Risiken bei Verwendung des Dateisystems NTFS (Host) und der Funktion Defragmentieren

Teile oder Fragmente einer TrueCrypt-Container-Datei (file hosted Volume), die unter der Verwendung des Dateissystems NTFS (neigt sehr zum Fragmentieren) eingebunden wurde sowie generell beim Defragmentieren, können im freien Speicher des Host-Systems als Kopie verbleiben. Beispielsweise durch temporäre Dateiverschiebungen bei einer Defragmentierung. Das bedeutet zwar nicht, dass die Datei dadurch entschlüsselt wäre (TrueCrypt speichert nichts ausserhalb seines Containers auf dem Speichermedium) aber der Dateiheader wäre möglicherweise wieder herstellbar, was zu nachfolgender Gefahr führt:

Änderst du beispielsweise dein Container-Passwort, weil das alte nicht mehr geheim ist, könnte ein Angreifer mittels des wiederhergestellten alten Dateiheaders das Volumen, in Kenntnis des alten und verbrannten Passwort, öffnen.

Um dies zu vermeiden, sollte man folgendes beachten:

  • Um ganz sicher zu gehen bleibt nur die Verwendung eines device-hosted TrueCrypt-Volume (ganze Partition vollverschlüsselt) oder einer verschlüsselten Systempartition (ganze Partition vollverschlüsselt) anstatt eines TrueCrypt-Containers (file-hosted).

  • Als Alternative böte sich noch die Verwendung eines Containers innerhalb eines isolierten virtuellen Betriebssystems an, welches - nach Bearbeitung und Export des Containers - auf seinen Ursprungszustand zurückgesetzt wird (durch schlichtes Ersetzen der Virtual-Machine-Image-Datei). So sind jegliche Betriebssystemspuren (auch im Freispeicher der virtuellen Maschine) beseitigt.

  • Sicheres digital-forensisches Löschen von Freispeicher auf dem verwendeten NTFS-System. Vor allem nach Defragmentierung!. Am besten gar nicht erst Partitionen defragmentieren, in welchen sich verschlüsselte TrueCrypt-Volumes befinden (auch nicht in anderen Dateisystemen formatierte Partitionen) bzw. die Volumes vorher auf eine andere Partition verschieben.

  • Einen TrueCrypt-Container (wenn möglich) in einem sog. non-journaling Dateisystem speichern (z.B. FAT, FAT32); da solche nicht so sehr zum Fragmentieren neigen wie NTFS. Man kann eine FAT (32) Partition auch neben einer NTFS-formatierten Systempartition in das System einhängen, sofern man entsprechende Ressourcen hat.

  • Beim Betrieb von TrueCrypt auf einem fremden Rechner (z.B. über USB-Speicherstift, siehe Traveller Disk erstellen) sollte, neben anderen Gefahren, auch bei NTFS grösste Vorsicht geboten sein.