SfN | Hauptseite

Sicherheitslücken in TrueCrypt 7.1a

Anfang April 2015 erschien das Ergebnis eines Audits der Software (Truecrypt Version 7.1a Download) durch die Experten des Open Open Crypto Audit Project (OCAP) (Die Version 7.2 gilt als ungeeignet). Die Bewertung ergab, dass die wenigen Sicherheitslücken in dieser Version unerheblich genug sind und TrueCrypt “weiterhin bedenkenlos genutzt werden kann“. Christoph Sorge, Professor für Rechtsinformatik an der Universität des Saarlandes, teilt diese Bewertung. Drei relevante Sicherheitslücken wurden in der Version 7.1a erkannt:

  1. Scheiternde Schlüsselerzeugung bei besonderen Windows-KonfigurationenWenn TrueCrypt einen Schlüssel erzeugt kann es vorkommen, dass die Windows-Zufallsgeneratorfunktion fehlschlägt. Stattdessen werden alternative (schwächere) Zufallsquellen verwendet. Das geschieht durch eine falsche Prüfung durch TrueCrypt. Laut den Auditoren wurde diese verheerende Sicherheitslücke bisher aber nur bei Windows XP und unter Verwendung von mandatory profiles beobachtet. Das sind Nutzerprofile, die vom Administrator angelegt, vom Nutzer aber nicht geändert werden können.

    Fazit: Nutzer von Windows 7 oder höher und/oder Nutzer ohne mandatory profiles sind von diesem Fehler nicht betroffen.

  2. Seitenkanalattacken sind möglichDes Weiteren ist TrueCrypt (ebenso wie Bitlocker) verwundbar für sogenannte Seitenkanalattacken. Der Angreifer misst dabei am Prozessor die Zeiten, die das Verschlüsselungsprogramm für die Ver- und Endschlüsselung von Daten benötigt und kann damit Rückschlüsse auf den generierten Schlüssel ziehen.

    Um das auszulesen, muss ein Angreifer auf dem Rechner des Opfers ein Programm ausführen, das diese Zeiten misst. Dies kann aber nur geschehen, wenn gerade eine Ver-/Entschlüsselung läuft. Ob man sich ein solches Programm online als Malware einfangen kann, ist nicht auszuschließen, wurde aber bislang noch nicht beobachtet. Darüber hinaus funktioniert dies nicht, wenn die Hardware-Beschleunigung bei der Schlüsselgenerierung verwendet wird – und das empfiehlt sich ohnehin.

    Fazit: Eine für sehr erfahrene Kryptologen ausnutzbare Sicherheitslücke, die mit richtiger Handhabung durch den Benutzer nicht ins Gewicht fällt. Gehen Sie daher sicher, dass bei der Schlüsselgenerierung die Hardware-Beschleunigung aktiviert ist!

  3. Sicherheitslücke bei der Verwendung von KeyfileBei TrueCrypt kann man zur Entschlüsselung statt normaler Textschlüssel sogenannte Keyfiles heranziehen. Die ersten 1.024 KByte der Datei gelten hierbei als Schlüssel. Keyfiles sind nützlich, um sich vor Keylogger-Malware zu schützen, die die Tastatureingaben am PC mitliest.

    “Das Verfahren zur Erzeugung von Keyfiles ist bei Truecrypt leider ziemlich unglücklich gewählt”, erklärt Sicherheitsexperte Sorge. Kann ein Angreifer Keyfiles lesen und auf mindestens eines der Keyfiles schreiben, so Verschlüsselungkönne dieser die anderen Keyfiles aushebeln. In diesem Fall hätte der Angreifer Einfluss auf die Schlüsselgenerierung. Allerdings müsste er erst einmal herausfinden, wo sich die Keyfiles befinden und sich dann Zugriff darauf verschaffen.

    Fazit: Diese Sicherheitslücke ist nur dann gefährlich, wenn der Angreifer übermäßig großen Aufwand betreibt, den PC zu hacken, noch bevor überhaupt verschlüsselt wurde. Diese Sicherheitslücke kann man aber vollständig umschiffen, indem man statt Keyfiles ein starkes Passwort generiert.

Die Qual der Wahl

Somit schließen wir uns der Einschätzung des OCAP an:

Derzeit gilt TrueCrypt 7.1a als weiterhin sicher, denn die Sicherheitslücken sind bei richtiger Benutzung irrelevant.

TrueCrypt nutzt unter anderem mehrere CPU-Kerne, um möglichst wenig Ressourcen zu verbrauchen zur Beschleunigung der Vorgänge. Die vorhandenen Sicherheitslücken werden aber weiter Bestand haben.

Es ist absolut legitim trotzdem VeraCrypt benutzen zu wollen. Aus diesem Grund stellen wir auch die VeraCrypt Leitfäden zur Verfügung.

Kommentar hinzufügen

Bist du mit dem Tor-Netzwerk verbunden?
Nein - Du benutzt kein Tor

Der Artikel wurde das letzte mal aktualisiert vor:

Kategorien