19.11.2015 15:51 Uhr in IT/Hightech

TrueCrypt ist sicherer als gedacht

Fraunhofer-Experten analysieren die verbreitete Verschlüsselungssoftware und stufen diese als relativ sicher ein


(Mynewsdesk) Das Fraunhofer-Institut für Sichere Informationstechnologie SIT hat die Verschlüsselungssoftware TrueCrypt auf Sicherheitslücken hin analysiert – das Ergebnis: Die kryptografischen Funktionen sind nur in sehr seltenen Fällen angreifbar. Eine Sicherheitslücke, die Ende September gefunden wurde, ist nach Ansicht der Experten des Fraunhofer SIT zwar generell problematisch, hat jedoch für die Sicherheit von TrueCrypt selbst keine Relevanz. Die vollständigen Ergebnisse der Sicherheitsstudie, die das Fraunhofer SIT im Auftrag des Bundesamts für Sicherheit in der Informationstechnik BSI erstellt hat, sind in einem Bericht zusammengefasst, der auf der Webseite des BSI zum Download zur Verfügung gestellt wird: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Truecrypt/Truecrypt.pdf?__blob=publicationFile&v=2

Die quelloffene Verschlüsselungslösung TrueCrypt ist im Juni 2014 von ihren Entwicklern aufgegeben worden, den zahlreichen Nutzern der Lösung hinterließen die anonymen Projektväter lediglich einen Hinweis zu möglichen Sicherheitslücken. Experten des Fraunhofer-Instituts für Sichere Informationstechnologie SIT haben TrueCrypt im Auftrag des BSI auf Sicherheitslücken und Fehler in der Programmierung hin untersucht. Dabei hat das Fraunhofer Team unter der Leitung von Prof. Dr. Eric Bodden auch die Ergebnisse vorheriger Sicherheitsanalysen berücksichtigt und überprüft. Die Experten sind zu dem Schluss gekommen, dass TrueCrypt sicherer ist, als es vorherige Einschätzungen vermuten lassen.
Googles Project Zero hatte Ende September zwei bislang unbekannte Lücken in TrueCrypt entdeckt und eine davon als kritisch eingestuft. Die Lücke ermöglicht es einem Angreifer, der über Schadcode bereits Zugriff auf den laufenden Computer hat, erweiterte Systemrechte zu erlangen. Prof. Dr. Michael Waidner, Institutsleiter des Fraunhofer SIT, sagt hierzu: „Die gefundene Schwachstelle sollte zwar behoben werden, vereinfacht einem Angreifer aber nicht den Zugriff auf verschlüsselte Daten“. Um die Schwachstelle ausnutzen zu können, müsste der Angreifer ohnehin bereits weitreichenden Zugriff auf den Rechner haben, beispielsweise über einen Trojaner. „TrueCrypt ist schon prinzipbedingt nicht dazu geeignet, Angreifern den Zugriff auf verschlüsselte Daten zu verwehren, wenn der Angreifer mehrfach auf das System zugreifen kann“, erklärt Michael Waidner, „leider wird das oft missverstanden“.

Nach Ansicht der Fraunhofer-Experten bietet TrueCrypt vor allem dann einen guten Schutz, um Daten offline auf verschlüsselten Laufwerken zu lagern. „Das trifft beispielsweise auf ein Backup zu, das auf einer Festplatte verwahrt wird, oder auf einen USB-Stick, auf dem verschlüsselte Daten etwa über einen Boten versendet werden. TrueCrypt schützt verschlüsselte Daten aber auch auf abgeschalteten Laptops, wenn diese gestohlen werden“, so Waidner. „Das, was TrueCrypt leisten soll, macht es relativ gut“, fasst der Experte zusammen, „im laufenden Betrieb kann es jedoch Daten nicht wirklich schützen“.

„Gerade in mobilen Szenarien, also beim Einsatz von Laptops oder USB-Speichermedien, leistet die Verschlüsselung von Festplatten oder Containern einen unverzichtbaren Beitrag zum Schutz kritischer Daten“, ergänzt Thomas Caspers, Fachbereichsleiter Evaluierung und Betrieb von Kryptosystemen im BSI. „Aufgrund der hohen Verbreitung von TrueCrypt und der zahlreichen darauf aufbauenden Produkte, so etwa der deutschen Lösung TrustedDisk, bietet die vorliegende Analyse der Sicherheit von TrueCrypt eine wichtige Grundlage für die Bewertung des damit erreichbaren Schutzniveaus und mögliche Verbesserungen in Weiterentwicklungen“, resümiert Caspers.

Die Ergebnisse der TrueCrypt-Analyse stehen als Download zur Verfügung unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Truecrypt/Truecrypt.pdf?__blob=publicationFile&v=2

Über das Fraunhofer SIT

Die Informationstechnologie hat bereits weite Teile unseres Alltags durchdrungen: Ob Auto, Telefon oder Heizung – ohne IT-Einsatz sind die meisten Geräte und Anlagen heute nicht mehr denkbar. Insbesondere Unternehmen nutzen ­­­IT-Systeme zur effektiven Gestaltung ihrer Arbeitsprozesse. Das Fraunhofer-Institut für Sichere Informationstechnologie beschäftigt sich mit dem Schutz dieser Systeme vor Ausfällen, Angriffen und Manipu­lationen.

Das Fraunhofer-Institut SIT ist Teil des größten Cybersicherheitsforschungszentrums Deutschlands in Darmstadt und zählt auch weltweit auf vielen Gebieten zu den führenden Forschungseinrichtungen zur Cybersicherheit weltweit.

<h1>TrueCrypt ist sicherer als gedacht</h1><h2>Fraunhofer-Experten analysieren die verbreitete Verschlüsselungssoftware und stufen diese als relativ sicher ein</h2><br/>
 
Weitere Pressemitteilungen von Fraunhofer-Institut für sichere Infomationstechnologie (SIT) Pressemappe zur Pressemappe
 
Illegale Shops auf seriösen Seiten (Pressemitteilung)

Illegale Shops auf seriösen Seiten

Angebote für rezeptfreie Potenzpillen oder gefälschte Medikamente finden sich im Internet nicht nur auf Schmuddel-Domains. Um illegale Medikamentenangebote bei Suchmaschinen besser zu platzieren, verstecken Hacker entsprechende Onlineshops oft in seriösen Webangeboten. IT-Forensik-Experten des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt haben dies ...

 
Analysewerkzeug für Android-Apps (Pressemitteilung)

Analysewerkzeug für Android-Apps

Das Fraunhofer-Institut für Sichere Informationstechnologie SIT zeigt auf der CeBIT mit CodeInspect ein neues Werkzeug zur Analyse von Android-Apps. Mit der Software können Unternehmen Schwachstellen und Malware im kompilierten Programmcode besonders schnell aufspüren. Bibliotheksentwickler haben mit CodeInspect die Möglichkeit, ihre Bibliothek zu analysieren und ...

 
Anmeldestart für Volksverschlüsselung (Pressemitteilung)

Anmeldestart für Volksverschlüsselung

Das Fraunhofer-Institut für Sichere Informationstechnologie SIT startet auf der CeBIT die Registrierung für die Volksverschlüsselung. Am Fraunhofer-Stand in Halle 6 (B36) können CeBIT-Besucher sich die kryptografischen Schlüssel für den Dienst sichern, den das Institut gemeinsam mit der Deutschen Telekom ab Jahresmitte für Privatanwender kostenlos anbieten wird. ...