BSI und Fraunhofer finden Truecrypt brauchbar

23.11.2015

Das Fraunhofer-Institut hat im Auftrag des BSI die Festplattenverschlüsselungssoftware Truecrypt analysiert.

Im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat das Fraunhofer-Institut die Festplattenverschlüsselungssoftware Truecrypt einer Sicherheitsanalyse unterzogen. Die Sicherheitsexperten kommen zu dem Ergebnis, dass TrueCrypt für die sichere Verschlüsselung von Datenträgern geeignet ist. 

Im Juni 2014 hatten die Entwickler von TrueCrypt angekündigt, die Software nicht weiterzuentwickeln und hinterließen vage Hinweise zu möglichen Sicherheitslücken. Da Teile von TrueCrypt auch im für Verschlusssachen bis zum Grad "VS - NUR FÜR DEN DIENSTGEBRAUCH" zugelassenen Produkt TrustedDisk enthalten sind, beauftragte das BSI das Fraunhofer-Institut für Sichere Informationstechnologie SIT mit der Durchführung der Sicherheitsanalyse. 

Seither gab es diverse Sicherheitsanalysen des verfügbaren TrueCrypt-Codes, zuletzt durch Sicherheitsexperten von Google, die Truecrypt einige schwere Sicherheitslücke attestierten. Das Fraunhofer-Institut relativiert diese Einschätzung dahingehend, dass die gefundenen Probleme zum einen potenziell bei jedem Kernel-Modul vorliegen und zum anderen nicht die Sicherheit der verschlüsselten Daten gefährden.

Vielen Anwendern sei offensichtlich nicht bewusst, dass TrueCrypt keine Sicherheit biete, wenn Angreifer wiederholt Zugang zu einem laufenden System mit TrueCrypt-Volumes haben. Dann können sie beispielsweise mit Keyloggern die Schlüssel mitschneiden. Sicher sei ein TrueCrypt-Volume nur, so die Fraunhofer-Analyse, wenn es nicht eingebunden ist und sich kein Schlüssel im RAM befindet.

Auch die vom Open Crypto Audit Project gefundenen Buffer Overflows seien tatsächlich nur theoretischer Natur, so die Fraunhofer-Studie. Mithilfe des KLEE-Tools , das auf der Basis des LLVM-Compilers eine statische Analyse des Codes durchführt, haben die Fraunhofer-Forscher nachgewiesen, dass die Buffer Overflows zur Laufzeit nicht auftreten können und sich somit auch nicht von Angreifern missbrauchen lassen.

Den kompletten Report bietet das BSI im PDF-Format zum Download an.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

ADMIN-Tipp: Truecrypt-Alternativen

Mit dem überraschenden Ende von Truecrypt ist die Open-Source-Welt um eine Verschlüsselungslösung ärmer. Für Linux-User gibt es aber eine Vielzahl von Alternativen.

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023