Angriff auf Truecrypt
TrueCrypt gilt als Software der Wahl, um Daten systematisch zu verschlüsseln. Mit dem kleinen Tool TCHead rückt man der Verschlüsselung systematisch zu Leibe.
Das Tool TCHead entschlüsselt die Verwaltungsinformationen im Header eines Truecrypt-Containers. Das kann eine Datei oder auch ein kopiertes System-Volume einer komplettverschlüsselten Festplatte sein. Selbstverständlich benötigt man dazu das Passwort. Hat man das nicht zur Hand, kann TCHead eine Wortliste durchprobieren. Es bietet dabei aber nichts von den Zusatzfunktionen des Knacktools John The Ripper, das diese Vorgaben systematisch variieren kann; also etwa Klein- in Großbuchstaben verwandelt oder sie nach 1337-Speak konvertiert.
Außerdem ist TCHead bei solchen Wörterbuch-Attacken äußerst laaaaaaaaaangsam. Für einen kurzen Test mit 1000 Passwort-Kandidaten benötigte das Tool auf einem recht flotten PC rund eine Minute. Zum Vergleich: Passwortknacker rechnen normalerweise in Millionen Versuchen pro Sekunde. Die mangelnde Performance liegt vor allem daran, dass Truecrypt die zu testenden Keys intern mit der Password-Based Key Derivation Function 2 (PBKDF2) ablegt, die speziell darauf ausgelegt ist, solche Tests nach Kräften zu verlangsamen.
Und schließlich kann TCHead zwar mit den üblichen Verschlüsselungsverfahren wie AES, Serpent und Twofish umgehen. Allerdings bietet Truecrypt die Option kaskadierende Algorithmen wie die Kombination AES-Serpent einzusetzen. Unsere Versuche, TCHead auf solche Kombi-Container anzusetzen, scheiterten jedoch ohne Fehlermeldung – obwohl sich das gesuchte Passwort durchaus in der Liste befand. Wie einer der TCHead-Autoren gegenüber heise Security bestätigte, unterstützt das Tool die gemischten Verschlüsselungsverfahren derzeit noch nicht. Die Implementierung stehe jedoch auf der ToDo-Liste.
Zum Download gibt es ein statisch gelinktes Linux-Binary und die Quellen, die sich auf einem Ubuntu 12.04 LTS mit ein paar Handgriffen übersetzen ließen. Auch ein Skript, um mit g++ eine Windows-Version zu bauen, findet sich dort, das wir allerdings nicht ausprobiert haben.
Fazit: TCHead ist eine der wenigen Möglichkeiten, verschlüsselten Truecrypt-Containern systematisch zu Leibe zu rücken und somit ein nützliches Tool für die Sammlung jedes Forensikers. Hat sich der Ersteller jedoch mit der Passphrase einigermaßen Mühe gegeben, sollte man sich nicht allzu viel Hoffnung auf Erfolg machen.
Update 24.10. 9:20: Wir haben nach Hinweisen von Lesern auf alternative Tools, die der Redaktion noch nicht bekannt waren, die Einschätzung etwas relativiert. Wir werden uns die anderen Tools ebenfalls ansehen und gegebenenfalls vorstellen.
(ju)
