BSI und Fraunhofer finden Truecrypt brauchbar
Das Fraunhofer-Institut hat im Auftrag des BSI die Festplattenverschlüsselungssoftware Truecrypt analysiert.
Im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat das Fraunhofer-Institut die Festplattenverschlüsselungssoftware Truecrypt einer Sicherheitsanalyse unterzogen. Die Sicherheitsexperten kommen zu dem Ergebnis, dass TrueCrypt für die sichere Verschlüsselung von Datenträgern geeignet ist.
Im Juni 2014 hatten die Entwickler von TrueCrypt angekündigt, die Software nicht weiterzuentwickeln und hinterließen vage Hinweise zu möglichen Sicherheitslücken. Da Teile von TrueCrypt auch im für Verschlusssachen bis zum Grad "VS - NUR FÜR DEN DIENSTGEBRAUCH" zugelassenen Produkt TrustedDisk enthalten sind, beauftragte das BSI das Fraunhofer-Institut für Sichere Informationstechnologie SIT mit der Durchführung der Sicherheitsanalyse.
Seither gab es diverse Sicherheitsanalysen des verfügbaren TrueCrypt-Codes, zuletzt durch Sicherheitsexperten von Google, die Truecrypt einige schwere Sicherheitslücke attestierten. Das Fraunhofer-Institut relativiert diese Einschätzung dahingehend, dass die gefundenen Probleme zum einen potenziell bei jedem Kernel-Modul vorliegen und zum anderen nicht die Sicherheit der verschlüsselten Daten gefährden.
Vielen Anwendern sei offensichtlich nicht bewusst, dass TrueCrypt keine Sicherheit biete, wenn Angreifer wiederholt Zugang zu einem laufenden System mit TrueCrypt-Volumes haben. Dann können sie beispielsweise mit Keyloggern die Schlüssel mitschneiden. Sicher sei ein TrueCrypt-Volume nur, so die Fraunhofer-Analyse, wenn es nicht eingebunden ist und sich kein Schlüssel im RAM befindet.
Auch die vom Open Crypto Audit Project gefundenen Buffer Overflows seien tatsächlich nur theoretischer Natur, so die Fraunhofer-Studie. Mithilfe des KLEE-Tools, das auf der Basis des LLVM-Compilers eine statische Analyse des Codes durchführt, haben die Fraunhofer-Forscher nachgewiesen, dass die Buffer Overflows zur Laufzeit nicht auftreten können und sich somit auch nicht von Angreifern missbrauchen lassen.
Den kompletten Report bietet das BSI im PDF-Format zum Download an.
Ähnliche Artikel
-
ADMIN-Tipp: Truecrypt-Alternativen
Mit dem überraschenden Ende von Truecrypt ist die Open-Source-Welt um eine Verschlüsselungslösung ärmer. Für Linux-User gibt es aber eine Vielzahl von Alternativen.
-
Android-Passwortmanager weitgehend unsicher
Sicherheitsexperten eines Fraunhofer-Instituts haben Android-Passwortmanager untersucht und sind zu einem ernüchternden Ergebnis gelangt.
-
Verschlüsselung mit VeraCrypt
-
Telekom startet "Volksverschlüsselung"
Zusammen mit dem Fraunhofer-Institut will die Telekom Privatnutzern die Verschlüsselung von E-Mails als Service anbieten.
-
Security-Audit: OpenVPN wird durchleuchtet
Die aktuelle Version von OpenVPN wird einem Code-Audit unterzogen.
ADMIN-Tipp: Truecrypt-Alternativen
Mit dem überraschenden Ende von Truecrypt ist die Open-Source-Welt um eine Verschlüsselungslösung ärmer. Für Linux-User gibt es aber eine Vielzahl von Alternativen.
Konfigurationsmanagement
Themen
