TrueCrypt: Verschlüsselungssoftware offenbar sicherer als gedacht
Demnach sind insbesondere die kryptografischen Funktionen nur “in sehr seltenen Fällen angreifbar”. Bestehende Schwachstellen ermöglichten zwar eine Ausweitung der Systemrechte, erleichterten jedoch nicht den Zugriff auf verschlüsselte Informationen.
Im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) die Verschlüsselungssoftware TrueCrypt überprüft. Nach Ansicht der Forscher ist sie sicherer, als dies bisherige Untersuchungen nahelegten. Nur “in sehr seltenen Fällen” seien die kryptografischen Funktionen “angreifbar”. Wissenschaftler der John Hopkins Universität waren zuvor bereits zu einem ähnlichen Resultat gekommen.
“Insgesamt wurden bei der Untersuchung keine Hinweise darauf gefunden, dass die Implementierung von TrueCrypt die versprochenen Verschlüsselungseigenschaften nicht erfüllt. Insbesondere ergab ein Vergleich der kryptografischen Funktionen mit Referenzimplementierungen respektive Testvektoren keinerlei Abweichungen”, heißt es in dem Bericht der Wissenschaftler. Gegenstand der Untersuchung war die aktuelle Version 7.1a.
Der Einsatz von Kryptografie in TrueCrypt ist ihnen zufolge jedoch “nicht optimal”. Die AES-Implementierung sei nicht timing-resistent. Außerdem sei der Volume Header nicht integritätsgeschützt. Im Sourcecode fänden sich zudem aussortierte Algorithmen in deaktiviertem Zustand. Die Forscher bemängeln aber auch eine “gefährliche Fehlimplementierung für den Zufallszahlengenerator unter Windows”.
Das SIT verweist zudem darauf, dass Verschlüsselungssoftware wie TrueCrypt “schon prinzipbedingt nicht dazu geeignet ist, Angreifern den Zugriff auf verschlüsselte Daten zu verwehren, wenn der Angreifer mehrfach auf das System zugreifen kann”. Vor Angriffsszenarien wie der Installation eines Keyloggers oder Schadsoftware biete TrueCrypt keinen Schutz. Hierfür wären hardwarebasierende Sicherheitsmaßnahmen wie TPM (Trusted Platform Module) oder Smartcard erforderlich.
Die im September vom Google-Mitarbeiter James Forshaw entdeckten Sicherheitslücken sind laut SIT zwar “generell problematisch”, wirkten sich aber auf die Sicherheit von TrueCrypt nicht aus. Angreifer, die bereits Zugang zu einem System haben, könnten mithilfe einer der Lücken zwar erweiterte Systemrechte erlangen, der Zugriff auf verschlüsselte Dateien werde dadurch aber nicht einfacher.
Gerade in mobilen Szenarien, also beim Einsatz von Notebooks oder USB-Speichermedien, leistet die Verschlüsselung von Festplatten oder Containern nach Ansicht des SIT einen unverzichtbaren Beitrag zum Schutz vertraulicher Daten. Aufgrund der hohen Verbreitung von TrueCrypt und der zahlreichen darauf aufsetzenden Produkte, so etwa der deutschen Lösung TrustedDisk, biete die nun vorliegende Analyse der Sicherheit von TrueCrypt eine wichtige Basis für die Bewertung des damit erreichbaren Schutzniveaus sowie mögliche Verbesserungen in Weiterentwicklungen.
Die kompletten Ergebnisse (PDF) können vom Server des BSI heruntergeladen werden.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de