BSI und Fraunhofer finden Truecrypt brauchbar

23.11.2015

Das Fraunhofer-Institut hat im Auftrag des BSI die Festplattenverschlüsselungssoftware Truecrypt analysiert.

Im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat das Fraunhofer-Institut die Festplattenverschlüsselungssoftware Truecrypt einer Sicherheitsanalyse unterzogen. Die Sicherheitsexperten kommen zu dem Ergebnis, dass TrueCrypt für die sichere Verschlüsselung von Datenträgern geeignet ist. 

Im Juni 2014 hatten die Entwickler von TrueCrypt angekündigt, die Software nicht weiterzuentwickeln und hinterließen vage Hinweise zu möglichen Sicherheitslücken. Da Teile von TrueCrypt auch im für Verschlusssachen bis zum Grad "VS - NUR FÜR DEN DIENSTGEBRAUCH" zugelassenen Produkt TrustedDisk enthalten sind, beauftragte das BSI das Fraunhofer-Institut für Sichere Informationstechnologie SIT mit der Durchführung der Sicherheitsanalyse. 

Seither gab es diverse Sicherheitsanalysen des verfügbaren TrueCrypt-Codes, zuletzt durch Sicherheitsexperten von Google, die Truecrypt einige schwere Sicherheitslücke attestierten. Das Fraunhofer-Institut relativiert diese Einschätzung dahingehend, dass die gefundenen Probleme zum einen potenziell bei jedem Kernel-Modul vorliegen und zum anderen nicht die Sicherheit der verschlüsselten Daten gefährden.

Vielen Anwendern sei offensichtlich nicht bewusst, dass TrueCrypt keine Sicherheit biete, wenn Angreifer wiederholt Zugang zu einem laufenden System mit TrueCrypt-Volumes haben. Dann können sie beispielsweise mit Keyloggern die Schlüssel mitschneiden. Sicher sei ein TrueCrypt-Volume nur, so die Fraunhofer-Analyse, wenn es nicht eingebunden ist und sich kein Schlüssel im RAM befindet.

Auch die vom Open Crypto Audit Project gefundenen Buffer Overflows seien tatsächlich nur theoretischer Natur, so die Fraunhofer-Studie. Mithilfe des KLEE-Tools, das auf der Basis des LLVM-Compilers eine statische Analyse des Codes durchführt, haben die Fraunhofer-Forscher nachgewiesen, dass die Buffer Overflows zur Laufzeit nicht auftreten können und sich somit auch nicht von Angreifern missbrauchen lassen.

Den kompletten Report bietet das BSI im PDF-Format zum Download an.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Android-Passwortmanager weitgehend unsicher

Sicherheitsexperten eines Fraunhofer-Instituts haben Android-Passwortmanager untersucht und sind zu einem ernüchternden Ergebnis gelangt.

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite