel van de broncode van het programma E4M ('Encryption for the Masses'). SecurStar claimt het recht op de code van E4M te hebben en zegt dat de vrijgave voor hergebruik door de ontwikkelaar van E4M illegaal is. SecurStar, dat nog steeds actief beveiligingsproducten ontwikkelt, biedt zelf onder meer het programma DriveCrypt aan. Dat heeft een vergelijkbare functionaliteit als TrueCrypt.

Een claim van leverancier SecurStar is mogelijk de reden dat TrueCrypt altijd een eigen licentie is blijven houden.

0 Reactie(s) op: Een jaar na TrueCrypt - Kunnen we ons nog wel beveiligen?

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.