Fraunhofer-Institut: TrueCrypt ist „nur in sehr seltenen Fällen angreifbar“

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Verschlüsselungssoftware TrueCrypt untersucht. Sie ist nach Einschätzung der Forscher sicherer, als es vorherige Analysen vermuten lassen. Die kryptografischen Funktionen seien nur „in sehr seltenen Fällen angreifbar“. Zu einem ähnlichen Ergebnis waren bereits Wissenschaftler der John Hopkins Universität gekommen.

Gegenstand der Untersuchung war die aktuelle Version 7.1a. „Insgesamt wurden bei der Untersuchung keine Hinweise darauf gefunden, dass die Implementierung von TrueCrypt die zugesicherten Verschlüsselungseigenschaften nicht erfüllt. Insbesondere ergab ein Vergleich der kryptografischen Funktionen mit Referenzimplementierungen respektive Testvektoren keinerlei Abweichungen“, heißt es in dem Bericht der Forscher.

Die Nutzung von Kryptografie in TrueCrypt sei allerdings „nicht optimal“. Die AES-Implementierung sei nicht timing-resistent. Außerdem sei der Volume Header nicht integritätsgeschützt. Im Source-Code fänden sich zudem aussortierte Algorithmen in deaktivierter Form. Die Forscher kritisieren aber auch eine „gefährliche Fehlimplementierung für den Zufallszahlengenerator unter Windows“.

Das SIT weist zudem darauf hin, dass Verschlüsselungssoftware wie TrueCrypt „schon prinzipbedingt nicht dazu geeignet ist, Angreifern den Zugriff auf verschlüsselte Daten zu verwehren, wenn der Angreifer mehrfach auf das System zugreifen kann“. Vor aktiven Angriffsszenarien wie der Installation eines Keyloggers oder Malware biete TrueCrypt keinen Schutz. Hierfür wären hardwarebasierte Sicherheitsmaßnahmen erforderlich wie TPM oder Smartcard.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Die im September vom Google-Mitarbeiter James Forshaw entdeckten Sicherheitslücken sind laut SIT zwar „generell problematisch“, für die Sicherheit von TrueCrypt hätten sie aber keine Relevanz. Ein Angreifer, der bereits Zugang zu einem System habe, könne mithilfe einer der Lücken zwar erweiterte Systemrechte erlangen, der Zugriff auf verschlüsselte Dateien werde dadurch aber nicht einfacher.

Gerade in mobilen Szenarien, also beim Einsatz von Laptops oder USB- Speichermedien, leistet die Verschlüsselung von Festplatten oder Containern nach Ansicht des SIT einen unverzichtbaren Beitrag zum Schutz kritischer Daten. Aufgrund der hohen Verbreitung von TrueCrypt und der zahlreichen darauf aufbauenden Produkte, so etwa der deutschen Lösung TrustedDisk, biete die vorliegende Analyse der Sicherheit von TrueCrypt eine wichtige Grundlage für die Bewertung des damit erreichbaren Schutzniveaus und mögliche Verbesserungen in Weiterentwicklungen.

Die kompletten Ergebnisse (PDF) können vom Server des BSI heruntergeladen werden.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

6 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

22 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago