idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
idw - Informationsdienst
Wissenschaft
Das Fraunhofer-Institut für Sichere Informationstechnologie SIT hat die Verschlüsselungssoftware TrueCrypt auf Sicherheitslücken hin analysiert – das Ergebnis: Die kryptografischen Funktionen sind nur in sehr seltenen Fällen angreifbar.
Das Fraunhofer-Institut für Sichere Informationstechnologie SIT hat die Verschlüsselungssoftware TrueCrypt auf Sicherheitslücken hin analysiert – das Ergebnis: Die kryptografischen Funktionen sind nur in sehr seltenen Fällen angreifbar. Eine Sicherheitslücke, die Ende September gefunden wurde, ist nach Ansicht der Experten des Fraunhofer SIT zwar generell problematisch, hat jedoch für die Sicherheit von TrueCrypt selbst keine Relevanz. Die vollständigen Ergebnisse der Sicherheitsstudie, die das Fraunhofer SIT im Auftrag des Bundesamts für Sicherheit in der Informationstechnik BSI erstellt hat, sind in einem Bericht zusammengefasst, der auf der Webseite des BSI zum Download zur Verfügung gestellt wird: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Truecr...
Die quelloffene Verschlüsselungslösung TrueCrypt ist im Juni 2014 von ihren Entwicklern aufgegeben worden, den zahlreichen Nutzern der Lösung hinterließen die anonymen Projektväter lediglich einen Hinweis zu möglichen Sicherheitslücken. Experten des Fraunhofer-Instituts für Sichere Informationstechnologie SIT haben TrueCrypt im Auftrag des BSI auf Sicherheitslücken und Fehler in der Programmierung hin untersucht. Dabei hat das Fraunhofer Team unter der Leitung von Prof. Dr. Eric Bodden auch die Ergebnisse vorheriger Sicherheitsanalysen berücksichtigt und überprüft. Die Experten sind zu dem Schluss gekommen, dass TrueCrypt sicherer ist, als es vorherige Einschätzungen vermuten lassen.
Googles Project Zero hatte Ende September zwei bislang unbekannte Lücken in TrueCrypt entdeckt und eine davon als kritisch eingestuft. Die Lücke ermöglicht es einem Angreifer, der über Schadcode bereits Zugriff auf den laufenden Computer hat, erweiterte Systemrechte zu erlangen. Prof. Dr. Michael Waidner, Institutsleiter des Fraunhofer SIT, sagt hierzu: „Die gefundene Schwachstelle sollte zwar behoben werden, vereinfacht einem Angreifer aber nicht den Zugriff auf verschlüsselte Daten“. Um die Schwachstelle ausnutzen zu können, müsste der Angreifer ohnehin bereits weitreichenden Zugriff auf den Rechner haben, beispielsweise über einen Trojaner. „TrueCrypt ist schon prinzipbedingt nicht dazu geeignet, Angreifern den Zugriff auf verschlüsselte Daten zu verwehren, wenn der Angreifer mehrfach auf das System zugreifen kann“, erklärt Michael Waidner, „leider wird das oft missverstanden“.
Nach Ansicht der Fraunhofer-Experten bietet TrueCrypt vor allem dann einen guten Schutz, um Daten offline auf verschlüsselten Laufwerken zu lagern. „Das trifft beispielsweise auf ein Backup zu, das auf einer Festplatte verwahrt wird, oder auf einen USB-Stick, auf dem verschlüsselte Daten etwa über einen Boten versendet werden. TrueCrypt schützt verschlüsselte Daten aber auch auf abgeschalteten Laptops, wenn diese gestohlen werden“, so Waidner. „Das, was TrueCrypt leisten soll, macht es relativ gut“, fasst der Experte zusammen, „im laufenden Betrieb kann es jedoch Daten nicht wirklich schützen“.
„Gerade in mobilen Szenarien, also beim Einsatz von Laptops oder USB-Speichermedien, leistet die Verschlüsselung von Festplatten oder Containern einen unverzichtbaren Beitrag zum Schutz kritischer Daten“, ergänzt Thomas Caspers, Fachbereichsleiter Evaluierung und Betrieb von Kryptosystemen im BSI. „Aufgrund der hohen Verbreitung von TrueCrypt und der zahlreichen darauf aufbauenden Produkte, so etwa der deutschen Lösung TrustedDisk, bietet die vorliegende Analyse der Sicherheit von TrueCrypt eine wichtige Grundlage für die Bewertung des damit erreichbaren Schutzniveaus und mögliche Verbesserungen in Weiterentwicklungen“, resümiert Caspers.
Die Ergebnisse der TrueCrypt-Analyse stehen als Download zur Verfügung unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Truecr...
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Truecr...
Criteria of this press release:
Journalists
Information technology
transregional, national
Research results, Transfer of Science or Research
German
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).
