© Liashko/Shutterstock.com
Entwickler Magazin
Wie sicher sind verschlüsselte Festplatten?

Festplattenverschlüsselung im Visier

„Schlimmer geht immer“ trifft in der IT-Sicherheit ja leider sehr oft zu - so auch in diesem Artikel. An welche Festplattenverschlüsselung haben Sie gedacht, als Sie den Titel gelesen haben? An die Festplattenverschlüsselung im Rechner oder an externe, selbstverschlüsselnde Festplatten? Leider geht es um beide.

Carsten Eilers


Eigentlich könnte es auch noch um die Geräteverschlüsselung von Android und iOS gehen, aber das würde den Rahmen bei Weitem sprengen. Deshalb fangen wir mit der Festplattenverschlüsselung im Rechner an. Los geht es erst einmal mit guten Nachrichten.

TrueCrypt weitgehend sicher …

Auch wenn TrueCrypt schon seit einiger Zeit nicht mehr weiterentwickelt wird, ist es doch beruhigend zu wissen, dass es größtenteils sicher ist. Zu diesem Schluss kamen im April 2015 die Forscher des Open Crypto Audit Project (OCAP), die TrueCrypt auf seine Sicherheit untersucht haben [1].

Nachdem die TrueCrypt-Entwickler aus unbekannten Gründen das Interesse an der Weiterentwicklung verloren hatten und sogar vor ihrem eigenen Programm warnten, da es angeblich nicht sicher sei [2], gab es begründete Zweifel an dessen Sicherheit. Diese konnten vom OCAP weitgehend ausgeräumt werden.

In der ersten Phase des Audits wurden der Quellcode und die Binärdateien des Bootloaders und des Windows-Kerneltreibers untersucht und dabei weder eine vorsätzlich eingebaute Hintertür noch absichtliche Fehler gefunden [3]. Es wurden zwar insgesamt elf Schwachstellen entdeckt, aber keine davon war kritisch. Außerdem bemängelten die Forscher die Codequalität.

In der zweiten Phase des Audits wurde bis Anfang April 2015 der Sourcecode der Kryptofunktionen sowie die zugehörigen Teile der Binärdateien untersucht. Das Ergebnis [4]: Es wurden wieder keine Hintertüren entdeckt. Jedoch wurden vier weitere Schwachstellen gefunden, von denen eine als ernsthaft eingestuft wurde: In einem sehr unwahrscheinlichen Fall ist es möglich, dass unsichere Schlüssel für die Festplattenverschlüsselung erzeugt werden.

Keine dieser Schwachstellen spricht gegen die Nutzung von TrueCrypt – aus Sicherheitssicht könnte es also weiter verwendet werden. Auch das Fraunhofer-Institut für Sichere Informationstechnologie (SIT), das True­Crypt 2015 im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) untersucht hat, kam zum gleichen Ergebnis [5]. Die Forscher haben zwar eine verbesserungswürdige Implementierung für den Zufallszahlengenerator unter Linux entdeckt, ansonsten wurden die Ergebnisse des OCAP-Audits aber bestätigt.

… aber nicht mehr allzu lange

Mangels Support ist die Nutzung von TrueCrypt aber keine dauerhafte Lösung. Sollte eine Schwachstelle gefunden werden, wird sie nicht mehr behoben. Dies führt im schlimmsten Fall dazu, dass TrueCrypt-Nutzer auf die Schnelle entweder einen Ersatz benötigen oder auf die Festp...

Entwickler Magazin
Wie sicher sind verschlüsselte Festplatten?

Festplattenverschlüsselung im Visier

„Schlimmer geht immer“ trifft in der IT-Sicherheit ja leider sehr oft zu - so auch in diesem Artikel. An welche Festplattenverschlüsselung haben Sie gedacht, als Sie den Titel gelesen haben? An die Festplattenverschlüsselung im Rechner oder an externe, selbstverschlüsselnde Festplatten? Leider geht es um beide.

Carsten Eilers


Eigentlich könnte es auch noch um die Geräteverschlüsselung von Android und iOS gehen, aber das würde den Rahmen bei Weitem sprengen. Deshalb fangen wir mit der Festplattenverschlüsselung im Rechner an. Los geht es erst einmal mit guten Nachrichten.

TrueCrypt weitgehend sicher …

Auch wenn TrueCrypt schon seit einiger Zeit nicht mehr weiterentwickelt wird, ist es doch beruhigend zu wissen, dass es größtenteils sicher ist. Zu diesem Schluss kamen im April 2015 die Forscher des Open Crypto Audit Project (OCAP), die TrueCrypt auf seine Sicherheit untersucht haben [1].

Nachdem die TrueCrypt-Entwickler aus unbekannten Gründen das Interesse an der Weiterentwicklung verloren hatten und sogar vor ihrem eigenen Programm warnten, da es angeblich nicht sicher sei [2], gab es begründete Zweifel an dessen Sicherheit. Diese konnten vom OCAP weitgehend ausgeräumt werden.

In der ersten Phase des Audits wurden der Quellcode und die Binärdateien des Bootloaders und des Windows-Kerneltreibers untersucht und dabei weder eine vorsätzlich eingebaute Hintertür noch absichtliche Fehler gefunden [3]. Es wurden zwar insgesamt elf Schwachstellen entdeckt, aber keine davon war kritisch. Außerdem bemängelten die Forscher die Codequalität.

In der zweiten Phase des Audits wurde bis Anfang April 2015 der Sourcecode der Kryptofunktionen sowie die zugehörigen Teile der Binärdateien untersucht. Das Ergebnis [4]: Es wurden wieder keine Hintertüren entdeckt. Jedoch wurden vier weitere Schwachstellen gefunden, von denen eine als ernsthaft eingestuft wurde: In einem sehr unwahrscheinlichen Fall ist es möglich, dass unsichere Schlüssel für die Festplattenverschlüsselung erzeugt werden.

Keine dieser Schwachstellen spricht gegen die Nutzung von TrueCrypt – aus Sicherheitssicht könnte es also weiter verwendet werden. Auch das Fraunhofer-Institut für Sichere Informationstechnologie (SIT), das True­Crypt 2015 im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) untersucht hat, kam zum gleichen Ergebnis [5]. Die Forscher haben zwar eine verbesserungswürdige Implementierung für den Zufallszahlengenerator unter Linux entdeckt, ansonsten wurden die Ergebnisse des OCAP-Audits aber bestätigt.

… aber nicht mehr allzu lange

Mangels Support ist die Nutzung von TrueCrypt aber keine dauerhafte Lösung. Sollte eine Schwachstelle gefunden werden, wird sie nicht mehr behoben. Dies führt im schlimmsten Fall dazu, dass TrueCrypt-Nutzer auf die Schnelle entweder einen Ersatz benötigen oder auf die Festp...

Neugierig geworden?


   
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang