Verschlüsselte Kommunikation: Erstes Code-Audit der pEp-Engine veröffentlicht

  • Allgemein

  • Y1E3C9Ax
  • 1684 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Verschlüsselte Kommunikation: Erstes Code-Audit der pEp-Engine veröffentlicht

    Die Schweizer pEp-Stiftung hat das Code-Audit der pEp-Engine durch die Kölner Firma Sektioneins veröffentlicht. Sektioneins entdeckte einige Fehler und wurde beauftragt, bei jedem relevanten Update den Code neu zu prüfen.

    Das pEp-Projekt (p=p, Pretty Easy Privacy) möchte alle geschriebene und digitale Kommunikation absichern und für Anwender eine einfache, benutzerfreundliche und durchgehende Verschlüsselung anbieten. Es beruht auf teilweise kommerziell vertriebenen "Frontends" (Adapter, Add-Ons und Apps) für verschiedene Betriebssysteme und Mailprogramme, sowie auf einer gemeinsamen pEp-Engine, die von der gemeinnützigen Schweizer pEp-Foundation finanziert wird.

    Diese Stiftung beauftragte Sektioneins mit einem Code-Audit, dessen Ergebnisse jetzt vorgestellt wurden. Sektioneins fand sieben Fehler mit der Einstufung "mittel" und vier mit der Einstufung "hoch". Sie sollen beseitigt sein, wenn im November Enigmail/pEp an den Start geht. Basierend auf dem Code-Audit wurde zudem ein Update für pEp Outlook verteilt.

    Buffer-Overflows, Memoryleaks

    Krista Grothoff vom pEp-Entwicklerteam bewertete die Ergebnisse: "Die meisten der gefundenen Fehler waren von der üblichen Sorte: Speicherallokation und -deallokation, Fehlerbehandlung und ähnliches. Diese sind leicht zu reparieren, können aber zu größeren Sicherheitsproblemen, wie beispielsweise Buffer-Overflows oder Memoryleaks, führen."

    Derzeit überprüft die Firma die pEp-Adapter, später sollen die Apps und Add-Ons folgen. Als nächste pEp-Variante soll Enigmail/pEp auf dem Mozilla Festival in London offiziell vorgestellt werden. In Deutschland wird pEp von Digitalcourage unterstützt, wo man mit dem Vertrieb der Add-Ons beginnen will, wenn die "Frontends" stabil laufen.


    Quelle: Verschlüsselte Kommunikation: Erstes Code-Audit der pEp-Engine veröffentlicht | heise online