TrueCrypt ist endlich in der neuen Version 5 erschienen. Ich habe lange darauf gewartet und das Versprechen, verschlüsselte System-Partitionen und Pre-Boot-Authentication zu implementieren, wurde glücklicherweise gehalten.

Es ist also endlich möglich, OpenSource-Software zur sicheren Festplattenverschlüsselung zu nutzen. Laptop-Festplatten sollten heutzutage einfach komplett verschlüsselt sein, da sie immer kleiner und damit immer einfacher zu stehlen sind. Davon eingeschlossen ist natürlich auch die Systempartition, von der das Betriebssystem gebootet wird. Bisher war dies kommerzieller Verschlüsselungssoftware vorbehalten, jetzt kommt man auch kostenlos in den Genuss.

Der Vorteil von OpenSource liegt bei Software dieser Kategorie klar auf der Hand: Es kann keine eingebauten Hintertürchen von NSA, FBI oder gar Schäuble geben…

Die Technik funktioniert in der Praxis eigentlich ganz einfach. Im Bootsector der Festplatte wird der TrueCrypt Bootloader eingepflanzt, der vor dem ersten Zugriff auf die Festplatte eine Authentifizierung durch den Benutzer erwartet. Erst nach erfolgreicher Authentifizierung mittels Passwort wird die Festplatte on-the-fly (also bei jedem Zugriff) entschlüsselt. Wie schnell dies in der Praxis dann passiert, bleibt abzuwarten, doch sinnvoll und nötg (!) ist die Technik allemal. Es ist ein Leichtes, das System mit einer entsprechenden Boot-CD zu booten und ohne jegliche Authentifizierung auf das Dateisystem der Festplatte zuzugreifen. Schutz davor bietet eigentlich nur die Verschlüsselung bestimmter Daten mit dem entsprechenden NTFS-Feature. Das ist erstaunlicherweise wirklich sehr sicher und bietet auch eine hohe Schlüsselstärke, hat aber den Nachteil, nur gewisse Parts verschlüsseln zu können. Also eigentlich auch nicht sicherer als ein üblicher TrueCrypt-Container. Wirklich interessante Daten stehen aber gerade in den Parts der Festplatte, die sich nicht so ohne weiteres verschlüsseln lassen. Die Registry, sämtliche Logfiles und sogar die Passwörter der Windows-Nutzer. Mittels bereits angesprochener Boot-CD lassen sich durch Zugriff darauf sogar Administrator-Passwörter zurücksetzen, so dass problemloser Zugriff auf das System möglich ist. NTFS-verschlüsselte Parts bleiben natürlich weiterhin außen vor, aber trotzdem bietet dieser Angriff eine Menge Potential. All das spricht für die Verschlüsselung der KOMPLETTEN Festplatte, so dass jeglicher Zugriff darauf eine Authentifizierung erfordert! Wird mit einer Boot-CD gebootet, bleibt die Festplatte verschlüsselt und keiner der genannten Angriffe greift mehr!

Ein wirklich sinnvolles Feature, auf das ich schon lange gewartet habe.

Andere Key-Features der neuen Version sind vor allem:

• SHA-512 Hashing statt bisher SHA-1
• Erhöhte Lese-/Schreibgeschwindigkeit durch Pipelining (bis zu 100% !)
• GUI für die Linux-Version von TrueCrypt
• MAX OS-X Version

TrueCrypt Website

TrueCrypt ist nun endlich released – es gibt leider noch kleinere Probleme bei der Pre-Boot-Authentisierung.

Die Performance hat gegenüber der Vorversion 4.3 etwas zugelegt, die 100% konnte bislang jedoch niemand nachvollziehen.

Allerdings habe ich mich schon bei der Vorversion gefragt, warum die Entwickler für die Blockchiffren keine optimierte Assembler-Version hernehmen. Speziell beim AES verwenden Sie eine Implementation von Brian Gladman, welcher seinen Quellcode auch als hochoptimierte x86 Assemblerversion frei zur Verfügung stellt.

Ich habe nun TrueCrypt selbst kompiliert und die Performance-Steigerung beim AES in Assembler sind beachtlich: Statt weniger als 70 MB/s sind es nun 108 MB/s. Eine Anleitung wie man sich den TrueCrypt-Treiber mit Assembler-AES-Implementation für Windows übersetzt habe ich in meinem Blog beschrieben: http://andi.neuriem.de

Viel Spaß,
Andi

Das klingt natürlich sehr sehr gut, aber wie sieht es aus mit dem verwendeten Modus?

Ich habe nur etwas vom AES ECB-Modus gelesen, aber ist das nicht gerade beim Einsatz von TrueCrypt auf Festplatten ein eher weniger guter Chiffrier-Modus? Gerade beim Einsatz auf block-orientierten Medien wird doch auf den LRW- (in TC 4.3) oder XTS-Modus (in TC 5) zurückgegriffen. Du verlinkst außerdem nicht auf das aktuellste Archiv von B.Gladman, die neueste Version vom 30.01.2008 enthält explizit Support für den XTS-Modus. Gibt es Gründe dafür oder übersehe ich etwas?

Nähere Infos zur Problematik von ECB-Mode bei Festplattenverschlüsselung in der Wikipedia: http://en.wikipedia.org/wiki/Disk_encryption_theory

Jede Blockchiffre wird als ECB (Electronic Code Book) implementiert. Block-cipher modes of operation (bspw. CBC, CFB, LRW oder XTS) sind für alle Blockchiffren gleichn und benutzen dann die ECB-Funktion der jeweiligen Blockchiffre um die Verschlüsselung durchzuführen.

TrueCrypt verwendet selbstverständlich weiterhin den LRW bspw. XTS-Modus nach der Änderung. Die Verschlüsselung ist absolut identisch.

Die Implementation für LRW/XTS ist in TrueCrypt weiterhin C/C++, das auf Assembler umzuschreiben bringt aber so gut wie keinen Performancegewinn.

Alles klar, das klingt doch super!

[…] Weitere Informationen zu TrueCrypt 5 gibt es im Übrigen hier: TrueCrypt 5 […]

[…] Informationen zu TrueCrypt 5 yigg_url=’http://www.daily-prophet.net/truecrypt-5/‘; Dieser Beitrag wurde von Carlos am 16. […]