Fraunhofer-Institut: TrueCrypt ist „nur in sehr seltenen Fällen angreifbar“

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Verschlüsselungssoftware TrueCrypt untersucht. Sie ist nach Einschätzung der Forscher sicherer, als es vorherige Analysen vermuten lassen. Die kryptografischen Funktionen seien nur „in sehr seltenen Fällen angreifbar“. Zu einem ähnlichen Ergebnis waren bereits Wissenschaftler der John Hopkins Universität gekommen.

Gegenstand der Untersuchung war die aktuelle Version 7.1a. „Insgesamt wurden bei der Untersuchung keine Hinweise darauf gefunden, dass die Implementierung von TrueCrypt die zugesicherten Verschlüsselungseigenschaften nicht erfüllt. Insbesondere ergab ein Vergleich der kryptografischen Funktionen mit Referenzimplementierungen respektive Testvektoren keinerlei Abweichungen“, heißt es in dem Bericht der Forscher.

Die Nutzung von Kryptografie in TrueCrypt sei allerdings „nicht optimal“. Die AES-Implementierung sei nicht timing-resistent. Außerdem sei der Volume Header nicht integritätsgeschützt. Im Source-Code fänden sich zudem aussortierte Algorithmen in deaktivierter Form. Die Forscher kritisieren aber auch eine „gefährliche Fehlimplementierung für den Zufallszahlengenerator unter Windows“.

Das SIT weist zudem darauf hin, dass Verschlüsselungssoftware wie TrueCrypt „schon prinzipbedingt nicht dazu geeignet ist, Angreifern den Zugriff auf verschlüsselte Daten zu verwehren, wenn der Angreifer mehrfach auf das System zugreifen kann“. Vor aktiven Angriffsszenarien wie der Installation eines Keyloggers oder Malware biete TrueCrypt keinen Schutz. Hierfür wären hardwarebasierte Sicherheitsmaßnahmen erforderlich wie TPM oder Smartcard.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Die im September vom Google-Mitarbeiter James Forshaw entdeckten Sicherheitslücken sind laut SIT zwar „generell problematisch“, für die Sicherheit von TrueCrypt hätten sie aber keine Relevanz. Ein Angreifer, der bereits Zugang zu einem System habe, könne mithilfe einer der Lücken zwar erweiterte Systemrechte erlangen, der Zugriff auf verschlüsselte Dateien werde dadurch aber nicht einfacher.

Gerade in mobilen Szenarien, also beim Einsatz von Laptops oder USB- Speichermedien, leistet die Verschlüsselung von Festplatten oder Containern nach Ansicht des SIT einen unverzichtbaren Beitrag zum Schutz kritischer Daten. Aufgrund der hohen Verbreitung von TrueCrypt und der zahlreichen darauf aufbauenden Produkte, so etwa der deutschen Lösung TrustedDisk, biete die vorliegende Analyse der Sicherheit von TrueCrypt eine wichtige Grundlage für die Bewertung des damit erreichbaren Schutzniveaus und mögliche Verbesserungen in Weiterentwicklungen.

Die kompletten Ergebnisse (PDF) können vom Server des BSI heruntergeladen werden.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago