“Steganos Encrypted Safe” - Schlangenöl?

Steganos Safe ist ein Windows-Programm, um Daten verschlüsselt zu speichern; geöffnet stellt sich der Datenspeicher als separates Laufwerk dar, ohne Kennwort sieht man nur eine große Datei, die ohne Schlüssel wertlos ist. Daß dem jedoch nicht der Fall sein soll, berichtet ein User auf der Security-Mailingliste Bugtraq.

Sein Experiment (kann ich mangels Windows leider nicht nachvollziehen): Man installiere eine Testversion von Steganos, deaktiviere die automatischen Updates und gebe eine Seriennummer ein, die man sich aus den Untiefen des Internets besorgt. Nun versucht man, ein fremdes geschütztes Steganos-Archiv zu öffnen - da man das Paßwort nicht kennt, klappt das natürlich nicht. Soweit, so gut.
Nun reaktiviert man die Update-Funktion des Programms; Steganos führt eine schwarze Liste "geknacker" Seriennummern - und beim nächsten Update stellt das Programm fest, daß man eine solche Lizenz verwendet. Zur Strafe setzt das Programm bei allen greifbaren Steganos-Archiven ein fixes Standardpaßwort "123"... auch bei dem fremden Archiv, dessen Paßwort man gar nicht kannte!
Dies läßt nur zwei Folgerungen zu: Entweder steht das verwendet Paßwort in verschleiterter Form im Archiv, oder aber alle Archive verwenden an einer Stelle ein hartcodiertes Standardpaßwort. Beides disqualifiziert eine solche Software als snake oil.

Fazit: Bitte lieber Software wie Truecrypt verwenden - bei letzterem kann man den Source einsehen (und sich selbst überzeugen, daß es keine Hintertüren gibt), obendrein funktioniert es auch auf anderen Plattformen außer Windows und ist kostenlos.

comments powered by Disqus