/ OSS / Linux-App Cryptkeeper gibt verschlüsselte Daten mit Standardpasswort "p" frei

Linux-App Cryptkeeper gibt verschlüsselte Daten mit Standardpasswort "p" frei

Moritz Rosenfeld on February 2, 2017 - 10:37 am in OSS

In der Test-Version von Debian 9 (Stretch) können Dritte einem Sicherheitsforscher zufolge verschlüsselte Daten mit einem Standard-Passwort einsehen. Cryptkeeper wurde vorerst aus dieser Version entfernt.

Wer Debian 9 in der Testversion mit dem Codenamen Stretch einsetzt, sollte Daten nicht mit Cryptkeeper verschlüsseln: Aufgrund eines Bugs lassen sich alle chiffrierten Daten mit dem Standardpasswort “p” entsperren, warnt der Sicherheitsforscher Kirill Tkhai.

In der Stable-Version von Debian 8 (Jessie) soll Cryptkeeper verlässlich das vom Nutzer vergebene Passwort für den Zugriff auf verschlüsselte Daten einfordern. Bis der Bug gefixt ist, wurde Cryptkeeper aus der Testversion entfernt.

Dem Sicherheitsforscher zufolge soll in der Testversion das Zusammenspiel von Cryptkeeper mit der Verschlüsselungserweiterung EncFS für das Problem verantwortlich sein. Dabei kommt es zu einem Fehler bei der Passwortübergabe an EncFS. Das liegt wiederum an einem Bugfix für EncFS (Version1.9.1-3), der letztlich den Austausch zwischen Cryptkeeper und EncFS stört.

Kommt wie bei Debian 8 (Jessie) EncFS in der Ausgabe 1.7.4-5 zum Einsatz, soll es keine Probleme bei der Passwortübergabe geben, versichert ein Debian-Entwickler. (des)

Read more on: Source

Comments are disabled