Menü

Verschlüsselte Kommunikation: Erstes Code-Audit der pEp-Engine veröffentlicht

Die Schweizer pEp-Stiftung hat das Code-Audit der pEp-Engine durch die Kölner Firma Sektioneins veröffentlicht. Sektioneins entdeckte einige Fehler und wurde beauftragt, bei jedem relevanten Update den Code neu zu prüfen.

Von
vorlesen Drucken Kommentare lesen 30 Beiträge
pretty easy privacy

(Bild: pretty easy privacy)

Das pEp-Projekt (p=p, Pretty Easy Privacy) möchte alle geschriebene und digitale Kommunikation absichern und für Anwender eine einfache, benutzerfreundliche und durchgehende Verschlüsselung anbieten. Es beruht auf teilweise kommerziell vertriebenen "Frontends" (Adapter, Add-Ons und Apps) für verschiedene Betriebssysteme und Mailprogramme, sowie auf einer gemeinsamen pEp-Engine, die von der gemeinnützigen Schweizer pEp-Foundation finanziert wird.

Diese Stiftung beauftragte Sektioneins mit einem Code-Audit, dessen Ergebnisse jetzt vorgestellt wurden. Sektioneins fand sieben Fehler mit der Einstufung "mittel" und vier mit der Einstufung "hoch". Sie sollen beseitigt sein, wenn im November Enigmail/pEp an den Start geht. Basierend auf dem Code-Audit wurde zudem ein Update für pEp Outlook verteilt.

Krista Grothoff vom pEp-Entwicklerteam bewertete die Ergebnisse: "Die meisten der gefundenen Fehler waren von der üblichen Sorte: Speicherallokation und -deallokation, Fehlerbehandlung und ähnliches. Diese sind leicht zu reparieren, können aber zu größeren Sicherheitsproblemen, wie beispielsweise Buffer-Overflows oder Memoryleaks, führen."

Derzeit überprüft die Firma die pEp-Adapter, später sollen die Apps und Add-Ons folgen. Als nächste pEp-Variante soll Enigmail/pEp auf dem Mozilla Festival in London offiziell vorgestellt werden. In Deutschland wird pEp von Digitalcourage unterstützt, wo man mit dem Vertrieb der Add-Ons beginnen will, wenn die "Frontends" stabil laufen. (kbe)

Anzeige
Anzeige