Fraunhofer-Institut: TrueCrypt ist „nur in sehr seltenen Fällen angreifbar“

Das gilt vor allem für die kryptografischen Funktionen. Insgesamt ist die Verschlüsselungssoftware sicherer als gedacht. Vorhandene Sicherheitslücken erlauben zwar eine Rechteausweitung, erleichtern aber nicht den Zugang auf verschlüsselte Daten.

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Verschlüsselungssoftware TrueCrypt untersucht. Sie ist nach Einschätzung der Forscher sicherer, als es vorherige Analysen vermuten lassen. Die kryptografischen Funktionen seien nur „in sehr seltenen Fällen angreifbar“. Zu einem ähnlichen Ergebnis waren bereits Wissenschaftler der John Hopkins Universität gekommen.

Verschlüsselung (Bild: Shutterstock)Gegenstand der Untersuchung war die aktuelle Version 7.1a. „Insgesamt wurden bei der Untersuchung keine Hinweise darauf gefunden, dass die Implementierung von TrueCrypt die zugesicherten Verschlüsselungseigenschaften nicht erfüllt. Insbesondere ergab ein Vergleich der kryptografischen Funktionen mit Referenzimplementierungen respektive Testvektoren keinerlei Abweichungen“, heißt es in dem Bericht der Forscher.

Die Nutzung von Kryptografie in TrueCrypt sei allerdings „nicht optimal“. Die AES-Implementierung sei nicht timing-resistent. Außerdem sei der Volume Header nicht integritätsgeschützt. Im Source-Code fänden sich zudem aussortierte Algorithmen in deaktivierter Form. Die Forscher kritisieren aber auch eine „gefährliche Fehlimplementierung für den Zufallszahlengenerator unter Windows“.

Das SIT weist zudem darauf hin, dass Verschlüsselungssoftware wie TrueCrypt „schon prinzipbedingt nicht dazu geeignet ist, Angreifern den Zugriff auf verschlüsselte Daten zu verwehren, wenn der Angreifer mehrfach auf das System zugreifen kann“. Vor aktiven Angriffsszenarien wie der Installation eines Keyloggers oder Malware biete TrueCrypt keinen Schutz. Hierfür wären hardwarebasierte Sicherheitsmaßnahmen erforderlich wie TPM oder Smartcard.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Die im September vom Google-Mitarbeiter James Forshaw entdeckten Sicherheitslücken sind laut SIT zwar „generell problematisch“, für die Sicherheit von TrueCrypt hätten sie aber keine Relevanz. Ein Angreifer, der bereits Zugang zu einem System habe, könne mithilfe einer der Lücken zwar erweiterte Systemrechte erlangen, der Zugriff auf verschlüsselte Dateien werde dadurch aber nicht einfacher.

Gerade in mobilen Szenarien, also beim Einsatz von Laptops oder USB- Speichermedien, leistet die Verschlüsselung von Festplatten oder Containern nach Ansicht des SIT einen unverzichtbaren Beitrag zum Schutz kritischer Daten. Aufgrund der hohen Verbreitung von TrueCrypt und der zahlreichen darauf aufbauenden Produkte, so etwa der deutschen Lösung TrustedDisk, biete die vorliegende Analyse der Sicherheit von TrueCrypt eine wichtige Grundlage für die Bewertung des damit erreichbaren Schutzniveaus und mögliche Verbesserungen in Weiterentwicklungen.

Die kompletten Ergebnisse (PDF) können vom Server des BSI heruntergeladen werden.

Themenseiten: BSI, Fraunhofer, Security, Sicherheit, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Fraunhofer-Institut: TrueCrypt ist „nur in sehr seltenen Fällen angreifbar“

Kommentar hinzufügen
  • Am 20. November 2015 um 10:32 von Martin

    TrueCrypt wird seit Monaten nicht mehr weiterentwickelt. Ist eigentlich auf der Website ersichtlich. Der Nachtfolger ist VeraCrypt.

  • Am 20. November 2015 um 11:32 von aha

    fraunhofer als wichtige Institution der Militärforschung sagt das also im Auftrag des BSI, also Bundesinnenministeriums. Die Sicherheitslücken seien zwar generell problematisch, man soll das Produkt aber trotzdem zur Verschlüsselung von USB sticks und laptops verwenden, soso.

    • Am 22. November 2015 um 10:34 von Fcp33

      Naja. Sie können die Windows eigene verschlüsselung nutzen wenn Sie meinen das sicherer ist.

      Das TrueCrypt nicht 100% sicher ist, ist klar. Keine Software ist 100% sicher.
      Es geht nur darum, wenn man ein Stick oder Laptop verliert, nicht einfach die Dokumenten zugänglich sind.

  • Am 20. November 2015 um 18:48 von Rudolf K.

    Wer sich von so einem Bullshit beeinflussen läßt, hat ’s auch nicht besser verdient. Eigene gezielte Recherchen sind auf jeden Fall die bessere und sicherere Methode.
    mfg R.K.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *