Verschlüsselte Kommunikation: Erstes Code-Audit der pEp-Engine veröffentlicht
Die Schweizer pEp-Stiftung hat das Code-Audit der pEp-Engine durch die Kölner Firma Sektioneins veröffentlicht. Sektioneins entdeckte einige Fehler und wurde beauftragt, bei jedem relevanten Update den Code neu zu prüfen.
(Bild: pretty easy privacy)
- Detlef Borchers
Das pEp-Projekt (p=p, Pretty Easy Privacy) möchte alle geschriebene und digitale Kommunikation absichern und für Anwender eine einfache, benutzerfreundliche und durchgehende Verschlüsselung anbieten. Es beruht auf teilweise kommerziell vertriebenen "Frontends" (Adapter, Add-Ons und Apps) für verschiedene Betriebssysteme und Mailprogramme, sowie auf einer gemeinsamen pEp-Engine, die von der gemeinnützigen Schweizer pEp-Foundation finanziert wird.
Diese Stiftung beauftragte Sektioneins mit einem Code-Audit, dessen Ergebnisse jetzt vorgestellt wurden. Sektioneins fand sieben Fehler mit der Einstufung "mittel" und vier mit der Einstufung "hoch". Sie sollen beseitigt sein, wenn im November Enigmail/pEp an den Start geht. Basierend auf dem Code-Audit wurde zudem ein Update für pEp Outlook verteilt.
Buffer-Overflows, Memoryleaks
Krista Grothoff vom pEp-Entwicklerteam bewertete die Ergebnisse: "Die meisten der gefundenen Fehler waren von der üblichen Sorte: Speicherallokation und -deallokation, Fehlerbehandlung und ähnliches. Diese sind leicht zu reparieren, können aber zu größeren Sicherheitsproblemen, wie beispielsweise Buffer-Overflows oder Memoryleaks, führen."
Derzeit überprüft die Firma die pEp-Adapter, später sollen die Apps und Add-Ons folgen. Als nächste pEp-Variante soll Enigmail/pEp auf dem Mozilla Festival in London offiziell vorgestellt werden. In Deutschland wird pEp von Digitalcourage unterstützt, wo man mit dem Vertrieb der Add-Ons beginnen will, wenn die "Frontends" stabil laufen. (kbe)