BSI und Fraunhofer finden Truecrypt brauchbar

23.11.2015

Das Fraunhofer-Institut hat im Auftrag des BSI die Festplattenverschlüsselungssoftware Truecrypt analysiert.

Im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat das Fraunhofer-Institut die Festplattenverschlüsselungssoftware Truecrypt einer Sicherheitsanalyse unterzogen. Die Sicherheitsexperten kommen zu dem Ergebnis, dass TrueCrypt für die sichere Verschlüsselung von Datenträgern geeignet ist. 

Im Juni 2014 hatten die Entwickler von TrueCrypt angekündigt, die Software nicht weiterzuentwickeln und hinterließen vage Hinweise zu möglichen Sicherheitslücken. Da Teile von TrueCrypt auch im für Verschlusssachen bis zum Grad "VS - NUR FÜR DEN DIENSTGEBRAUCH" zugelassenen Produkt TrustedDisk enthalten sind, beauftragte das BSI das Fraunhofer-Institut für Sichere Informationstechnologie SIT mit der Durchführung der Sicherheitsanalyse. 

Seither gab es diverse Sicherheitsanalysen des verfügbaren TrueCrypt-Codes, zuletzt durch Sicherheitsexperten von Google, die Truecrypt einige schwere Sicherheitslücke attestierten. Das Fraunhofer-Institut relativiert diese Einschätzung dahingehend, dass die gefundenen Probleme zum einen potenziell bei jedem Kernel-Modul vorliegen und zum anderen nicht die Sicherheit der verschlüsselten Daten gefährden.

Vielen Anwendern sei offensichtlich nicht bewusst, dass TrueCrypt keine Sicherheit biete, wenn Angreifer wiederholt Zugang zu einem laufenden System mit TrueCrypt-Volumes haben. Dann können sie beispielsweise mit Keyloggern die Schlüssel mitschneiden. Sicher sei ein TrueCrypt-Volume nur, so die Fraunhofer-Analyse, wenn es nicht eingebunden ist und sich kein Schlüssel im RAM befindet.

Auch die vom Open Crypto Audit Project gefundenen Buffer Overflows seien tatsächlich nur theoretischer Natur, so die Fraunhofer-Studie. Mithilfe des KLEE-Tools, das auf der Basis des LLVM-Compilers eine statische Analyse des Codes durchführt, haben die Fraunhofer-Forscher nachgewiesen, dass die Buffer Overflows zur Laufzeit nicht auftreten können und sich somit auch nicht von Angreifern missbrauchen lassen.

Den kompletten Report bietet das BSI im PDF-Format zum Download an.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Android-Passwortmanager weitgehend unsicher

Sicherheitsexperten eines Fraunhofer-Instituts haben Android-Passwortmanager untersucht und sind zu einem ernüchternden Ergebnis gelangt.

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2018

Microsite