Experten weisen auf TrueCrypt-Schwachstellen hin

Datenschutz Mehrere Sicherheitsexperten, darunter Bruce Schneier, haben auf Schwachstellen der Verschlüsselungs-Software TrueCrypt hingewiesen. Probleme gibt es vor allem beim Einsatz von versteckten Containern, heißt es in einem Bericht. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Bruce Schneier, steht da als müsste ihn jeder kennen. Ich oute mich mal, wer ist das? =)
 
@.omega.: ein Sicherheitsexperte *SCNR* :)

nein im ernst http://de.wikipedia.org/wiki/Bruce_Schneier
 
@.omega.: Bist nicht alleine. :)
 
@.omega.: schneier.com "Bruce Schneier is an internationally renowned security technologist and author. Described by The Economist as a "security guru," he is best known as a refreshingly candid and lucid security critic and commentator. When people want to know how security really works, they turn to Schneier. [....] Schneier is the Chief Security Technology Officer of BT (bt.com)" Kann mich aber nur anschließen... wer kennt ihn nicht, den guten alten Schneier... ^^
 
@Syla: Nach der Vorlage musste diese Antwort ja kommen :) Danke für den Link.
 
@.omega.: Twofish und Blowfish. Sollte jedem bekannt sein der sich für Kryptographie interessiert. Wobei ich sagen muss den Entwickler von meiner Lieblingsverschlüsselung (Serpent) kenn ich auch ned *fg*
 
und wo ist das problem?sag ich halt das war ne festplatte vom kumpel oder so ham wir früher öfters gemacht ma die platte mitgenommen.und google nutzt auch nicht jeder genauso word und den verlauf kann man immer löschen ... find ich also nicht schlimm
 
@xerex.exe: nein schlimm ist es sicherlich nicht aber das versprechen komplett unsichtbar zu sein erfüllt es ja damit nicht
 
@xerex.exe: naja is halt ne lücke auch wenns n workaround gibt. Is halt kacke wennst in England bei der Polizei hockst und die dein Container findet^^
 
Na und wo ist das Problem? Im text steht doch, dass es mit der 6er und mit der 6a behoben ist
 
@cobe1505: naja nicht direkt behoben sondern eher n workaround
 
Ahem... Das Problem liegt eindeutig NICHT bei TrueCrypt! Heise hat die bessere Meldung: In dem Artikel steht, dass die Probleme von Drittprogrammen stammen (bspw. Google Desktop, Word, allgemein Vista), die, während man mit versteckten Containern arbeitet, die Verzeichnishistory abspeichert. Somit ist es durch die Dateien, die Google Desktop, Word und Vista erstellen, nachweisbar, dass verschlüsselte und unsichtbare Container verwendet werden. Der Umschwenk auf TC 6.0 bringt nur was, wenn man das komplette Betriebssystem verschlüsselt, da erst TC 6.0 dem verschlüsseltem(!) Betriebssystem erlaubt, versteckte Container zu öffnen (logisch: Wenn man nichtmal ins Betriebssystem selbst reinkommt, kann man auch keine Zugriffe nach versteckten Containern erfassen). Hier noch mal ein Link auf Heise, wo das Ganze wesentlich ausführlicher beschrieben wurde: http://tinyurl.com/5go26t . EDIT: Sorry, aber die Überschrift ist sowas von falsch... Es ist keine TrueCrypt-Schwachstelle, es sind eindeutig Drittanbietersoftware, die hier für die "Lücke" sorgt... (und ehrlichgesagt wundere ich mich, dass es dazu erst einen Experten braucht, der herausfindet, dass Programme mit History-Funktion die genannte TrueCrypt-Funktion überflüssig machen kann...)
 
@Astorek: ++ - mehr muss man dazu nicht sagen!
 
@Astorek: Ich sehe da kein fehler von Vista, Word, Google Desktop sondern eher ein korrektes verhalten. Eher hat in meinen Augen da TryueCrypt versagt, dass die das nicht unterbinden. In der Version 6 wurde es ja anscheinend unterbunden. Was ist daran falsch, dass dir Word sagt, was dein zuletzt geöffnetes Dokument war? Nichts.
 
@Astorek: falsch, das os kann man bereits ab v5 verschlüsseln. sollte auch mal in der news korrigiert werden
 
@muesli: Ja, aber soweit ICH weiß (kann sein, dass die das in 5.1 oder so geändert haben) konnte ein mit TrueCrypt 5.0 verschlüsseltes Betriebssystem keine versteckten Container mehr öffnen. Das war leider ein Designfehler von TrueCrypt, den sie erst später rausgehauen haben... Ich dachte, dass die deshalb zur Version 6 raten, da es eben genannten Designfehler nicht mehr hat. @Black-Luster: In Kombination mit TrueCrypt + Vista gebe ich dir recht, da hätten die TC-Macher etwas dagegen machen sollen (schließlich ist ein laufendes Betriebssystem Voraussetzung für die Verschlüsselung), aber was bspw. Google Desktop angeht, da hat meiner Meinung nach der User "versagt", indem er diese Software nutzt und die entsprechenden Optionen nicht ausschaltet. Sorry, aber mit TrueCrypt versteckte Container öffnen und Google Desktop nebenbei beim Indizieren laufen lassen ist eigentlich grob fahrlässig für die Sicherheit... (Mal im Ernst, welcher Benutzer, der auf Sicherheit in höchster Instanz angewiesen ist, hat Google Desktop installiert?). Word ansich nutzt "nur" eine History-Funktion ähnlich wie "das Dokument von vorletzter Woche öffnen". Nur: Wie soll TrueCrypt bitteschön die Massen der Programme, die solche Historys speichern, herausfinden und den Nutzer davor warnen können?
 
@Astorek: stimmt in der tat, ist kein fehler seitens truecrypt, sondern der anwendungen, die die entsprechenden techniken (wie historienfunktion etc.) einsetzen... könnten ja sonst manche eine anwendung mit entstprechender funktion schreiben, und dann in einem solchen fall behaupten, truecrypt wäre schuld... daher auch + von mir...
 
Hätte mal da eine Frage dazu. Wie läuft das genze eigentlich ab, falls es wirklich soweit kommen sollte das bei einer Inspektion der Polizei festgesstellt wird das sich auf der Platte ein verschlüsselte Bereich befindet. Haben die Beamten dann das Recht dich zu "zwingen" das Passwort rauszurücken?
 
@DerSchatten: dafür gibts ja geraden den hidden container, weil genau dies in gb schon passiert ist. wenn du jetzt aber auf deinem system nur alibidaten durch die decryption freigibst und der hidden container verschlüsselt und versteckt bleibt, könn sie dich ja nicht zwingen was preiszugeben dessen existenz sie nicht beweisen können.
 
@schumischumi: Die Partition ist aber dennoch sichtbar. Und diese könnte man bestimmt mit geeigneten Mitteln als verschlüsselte entziffern.
 
@DerSchatten: laut wf nicht als partition zu identifizieren: "Dieser erscheint bei einer Analyse lediglich als typischer Datensalat, wie er in jedem nicht belegten Speicherbereich zu finden ist." wenn du mit bestimmten mitteln bruce force oda ähnliches meinst: nicht wirklich bzw solang der angeklagte noch lebt^^
 
Jetzt mal egal, ob man einen Hidden-Container hat oder nicht, was ist wenn man das Passwort einfach nicht rausrückt? Kann man dazu gezwungen werden, hätte man ein Recht dazu und kann man aufgrund der nicht Preisgabe bestraft werden? Ich denke das ist auch, was DerSchatten ursprünglich wissen wollte.
 
@KL-F: Gezwungen werden kannst du prinzipiell schon, aber nicht unter jeden Umständen. Der Polizei gegenüber musst du jedenfalls nicht zwingend etwas sagen. Wenn du vor Gericht angeklagt bist, musst du ebenfalls nicht. Aber z.B. wenn jemand anderes angeklagt ist und du vor Gericht stehst und das Passwort - warum auch immer - weißt, dann müsstest du es prinzipiell schon sagen.
 
@DerSchatten: Ganz einfach: "Passwort leider vergessen." Ein bisschen guten Willen zeigen und mit nachdenklicher Stirn eine Reihe von verschiedenen PW ausprobieren... vor deren Augen. Das ganze sollte allerdings auch ernst gemeint rüberkommen :) Zwingen können Sie dich nicht. Allerdings könnte sich das als erschwerend vor Gericht herausstellen, besonders dann, wenn andere Indizien gegen dich sprechen.
 
Was wird wohl passieren, wenn die versuchen das Passwort gerichtlich zu erzwingen und ich es aber vergessen habe?
 
@Slizur: kennst du die szene von james bond casino royal, wo er mit dem knoten im seil gefoltert wird^^
 
@Slizur: Als Angeklagter musst du dich nicht selbst belasten, somit musst du da gar bnix rausrücken, aber auf TrueCrypt würde ich mich nicht unbedingt verlassen:-)
 
Anhand des Speicherplatzes auf der Festplatte, müsste man doch auch erkennen können, dass da etwas unsichtbar, bzw. versteckt wurde, - oder ? - Mal grob gesagt, die Festplatte hat 200GB, und der unsichtbare Container 50GB,.......wie zeigt Windows dies denn an, bei der Belegung ?
 
@KamuiS: ne wird nciht angezeigt. auf http://www.truecrypt.org/ oder beim oberen link Truecrypt - übersicht wird erklärt warum.
 
@KamuiS: Selbst wenn windows nicht die richtige Größe anzeigt, man muß ja nur mal versuchen den "freien" Platz zu füllen. Schon weiß man ob da ein verteckter Container vorhanden ist.
 
@KamuiS:
wie man der sehr guten truecrypt doku entnehmen kann verhält sich so ein hidden container völlig transparent. sprich, wenn ich den "alibi" container mounte und ihn so weit weiterbefülle über die damals festgelegte maximalgröße, dann habe ich halt pech gehabt. da wird der hidden-container gnadenlos überschrieben. es wäre ja auch recht kritisch wenn plötzlich eine meldung aufpoppt die dir sagt...moment, wenn du jetzt weiterkopierst wird der hidden container zerstört :D ob das ding nun dann sofort im eimer ist kann ich dir nicht sagen, möglicherweise nur wenn der header zerstört / überschrieben wird.
 
ich weiß nicht, was hier für Lügen verbreitet werden, aber zumindest in Deutschland und den meisten anderen Rechtsstaaten kannst du NICHT gezwungen werden das Passwort rauszurücken.
 
@provider: Man kann sich ja auf den Altbundeskanzler Kohl berufen: Ich sag' nix ! :)
 
@provider: england kein rechtsstaat?? http://tinyurl.com/5fj3nh
 
@schumischumi: Rechtsstaat war vieleicht nicht das richtige Wort... Das Zeugnisverweigerungsrecht ist aber nunmal ein elementarer Grundsatz des deutschen Rechtes (und auch z.b. der USA). Und dieser Fall fällt eindeutig unter dieses Recht.
 
@provider: ja noch, allerdings ist langfristig nicht abzusehn wie sich das EU-Recht auf Deutschland auswirkt, also ist da ziemlich viel offen. wär ja theortisch auch möglich dass in naher zukunft(10-20a) das komplette Rechtssystem der einzelnen länder in der EU durch ein einheitliches EU-Recht ersetzt wird und dann kann alles rein.
 
Ich finde nicht dass man Sicherheitslücke sagen sollte. Es sind normale Konsequenzen die durch die tägliche Arbeit mit alltäglichen Programmen auftauchen. Indexprogramme erstellen nun mal einen Index mit Informationen über Container. Und viele Programme speichern halt auch Historien ab um dem Benutzer das Arbeiten zu erleichtern. Wenn man möglichst sicher sein will, dann muß man wirklich alles verschlüsseln und zwar mit einer Full-Disk-Encryption. Das bietet Truecrypt ja auch an. Dann sollte man nicht Passwortbasiert verschlüsseln, denn das Passwort könnte man unter Zwang verraten. Man sollte externe Token (USB-Stick, Security Token) verwenden, die man bei Bedarf komplett zerstören kann. Dann nutzt der Polizei kein Passwort der Welt mehr was, und man selber kann auch unter Zwang nur sagen: "Der Schlüssel war auf meinem USB-Stick und der ist jetzt kaputt. Sorry."
 
@DennisMoore: Da würde ich aber lieber altmodisch auf eine Diskette zurückgreifen. Und im Notfall fällt diese, huch,... in den Schredder.
 
@KamuiS: Ich habe die Diskette mit dem TrueCrypt-Schlüssel gefunden und ganz hilfsbereit an den Kühlschrank gehängt, die Diskette, die so verzweifelt gesucht wurde: http://tinyurl.com/5ch6ph
 
@Fusselbär: hast da aber einen schönen magneten auf deiner diskette^^.
 
@KamuiS: Nö,das wär mir wieder zu unsicher. Die sind ja sehr empfindlich wie Fusselbär schon demonstriert hat. Einen USB-Speicher kann man auch ganz toll und schnell kaputtmachen. Man müßte ein Gerät haben, welches die Elektonik im Gehäuse regelrecht grillt. Gibts nicht so Elektroschocker, die ne Spannung von bis zu 125000 Volt abgeben können? :D
 
Diese ermöglich die Installation eines kompletten Betriebssystems in einem versteckten Container. Wird beim Anschalten des Rechners das korrekte Passwort eingegeben, fährt TrueCrypt anschließend das verschlüsselte System hoch. Anderenfalls erhält man nur Zugriff auf ein Alibi-Windows, in dem sich keine sensiblen Informationen befinden ... Wo gibt es denn eine Anleitung wie man das umsetzt? Kann man das auch mit einer vorhandenen Installation (Vista Ultimate) machen oder sollte man neu anfangen?
 
@geordi: Würde mich auch intressieren :)
 
@geordi: also man kann dafür eine schon vorhandene Windows installation benutzen. Bei der Einrichtung des versteckten Betriebsystem wird das aktuell laufende System kopiert und dann entspricht erstmal sowohl das Alibi-Betriebssystem als auch das versteckte der "alten" Installation.
Das Problem ist nur, dass die Festplatte nach bestimmten Regeln Partitioniert werden muss, was unter Umständen mit ner alten Windows installtion nicht mehr möglich is..

Beschrieben alles bei http://www.truecrypt.org/docs/hidden-operating-system.php allerdings nur auf Englisch
 
Ehrliche Bürger brauchen davor keine Angst zu haben, und können ruhigen Gewissens den Container von der Polizei überprüfen lassen. Außerdem ist die Polizei nicht verpflichtet der Frau oder Freundin den Containerinhalt mitzuteilen.
 
@noComment: das Argument kommt jedesmal wenn es um staatliche Überwachung geht. "Ich hab ja nix zu verbergen"
Aber JEDER hat etwas zu verbergen: Seine Privatsphäre! Wem das egal ist, ok. Aber jeder der Wert darauf legt sollte die Möglichkeit haben seine Privatsphäre wirkungsvoll zu schützen.
 
@provider: Ab dem letzten Satz sollte doch klar sein, dass das vo allem ironisch gemeint war.
 
@noComment: bei sovielen Leuten, die das WIRKLICH glauben, war ich schon der Meinung, dass das ernst gemeint war :)
 
Schöne Software um der STASI 2.0 ,geschaffen durch unsere Konservative Politiker ( Die sind auch leicht durch Lobbyisten kaufbar ) , eines auszuwischen .
 
@overdriverdh21: naja auswischen ist evtl bissl übertrieben. denk eher dass uns solche tool wieder ein stückchen mehr "privatsphäre" (wie es provider oben nennt) zugesteht. im endeffekt wird es den politikern wurst sein was du oder ich auf unsersn platten haben. ausser natürlich du bist n krasser hAcK0r oder ein chinesischer nazi kommunist.
 
@muesli: wir reden aber von einem so genannten "hidden operating system". Und dieses Feature ist definitiv erst ab version 6 verfügbar. (guckst du -> Changelog)

6.0

July 4, 2008

New features:
Ability to create and run an encrypted hidden operating system whose existence is impossible to prove (provided that certain guidelines are followed). For more information, see the section Hidden Operating System. (Windows Vista/XP/2008/2003)
 
Soll Schneier halt die verräterischen Spuren mit seinem Schneier's 7 Pass-Algo sicher überschreiben. ^^
 
Nur Vista macht das, oder auch XP oder gar Linux?
 
@Der_Heimwerkerkönig: Das ist eigentlich nur ein Windowsproblem, ich sag dir warum. Bei Windows liegt die User Registry im Verzeichnis des Users, du kannst also z.B. dein "Home" Verzeichnis unter Windows nicht verschlüsseln, sonst kannst du dich nicht einloggen, also musst du zwangsweise deine komplette Bootplatte verschlüsseln. Bei Linux liegen alle configs von OO etc, nur in deinem Homeverzeichnis. Unter Linux kannst du dich aber einloggen, ohne das dein Homeverzeichnis bereits existiert, somit kannst du das erst mounten nach dem Login, es ist also kein Problem hier zwei Homeverzeichnisse zu haben, eins versteckt eins normal. Das Konzept von Windows ist hier scheiße und du musst zwangsweise auf das neue TrueCryptmodell ausweichen, ein komplettes Betriebssystem verstecken, nur wegen dem Registryunsinn. Truecrypt ist für mich sowieso nicht vertrauenswürdig, keiner kennt die Entwickler, die Foundation ist nicht eingetragen, die Domain läuft auf die Foundation, mit Firmensitz zufällig in der gleichen statt wie eins der CIA Headquarter.
 
@Der_Heimwerkerkönig: Danke für diese durchaus logisch klingende Erklärung :-) Wenn du Truecrypt aus den angegebenen Umständen nicht traust, was schlägst du als Alternative vor? Ubuntu kann man ja bereits bei der Installation verschlüsseln, wie sicher das ist, weiß ich allerdings nicht.
 
@[U]nixchecker: Du machst dir das "fast" einen Tick zu einfach :) . Im Gegensatz zu einem vollverschlüsseltem Windows muss ein lauffähiges Linux zumindest einen Minimalbereich bieten, der noch nicht verschlüsselt ist (es sei denn, man schreibt sich einen eigenen Bootloader, der es ermöglicht, Kernel und Mini-Shell aus einem verschlüsseltem Container zu laden. Grub und Lilo können das nicht wirklich). Und du musst halt in diesem Bereich aufpassen, dass du nix hinterlegst, was über versteckte Daten aufklären kann, und das ist eine sehr schwierige Sache: Ein Automount eines Containers in der Shell kannst du (trotz GRUB-Passwortschutz mit MD5) vergessen (LiveCD rein, auslesen, fertig). TrueCrypt bietet in Version 6.0 an, das Laufwerk so zu verschlüsseln, dass darauf NUR noch Datenmüll sichtbar wird. Momentan gibt es noch kein Programm dafür, was dasselbe auch unter Linux kann...
 
@Der_Heimwerkerkönig: die einzige Lösung, der ich halbswegs vertraue ist luks in Verbindung mit den Cryptomodulen von Linux, die Kernelmodule werden von bekannten Entwicklern geschrieben, implementsationstechnische Details werden offen auf der Mailingliste diskutiert. @Astorek, "Und du musst halt in diesem Bereich aufpassen, dass du nix hinterlegst, was über versteckte Daten aufklären kann" wo liegt das Problem, eine Bootpartition mit nur dem Kernel, die überhaupt nicht gemountet wird oder nur lesend wird. Die Bootpartition für /boot muss ja nicht writable sein. Viel größer das Problem, dass dir jemand dein System manipuliert und so deinen Schlüssel beim nächsten Mount abgreift, z.B. über Tastatureingaben. Truecrypt kann mir viel anbieten, aber es zig Probleme, die du damit nicht lösen kannst, was wenn dein System gemountet ist und die Polizei reinstürmt, was wenn jemand nen Keylogger an deinen Rechner klatscht. Wenn jemand brisante Daten auf seinem rechner hat, die der Staat etc bekommen möchte, dann können die dich beschatten etc. Die beste Verschlüsselung ist noch immer dein Hirn und selbst das kann man gefügig machen, von daher sollte man sich im klaren sein, dass so eine Verschlüsselung nur gegen einige Szenarien hilft. Es gibt ein paar clevere deutsche Firmen, die z.B. abraten brisante Daten bei sich zu transportieren, sondern Daten immer nur bei Bedarf über eine verschlüsselte VPN Verbindung abzurufen. Mit Verschlüsselung ist das wie bei Hacking, da laufen die meisten Einbrüche durch sozial Engineering, die Technik ist zu 95% sicher, der Mensch ist der Unsicherheitsfaktor Nr.1
 
"...vor Gericht zur Herausgabe des Passwortes gezwungen wird. " So ein Blödsinn. Das ist dafür da, dass du die echten, schützenswerten Daten glaubwürdig verleugnen kannst, wenn dich jemand körperlich bedroht, indem du mit einem Phantasiepasswort nur Alibi-Daten frei gibst. Chrtistian Kahle hat scheinbar Angst vor widerrechtlichen Scheinprozessen inkl. Passowortfolter :D
 
@pool: Das meinst du doch nicht wirklich ernst oder? Wenn dich jemand körperlich bedroht, dann hast du wirklich schon ein riesen Problem, dann bist du in einer Situation in der du keine Rechte mehr hast und der gegenüber wahrscheinlich nicht lockerlässt, nachdem du ihm den Schlüssel zu nem Fake Inhalt gegeben hast, man kann nämlich schnelle Zweifel anstellen, ob der Inhalt dort platziert wurde etc. z.B. kann man sich fragen, wie wann wurde auf den Inhalt zugegriffen, das OS verrät es ja :-) Wieviele Daten sind enthalten 100MB auf ner 300GB Partition *LOL*. Sobald da der geringste Zweifel kommt, wirst du jetzt von der Person, dich dich vorher schon unfreundlich gefragt hat eins aufs Maul bekommen und spätestens dann rückst du dein Passwort raus, es sei denn du bist James Bond.
 
@[U]nixchecker: Über die Wirksamkeit der glaubwürdigen Bestreitbarkeit lässt sich streiten, aber damit man nicht "vor Gericht zur Herausgabe des Passwortes gezwungen wird. " ist es garantiert nicht da. Wir leben doch nicht in Nordkorea! Manche verhalten sich aber so. (inkl. Chrtistian Kahle)
 
Ohhh... der Brusi meldet sich mal wieder... Dann ist ja die Meldung besonders ernst zu nehmen! Ich frage mich bloss, warum niemand über neuronale Angriffsmethoden oder über die ausgehebelten Schlüsselgeneratoren einen Artikel schreibt.
 
Bruce Schneier Fact Nr. 282: Crytanalysis doesn't break cryptosystems. Bruce Schneier breaks cryptosystems. Link: http://geekz.co.uk/schneierfacts/fact/282
 
ohh man ich frage mich was die immer haben. "Wenn man vor gericht gezwungen wird", ik das mag in irgendwelchen kommunistischen Hinterwäldlerstaaten evt. sein, aber doch nicht hier in Deutschland!
ne ne ne
 
Solche Meldungen sind nur zur "Terrorabwehr"! Und selbst wenn jemand einmal das Richtige sagt, dann geht das in der Vielzahl der Meinungen im Internet unter. Der Brusi ist ein Ventil für die Leute, die gerne über Verschlüsselung nachdenken würden und dann ggf. auf einfache und gute Ideen kommen würden. Wenn mal jeder ehrlich zu sich selbst ist: Wenn ich wirklich wichtge Daten habe, dann vertraue ich doch kein System, welches ich selbst nicht überprüfen kann. Ein komplexes System, wie der PC (einschl. Hardware) ist doch gar nicht für die scheinbaren Zielgruppen überprüfbar. Das ist wie mit der Wahlmaschine. Ich kann doch die Demokratie nicht auf computer-gestützte Systeme aufbauen. So darf ich doch auch nicht auf die ganzen Märchen reinfallen. // Fazit: Ich benutze eine Verschlüsselungssoftware nur, weil ich hoffe, dass meine wichtigen Daten vor dem gemeinen Menchen sicher genug geschützt werden. Aber ich glaube, dass Behörden immer Mittel und Wege haben, an allem ran zukommen! Deshalb sind solche Nachrichten suggerierend, nach dem Motto: Auf dem PC kann Sicherheit erreicht werden. Gerade deshalb, weil die Nachricht auf eine Schwachstelle hinweist, wird andererseits vermittelt, dass theoretisch schon Sicherheit erreicht werden könnte. Und genau das ist die ewige Lüge - egal welche Software!
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles