TrueCrypt ist eingestellt worden – hier sind kostenlose Alternativen

Published by on Mai 22, 2018 in Informationssicherheit

bank vaults

TrueCrypt war ein kostenloses Open-Source-Verschlüsselungsprogramm , das im Jahr 2004 eingeführt wurde. Die Freeware wurde im Mai 2014 eingestellt und wird auch nicht mehr unterstützt.

Die Software wird genutzt, um verschlüsselte Speicherzonen auf Festplatten sowie verschlüsselte virtuelle Festplatten innerhalb von Dateien zu erzeugen. Für einen Zugriff auf verschlüsselte Daten innerhalb einer Speicherzone ist ein Passwort notwendig. TrueCrypt war bisher ein beliebtes, von Millionen genutztes Verschlüsselungs-Tool für Festplatten, das, sowohl für Mac OSX- als auch Windows-Betriebssysteme geeignet war.

Nachdem die anonymen Entwickler von TrueCrypt das Projekt unter mysteriösen Umständen aufgegeben haben, schwirren Gerüchte umher, dass die Software potentielle Sicherheitslücken aufweist, die die Daten von Nutzern kompromittieren könnten. Das vernichtendste Urteil über die Software kam vom Sicherheitsteam des Google Project Zero, das zwei bis dato unentdeckte Sicherheitslücken aufdeckte. Eine dieser Schwächen besteht darin, dass man für Anwendungen, die normalerweise mit gewöhnlichen Nutzerrechten ausgeführt werden, administrative Zugangsberechtigungen benötigt.

Ist TrueCrypt sicher?

Im Jahre 2015 führte das Fraunhofer Institut für Sichere Informationstechnologie eine formale Bewertung der letzten veröffentlichten TrueCrypt-Version durch. Der 77-seitige Bericht weist auf mehrere Bugs in TrueCrypt hin, stellt aber abschließend fest, dass die Software sicher ist, solange sie für ihren primären Zweck verwendet wird. Der besteht in der Verschlüsselung von z.B. auf Festplatten oder USB-Speichern extern abgelegten Daten. Das Institut bestätigt die von Google aufgezeigten Bugs, ist aber der Ansicht, dass Angreifer durch diese keinen Zugriff auf verschlüsselte Daten erlangen können.

Während die Verschlüsselung von Daten auf externen Laufwerken vom Institut als unbedenklich eingestuft wurde, war das für Computerspeicher oder zusätzlich integrierte Laufwerke nicht der Fall. Wenn ein zusätzliches Laufwerk integriert wird, kommt es zu einer Speicherung des Daten-Verschlüsselungs-Codes im Speicher des Computers. Dieser Code kann wiederhergestellt und für spätere Entschlüsselungen genutzt werden.

Die Wahrscheinlichkeit, dass ein Hacker diese Schwächen ausnutzt, ist allerdings eher gering. Entweder muss der verschlüsselte Datenspeicher integriert werden, womit die entschlüsselten Daten ohnehin verfügbar sind, oder der Computer muss zusammen mit dem verschlüsselten Datenspeicher in einen Ruhezustand gehen. Wenn jemand auf einen Computer Zugriff hat, bei dem ein verschlüsselter Datenspeicher geöffnet ist, dann sind diese Daten ohnehin zugänglich. Im Übrigen sollten Nutzer keinen Ruhezustand bei Computern mit verschlüsselten, hinzugefügten Speichern zulassen, solange der verschlüsselte Speicher geöffnet ist.

Sollten Sie TrueCrypt nutzen?

Wenn Sie ein älteres System mit einer installierten Original-Version von TrueCrypt nutzen und sie diese außerdem nicht in hinzugefügten Laufwerken anwenden, dann sollten Sie bezüglich der oben genannten, eher unwahrscheinlichen Szenarien auf der sicheren Seite sein. Nichtsdestotrotz ist TrueCrypt für hinzugefügte Laufwerke etwas weniger sicher.

Wenn Sie TrueCrypt bis jetzt allerdings noch nicht haben, dann kann das Herunterladen und Installieren jetzt ein Risiko für Sie darstellen. Sie sollten nicht vergessen, dass die Software seit mehr als zwei Jahren offiziell nicht mehr angeboten wird und dementsprechend nicht mehr für offizielle Downloads verfügbar ist. Es gibt einige Webseiten und Torrents, die behaupten, eine echte TrueCrypt-Version zum Download zur Verfügung zu stellen. Allerdings ist es mehr oder weniger unmöglich herauszufinden, ob diese Version manipuliert wurde oder nicht – insbesondere wenn Sie kein Software-Experte sind.

Einige Nutzer weisen darauf hin, dass archivierte Kopien in Github erhältlich sind, wo der Code von jedermann geprüft werden kann. Die meisten dieser Aufbewahrungsorte werden aber nicht von Experten überprüft, da das sehr zeit- und kostenaufwendig wäre. Das Open Crypto Project gibt jedoch an, dass einer der Github-Aufbewahrungsorte (eine Kopie von TrueCrypt 7.1) verifiziert ist.

Außerdem behaupten einige Nutzer, dass die Sicherheits-Features von TrueCrypt Hintertüren für Regierungsbehörden offen lassen. Allerdings gibt es keinerlei Beweise, die diese Behauptung stützen.

Wenn Sie sich dazu entschlossen haben, TrueCrypt zu nutzen, dann ist die beste Lösung wohl, die Kopie von Github herunterzuladen. Wir empfehlen jedoch, dass Sie es mit einer neueren Alternative versuchen. Einige der folgenden Datenspeicher-Verschlüsselungs-Tools sind Abspaltungen des ursprünglichen TrueCrypt-Tools, und andere in der Auflistung wurden unabhängig davon entwickelt.

Alternativen zu TrueCrypt

Hier ist eine kurze Zusammenfassung der Alternativen. Wir werden später in diesem Artikel näher auf sie eingehen.

  • VeraCrypt ist Open-Source- und Code-überwacht, stellt eine verbesserte Version von TrueCrypt dar, funktioniert mit Mac und PC und ermöglicht die Erstellung von verschlüsselten Datencontainern
  • Bitlocker ist in Windows integriert, ist kein Open-Source-Tool, verschlüsselt nur komplette Datenspeicher und besitzt keine Funktion zur glaubhaften Bestreitbarkeit
  • DiskCryptor ist ein Open-Source-Tool nur für Windows, wird aber nicht überprüft, erlaubt die Installation des Boot-Ladeprogramms auf einem USB oder einer CD und ist schneller als andere Alternativen
  • Ciphershed ist eine weitere TrueCrypt-Abspaltung, funktioniert mit alten TrueCrypt-Datencontainern, stellt Updates nicht sonderlich schnell zur Verfügung und funktioniert mit Mac, PC und Linux
  • FileVault 2 ist integriert in Mac OSX Lion und spätere Versionen, erlaubt nur die Verschlüsselung kompletter Datenspeicher und ist nicht als Open Source erhältlich
  • LUKS ist eine Open-Source-Option für Linux, unterstützt multiple Algorithmen, bietet jedoch nicht viel Support für andere Systeme als Linux

VeraCrypt

VeraCrypt ist eine TrueCrypt-Abspaltung und wird weithin als inoffizielle Nachfolger-Software angesehen. Sie erfüllt all die Funktionen von TrueCrypt und sogar einige mehr. VeraCrypt erhöht die Sicherheit der Algorithmen für System- und Festplatten-Verschlüsselungen. Gemäß den Aussagen der Entwickler wird durch diese Verbesserungen die Immunität gegen neu entwickelte Brute-Force-Angriffe erhöht. Sie können hier die komplette Liste der Verbesserungen und Fehlerbereinigungen einsehen, die VeraCrypt gegenüber TrueCrypt vollzogen hat.

VeraCrypt wendet 30 mal mehr Durchläufe bei der Verschlüsselung von Datencontainern und Festplatten als TrueCrypt an. Daraus folgt, dass es etwas länger dauert, bis eine Festplatte startet oder Datencontainer geöffnet werden. Das beeinflusst Anwendungen aber nicht.

VeraCrypt ist ein kostenloses Open-Source-Tool und das soll auch so bleiben. Der Code wird routinemäßig von unabhängigen Experten überprüft. Da VeraCrypt TrueCrypt im Grunde sehr ähnlich ist, finden für beide Anwendungen dieselben Überprüfungen statt.

VeraCrypt unterstützt zwei Arten von glaubwürdiger Bestreitbarkeit (die Existenz von verschlüsselten Daten ist bestreitbar, wenn ein Prozessgegner nicht beweisen kann, dass unverschlüsselte Daten überhaupt existieren): Versteckte Inhalte befinden sich in freien Bereichen von sichtbaren Datencontainern – Bereiche, die ansonsten mit anderen Datenwerten gefüllt wären, wenn die versteckten Inhalte nicht existieren würden. Versteckte Betriebssysteme existieren parallel zu sichtbaren Betriebssystemen. Wenn ein Prozessgegner Sie dazu zwingt, ein entsprechendes Passwort zu offenbaren, können Sie einfach das Passwort für das sichtbare Betriebssystem preisgeben.

Bitlocker

Bitlocker ist eine beliebte Software speziell für Windows, die dazu verwendet wird, große Datenmengen mittels des AES-Algorithmus (mit einem 128- oder 256-Bit-Code) zu verschlüsseln. Im Gegensatz zu TrueCrypt und VeraCrypt kann Bitlocker keine verschlüsselten Datencontainer erstellen. Deshalb müssen ganze Festplatten auf einmal verschlüsselt werden.

Während dieser Ansatz für einige zu funktionieren scheint, sollten Sie jedoch bedenken, dass all Ihre Dateien sichtbar sind, wenn Sie Ihren Computer eingeloggt lassen und jemand anders ihn nutzt. Windows hat ein separates Verschlüsselungs-System namens EFS (Encrypted File System) für die Verschlüsselung einzelner Dateien und Verzeichnisse, aber diese sind auch immer zugänglich, wenn der Nutzer eingeloggt ist.

Bitlocker ist keine Open Source, das heißt, dass die Öffentlichkeit die Software nicht nach möglichen Hintertürchen untersuchen kann. Das könnte für so manchen ein Ausschlusskriterium sein, da zwischen Microsoft und der NSA freundliche Verbindungen bestehen. Bedenken wurden außerdem geäußert, als Microsoft den Elephant Diffuser aus Performance-Gründen entfernt hat. Dieses Feature hat Modifikationen an verschlüsselten Datenspeicher verhindert.

Bitlocker hat keine Mechanismen zur glaubwürdigen Bestreitbarkeit. Sie könnten jedoch versuchen zu argumentieren, dass die Inhalte auf Ihrer Festplatte modifiziert wurden, da kein Elephant Diffuser vorhanden ist. Das ist allerdings etwas bei den Haaren herbeigezogen.

Bitlocker bestätigt, dass Angreifer die Software zum Hochfahren des Computers nicht modifiziert haben.

DiskCryptor

DiskCryptor ist eine weitere Verschlüsselungs-Lösung, die nur für Windows und die Verschlüsselung kompletter Datenspeicher entwickelt wurde. Im Vergleich zu den oben genannten Optionen wurden bei DiskCryptor nur wenige formale Sicherheits-Analysen durchgeführt, obwohl es sich um ein Open-Source-Programm handelt. Wir wissen außerdem nicht viel über die Entwickler der Software und ihre Motive. Es bestehen erhebliche Zweifel, ob die Software tatsächlich als solide angesehen werden kann. Warum ist diese Option also so beliebt?

DiskCryptor ist schnell und einfach anzuwenden. Es erfordert weit weniger Rechner-Ressourcen und verschlüsselt schneller als TrueCrypt. DiskCryptor verwendet eine 256-Bit-AES-Verschlüsselung, Twofish, Serpent oder eine Kombination von Algorithmus-Kaskaden im XTS-Modus, um Verschlüsselungen auszuführen. Serpent wird dabei als die schnellste Option erachtet.

DiskCryptor unterstützt die Verschlüsselung externer Geräte einschließlich Festplatten, USB-Speicher, CDs und DVDs. Es unterstützt außerdem verschiedene Multi-Boot-Optionen.

Wenn Sie vorhaben, etwas vor der NSA oder anderen Geheimdiensten zu verbergen, dann ist DiskCryptor wahrscheinlich nicht die beste Lösung. Aber sie kann nützlich sein, wenn Ihr Computer gestohlen wird oder Ihr neugieriger Neffe versucht, auf Ihre Dateien zuzugreifen.

DiskCryptors Features für eine glaubwürdige Bestreitbarkeit ermöglichen es Ihnen, ein Computer-Boot-Ladeprogramm auf einem USB-Speicher oder einer CD zu installieren. Ohne das Ladeprogramm erscheint der verschlüsselte Inhalt auf einer Computer-Festplatte wie freier Platz mit zufälligen Daten. Die Kehrseite dieser Herangehensweise ist, dass Sie immer die CD- oder das USB-Boot-Ladeprogramm nutzen müssen, um den Computer zu starten und Daten zu entschlüsseln.

CipherShed

Genau wie VeraCrypt wurde auch CipherShed als eine Abspaltung von TrueCrypt begonnen. Es ist für Windows PC, Mac OSX und Linux verfügbar, muss für die letzten beiden jedoch übersetzt werden. Die erste Non-Alpha-Version wurde im Februar diesen Jahres veröffentlicht, aber es wurde noch kein Produkt (v1.0 oder neuer) herausgegeben.

Die Entwicklung scheint hier wesentlich langsamer vonstatten zu gehen als bei VeraCrypt, aber man tastet sich langsam vorwärts. Die Fehler von VeraCrypt wurden in dieser Version ausgebessert.

Abgesehen davon, dass CipherShed bezüglich der Entwicklung etwas hinterherhinkt, unterscheidet sich diese Option nicht wesentlich von VeraCrypt. Sie können mit CipherShed entweder komplette Datenspeicher-Verschlüsselungen durchführen oder verschlüsselte Datencontainer erstellen.

Ein Vorteil von CipherShed ist, dass es mit TrueCrypt-Containern funktioniert, während die neueren Versionen von VeraCrypt dafür nicht geeignet sind. VeraCrypts größere Code-Variabilität (siehe dazu die oben erwähnten Wiederholungsdurchläufe) führen zu einer Inkompatibilität mit TrueCrypt-Containern. Allerdings ist VeraCrypt dadurch auch wesentlich sicherer.

CipherShed verlässt sich bezüglich glaubhafter Bestreitbarkeit genau wie VeryCrypt auf versteckte Inhalte.

FileVault 2

FileVault 2 ist Apples Antwort auf Bitlocker. Die Option wurde zuerst mit OSX Lion eingeführt. Es handelt sich dabei um eine Software speziell für Mac, die einen AES-XTC-128-Bit-Algorithmus für komplette Datenspeicher-Verschlüsselungen anwendet.  Das Anmelde-Passwort des Nutzers wird als Verschlüsselungs-Code verwendet.

Genau wie Bitlocker bietet FileVault 2 ebenfalls keine Möglichkeit, verschlüsselte Container zu erstellen. Das bedeutet, dass alle Daten Ihrer Festplatte, nachdem Sie sich in Ihr Macbook eingeloggt haben, entschlüsselt und sichtbar sind – und zwar solange, bis das System wieder heruntergefahren wird.

Eine weitere Gemeinsamkeit mit Bitlocker ist, dass FileVault 2 ebenfalls kein Open-Source-Tool ist. Daraus folgt, dass FileVault 2 nicht von der Öffentlichkeit überprüft wird und somit Hintertürchen enthalten kann.

LUKS

LUKS ist für Linux-Nutzer entwickelt, basiert auf cryptsetup und wendet dm-crypt als Datenspeicher-Verschlüsselungs-Backend an.

LUKS steht für Linux Unified Key Setup und setzt ein plattformunabhängiges Standard-Datenspeicher-Format für verschiedene Tools fest.

LUKS hat zwar nicht alle Features, die VeraCrypt und andere Optionen bieten, ermöglicht aber eine größere Flexibilität, wenn es um Verschlüsselungs-Algorithmen geht.

LUKS funktioniert nicht sehr gut mit anderen Betriebssystemen; es ist speziell für Linux entwickelt. Allerdings können Windows-Nutzer auf LUKS-verschlüsselte Datenspeicher mittels LibreCrypt zugreifen.

LUKS unterstützt keine glaubwürdige Bestreitbarkeit.

Eine Bemerkung zu glaubwürdiger Bestreitbarkeit

Sie sollten Ihre Verschlüsselungs-Software nicht aufgrund von Mechanismen zur glaubwürdigen Bestreitbarkeit auswählen. Obwohl sie ein Bonus sind, so sind sie dennoch schwache Verteidigungsstrategien.

Bezüglich Datenspeicher-Verschlüsselung bedeutet glaubwürdige Bestreitbarkeit, dass niemand nachweisen kann, dass sich verschlüsselte Daten auf Ihrem Computer befinden, weil diese Daten aussehen, als wären sie nicht vorhanden und als wären Sie nur zufällige Störungen.

Das Problem dabei ist nur, dass diese Störungen etwas zu zufällig aussehen können. Ein Experte kann Zeichen für eine Verschlüsselung des Datenspeichers erkennen, indem er eine Entropie-Analyse durchführt. Die Frage, ob glaubwürdige Bestreitbarkeit tatsächlich einer Gerichtsverhandlung oder intensiven Untersuchungen und Befragungen standhalten würde, bleibt äußerst umstritten.


Die Verwendung eines VPNs für die Verschlüsselung von Daten im Transit

Datenspeicher-Verschlüsselungen schützen zwar Ihre Daten, solange sie sich auf Ihrem Computer oder einem externen Datenspeicher befinden, aber sie bieten keinen Schutz für Daten, die über das Internet versendet oder empfangen werden. Dafür ist ein VPN notwendig.

VPN steht für virtuelles privates Netzwerk (virtual private network). Es verschlüsselt den gesamten Internet-Datenverkehr eines Gerätes und leitet ihn durch einen Server an einem Standort Ihrer Wahl weiter. Der verschlüsselte Tunnel schützt Ihre zu übertragenden Daten also davor, dass Ihr Internet-Service-Anbieter oder jemand anderes innerhalb Ihres lokalen Netzwerks sie einsehen kann.  Nachdem die Daten den VPN-Server verlassen, sind sie nicht länger verschlüsselt, aber der gesamte Datenverkehr kommt jetzt von der IP-Adresse des Servers und nicht von Ihrer IP-Adresse. Die IP-Adresse des Servers wird üblicherweise von Dutzenden oder sogar tausenden Nutzern gemeinsam verwendet, was Ihre Aktivitäten letztendlich anonym macht. Lesen Sie hier unsere Auswahl der besten VPN-Anbieter.

Bank vaults under Hotels in Toronto, Ontario“ von Jason Baker lizensiert unter CC BY 2.0

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.