Tipps & Tricks: TrueCrypt 7.1a Inforamtionen

[Gelöschtes Mitglied 468]

TrueCrypt ohne Hintertüren

Die letzte Version 7.1a des Verschlüsselungsprogramms TrueCrypt ist sicher und kann bedenkenlos weiter genutzt werden. Zu diesem Ergebnis kam das Open Crypto Audit Project (OCAP) nach einer Analyse des Quellcodes. Das Projekt hat ein umfangreiches Audit durchgeführt und nun den abschließenden Bericht dazu veröffentlicht.

TrueCrypt war im Rahmen der Snowden-Enthüllungen ins Interesse der Forschergemeinde gerückt. Diese hatte Spenden gesammelt, um den Quellcode auf Hintertüren und Programmierfehler durchsuchen zu lassen. Das in diesem Zusammenhang geschaffene OCAP hatte zunächst Bootloader und Windows-Kerneltreiber des Programms untersucht und keine gravierenden Mängel entdeckt. Nun ist der zweite und letzte Teil des Audits abgeschlossen.

Die Forscher fanden zwar keine gravierenden Mängel im TrueCrypt-Quellcode, die gegen den Einsatz sprechen würden. Sie machten jedoch vier Schwächen aus, von denen sie eine als ernsthafter einstufen.
Dabei geht es um die Generierung von Zufallszahlen zur Schlüsselerzeugung in der Windows-Version. Unter sehr unwahrscheinlichen Umständen sei es möglich, dass das Windows-Crypto-API nicht sauber aufgerufen werde, ohne dass dies von TrueCrypt bemerkt werde. In diesen Fällen generiere TrueCrypt unsichere Schlüssel zur Festplattenverschlüsselung.

 

[st86xn]

Unter sehr unwahrscheinlichen Umständen sei es möglich, dass das Windows-Crypto-API nicht sauber aufgerufen werde, ohne dass dies von TrueCrypt bemerkt werde. In diesen Fällen generiere TrueCrypt unsichere Schlüssel zur Festplattenverschlüsselung.

Dann weißt du was mit dem nächsten Windows Update kommt.

 

[Gelöschtes Mitglied 468]

Dabei geht es um die Generierung von Zufallszahlen zur Schlüsselerzeugung in der Windows-Version. Unter sehr unwahrscheinlichen Umständen sei es möglich, dass das Windows-Crypto-API nicht sauber aufgerufen werde

Das Problem besteht auch, wenn man Zertifikate für die E-Mail Verschlüsselung erstellt.
Die sichere Generierung von Zufallszahlen ist unter Windows eine Glückssache.

 

[st86xn]

Welche Programme gibt es eigentlich für Linux, um die Systempartition zu verschlüsseln? Truecrypt und Verarcypt bietet so etwas nicht an.

 

[PP Frank]

Unter Linux nimmt man dm-crypt zum Verschlüsseln von Laufwerken oder auch Containern

 

[theoth]

Bei Linux gibt es den device-mapper, der z.B. ein disk device neu vermappt und vor Zugriff durch ein Programm laufen läßt und das Ergebnis als neues device anbietet. Dadurch kann man hierarchisch das disk-device erst durch dm-crypt (dm steht für device mapper) und anschließend z.B durch lvm (logical volume manager) und die resultierenden "volumes" erneut mit einem anderen Schlüssel durch dm-crypt laufen lassen usw. dadurch ist das ganze extrem flexibel und man kann quasi alles machen, z.B. zwei vercryptete Platten als RAID-1 zusammenfassen und anschließend erneut verschlüsseln. Das ganze ist Bestandteil des Betriebssystems und man braucht keine zusätzliche Software dafür.

 

[JackCarver]

Ich hab auf dem Server die System und Swappartition mittels LUKS verschlüsselt. Das ist ne Erweiterung zu dm-crypt und bietet einige interessante Möglichkeiten, zb die der Schlüsselableitung. Die root Partition wird dabei per Passwort eingebunden und entschlüsselt, eine weitere verschlüsselte Partition zb swap kann dann ohne erneute PW Eingabe eingebunden werden, da deren Schlüssel aus der root Partition abgeleitet wird.

 

[olec]

Kurze Frage zur Truecrypt-Festplattenverschlüsselung: Ich habe zwei Festplatten im PC (1. mit Windows usw. und 2. mit Daten, Programmen und Spielen). Muss ich dabei etwas beachten oder verschlüsselt TC beide ohne Probleme (auf einmal)?

 

[Zero]

Truecrypt verschlüsselt immer nur einzelne Partitionen bzw. bei Systemverschlüsselung wahlweise auch die gesamte Festplatte (nur unter Windows).
Willst du mehrere Festplatten verschlüsseln, geht das natürlich auch.
Du mußt nur jede entsprechend einzeln verschlüsseln, was mit Truecrypt aber kein Problem ist.

In deinem Fall bietet es sich wohl an, die 1. Platte (Windows) als Systemlaufwerk und die 2. Platte dann gesondert zu verschlüsseln, falls mehrere Partitionen vorhanden, jede für sich. Mittels "automount" kannst du diese dann bei Systemstart automatisch (Passphrase ist natürlich erforderlich) einbinden lassen.

So wäre dein Rechner voll verschlüsselt.

 

[Zero]

 

[olec]

Mittels "automount" kannst du diese dann bei Systemstart automatisch (Passphrase ist natürlich erforderlich) einbinden lassen.

Das wäre optimal! Danke für die Klarstellung, hat mir sehr geholfen.

Wie lange sollte ein Passwort mindestens sein?

 

[Zero]

Eine Mindestlänge für Pw wird niemand sicher definieren können.
Die Sicherheit der Verschlüsselung steht und fällt mit der Qualität des Passwortes, von daher kann dieses nicht lang genug sein. Allerdings muß es auch kurz genug sein, daß man es sich noch merken kann. Wenn ich mich recht erinnere, war die Paßwortlänge bei TrueCrypt auf 64 Stellen begrenzt. Also tob dich aus

 

[olec]

Ich würde gerne eins nehmen, das ich mir merken kann (trotzdem mit Zahlen und Sonderzeichen), und nicht aufschreiben muss bzw. außer in meinem Hirn irgendwo lagern muss. Denkst du 20 Stellen reichen und sind sicher?

 

[Gerd]

Bis ein Supercomputer mit Quantenprozessoren kommt, müsste es reichen.

 

[Zero]

Dem schließe ich mich an, 20 Zeichen unter Verwendung von Buchstaben, Zahlen und Sonderzeichen sollten ausreichen

 

[olec]

Hat soweit geklappt! Letztlich ist das PW jetzt sogar 30-stellig!

Ein Problem habe ich allerdings noch: Die zweite Festplatte (D heißt jetzt (E. Truecrypt meinte, ich sollte die Bezeichnung (D nur verwenden, wenn ich die Festplatteverschlüsselung wieder eentferne (dauerhaft). Einige der Programme auf (E können jetzt nicht mehr richtig ausgeführt werden. Gibt es einen Trick oder muss ich sie von Hand neu installieren?

Noch eine allgemeine Frage: Was wäre, wenn ich Truecrypt deinstalliere (oder das Programm beschädigt wird), hätte ich dann noch Zugriff auf meinen Rechner (würde die Passwortabfrage und Booten funktionieren?).

 

[olec]

Das "Problem" hat sich gelöst. Waren doch nur (Desktop-)Verknüpfungen betroffen!

Die Truecrypt-Frage hätte ich trotzdem gerne beantwortet.

 

[Loreas]

aber in truecrypt sind veraltete hashes implementiert. ist das kein Problem?

 

[Zero]

@olec für den Fall, daß du dir dein System zerschießt, hast du die "truecrypt rescue disc" erstellt. Die sollte in so einem Fall weiterhelfen. Ich nutze Truecrypt allerdings schon viele Jahre für die Verschlüsselung von Windows (XP, 2000, 7) und habe noch nie die rescuedisc testen müssen.

@Loreas ich habe noch von keinem Fall gehört, indem eine Verschlüsselung wirklich geknackt wurde. Einfallstor sind entweder vorhandene Sicherheitslücken (schlampige Programmierung, backdoors) oder unsichere Paßwörter (brute force, keyword lists). TrueCrypt wurde erst in den letzten Jahren einem "audit" unterzogen in dem keine wesentlichen Schwachstellen festgestellt werden konnten. Leider wurde die Weiterentwicklung von TrueCrypt eingestellt. Ein inoffizieller Nachfolger namens VeraCrypt, der auf TrueCrypt basiert, nutzt bereits neuere Verschlüsselungsalgorythmen, wurde aber noch keinem Test unterzogen.

 

[olec]

@Zero danke nochmal