TrueCrypt und die Sicherheit der verschlüsselten Daten ist ja ein abendfüllendes Thema. Im Artikel Warnung: TrueCrypt unsicher – Entwicklung eingestellt? hatte ich ja berichtet, dass die (unbekannten) Entwickler der Software die Pflege eingestellt und das Produkt als unsicher klassifiziert haben. Aber ein echter Zombie ist immer noch für eine Nachricht gut. TrueCrypt ist sicherer als gedacht, so das Fraunhofer-Institut.
Anzeige
Schön gestorben, dieses TrueCrypt
TrueCrypt ist ja die Verschlüsselung für Arme – sprich: In allen Windows Home-Versionen wird ja keine Bitlocker-Verschlüsselung unterstützt. Und wie im Artikel Warnung: TrueCrypt unsicher – Entwicklung eingestellt? berichtet, ist die Entwicklung eingestellt. Das Ganze ist recht mysteriös und bis heute sind wohl die Beweggründe der Entwickler nicht endgültig geklärt. Fakt ist: Die auf der TrueCrypt-Webseite erhältliche letzte Version 7.2 schränkt die Funktionen der Verschlüsselungssoftware drastisch ein.
Und doch nicht tot zu kriegen
So weit die schlechte Nachricht. Die gute Nachricht: Die letzte vollständige TrueCrypt-Ausgabe trägt die Versionsnummer 7.1a und lässt sich z.B. bei heise.de (oder hier) herunterladen. Der Nachfolger ist das auf TrueCrypt 7.1a aufsetzende VeraCrypt.
Und ist TrueCrypt sicher?
So, genug der Präliminarien. TrueCrypt 7.1a oder VeraCrypt ist erhältlich und lässt sich zur Verschlüsselung persönlicher Daten verwenden. Aber wie sieht es nun mit der Sicherheit der Software aus? Die Entwickler haben ja mit dem Verweis auf die fehlende Sicherheit die Pflege des Tools eingestellt. Auf dieser Webseite gibt es seit längerem den Hinweis, dass es weiterhin sicher sei, TrueCrypt zu nutzen.
Jetzt kommen neue Informationen hinzu. Bei arstechnica.com gibt es diesen Artikel, der auf einen beim BSI herunterladbaren englischsprachigen Prüfbericht (PDF), oder in Deutsch, des Fraunhofer-Instituts bezieht. Das Fraunhofer-Institut hat sich TrueCrypt 7.1a im Hinblick auf die Sicherheit vorgenommen.
Anzeige
Zusammengefasst: Von Google wurden zwar kürzlich Sicherheitslücken aufgedeckt – aber wenn diese gefixt werden, ist TrueCrypt 7.1a sicherer als gedacht. Bisher konnten die Fraunhofer-Analysten keinen Ansatz finden, um die in Containern abgelegten verschlüsselten Daten zu entschlüsseln. Fazit des Berichts:
Zusammenfassend möchten wir betonen, dass die hier aufgeführten Qualitätsprobleme des Quelltextes nicht unmittelbar auf Schwachstellen oder gar Sicherheitslücken in TrueCrypt hinweisen. Sie rechtfertigen es aber, die Zuverlässigkeit von TrueCrypt etwas in Frage zu stellen. Insbesondere die hohe Komplexität des Codes bei gleichzeitig fehlenden umfassenden Testfällen lässt erwarten, dass Wartungsaufwand und -kosten sehr hoch sind. Da das Projekt nicht mehr von den ursprünglichen Entwicklern weiter gepflegt wird, muss dieser Wartungsaufwand von einzelnen Anwendern oder einer größeren Community übernommen werden.
Bei Interesse, einfach den Bericht lesen – die BSI-Pressemitteilung findet sich hier. Ein etwas ausführlicherer deutschsprachiger Artikel könnt ihr hier abrufen. Es gibt sie also noch, die halbwegs guten Nachrichten.
Ähnliche Artikel:
Warnung: TrueCrypt unsicher – Entwicklung eingestellt?
Crowdfunding ermöglicht TrueCrypt Sicherheitsaudit
TrueCrypt-Sicherheitslücken in VeraCrypt geschlossen
TrueCrypt-Alternativen gesucht
TrueCrypt-Nachfolger: Lizenzumstellung abgelehnt
Gibt's doch noch Hoffnung für TrueCrypt?
Windows 8.1-Upgrade: Vorsicht bei TrueCrypt
Anzeige
Warum Zombie, mit VeraCrypt kann man Container ohne Probleme zwischen Windows und Linux hin- und herschieben und verwenden. Ich würde damit keine Systempartition verschlüsseln, aber einen Container für die privaten Daten …
Seitdem letztes Jahr jemand versucht hat, in meine Wohnung einzubrechen, möchte ich meine persönlichen Daten auf keinen Fall unververschlüsselt auf dem PC liegen haben. (Von einem Notebook ganz abgesehen.) Müssen nicht immer gleich die bösen Geheimdienste sein, die Wahrscheinlichkeit einen Einbruch zu erleben, ist sehr viel höher.
Bei Bitlocker ist man so ganz auf Windows festgelegt, was mit Windows 10 und dem Updatewahnsinn keine so gute Idee erscheint. Bleibt noch BestCrypt von Jetico, aber da ist die Linux-Umsetzung nicht so prickelnd.
Zombie, weil die Entwickler von TrueCrypt dessen Pflege eingestellt haben. Eigentlich müsste das Produkt damit tot sein – aber es ist nicht tot zu kriegen. Untote ist doch ein anderer Name für Zombies, oder irre ich mich?
Ja, das war schon klar :-)) Aber mit VeraCrypt ist doch ein würdiger Nachfolger vorhanden, der auch schon ein paar Lücken gestopft hat …
Und selbst das originale TrueCrypt ist doch noch ok, wenn man es nur zur Container-Erstellung nimmt und nicht ganze Partitionen verschlüsselt.
Macht jedenfalls seine Arbeit immer noch besser als so manche gepflegte Software, wie zum Beispiel dieser Microsoft Store, der andauernd Probleme bereitet ;-)
Die Untersuchung des Frauenhofer-Instituts bestätigt, was (so weit ich die Sachlage bei TrueCrypt überblicke) ohnehin bekannt war: Die Sicherheit geschlossener TrueCrypt-Datencontainer stand bislang nicht in Frage. Angreifbar ist die TrueCrypt-Verschlüsselung, wenn die Datencontainer geöffnet werden und gemountet sind. Wenn ich mich richtig erinnere, beziehen sich auf diese Schwachstelle explizit auch die von Google publizierten Sicherheitslücken. Bei VeraCrypt, das ein Ableger von TrueCrypt ist, sind die Sicherheitslücken zügig geschlossen worden. Bei TrueCrypt werden die Sicherheitslücken aus den bekannten Gründen nicht geschlossen werden. Auf längere Sicht wird man sich deshalb wohl von TrueCrypt verabschieden müssen. Dass TrueCrypt ein Jahr nach Entwicklungsende immer noch ein (großes) Thema ist, zeigt aber auch, wie wichtig diese Verschlüsselungstool ist.
TrueCrypt ist nach wie vor beliebt. Aber nach dem Entwicklungsende des Verschlüsselungstools naht die Zeit, wo der Einsatz von TrueCrypt wegen fehlender Patches obsolet werden wird.
Golem.de hat ein Gespräch mit dem Entwickler Mounir Idrassi gebracht, der über die Weiterentwicklung des TrueCrypt-Ablegers VeraCrypt berichtet. Wen's interessiert, hier findet ihr das Interview: http://www.golem.de/news/verschluesselung-nach-truecrypt-kommt-veracrypt-1601-118592.html