Bericht: Vista, Word und Google Desktop hebeln TrueCrypt-Funktion aus
Krypto-Guru Bruce Schneier hat nun in Zusammenarbeit mit einer Forschergruppe die Sicherheit von TrueCrypts 5.1a Hidden Volumes untersucht. Die aktuelle Version 6.0 bietet jetzt zusätzlichen Schutz.
- Daniel Bachfeld
"Wie Sie sehen, sehen Sie nichts." Diese unter TrueCrypt als "Hidden Volumes" implementierte Funktion soll die Existenz verschlüsselter Dateien verschleiern. Der Besitzer eines PCs soll so abstreiten können, dass er bestimmte Daten auf seinem PC verschlüsselt hat. Selbst wenn beispielsweise ein Verdächtiger den Ermittlungsbehörden seinen Schlüssel zu einem äußeren Container offenbart, um einer Strafe zu entgehen, kann er stets die Existenz eines versteckten inneren Containers abstreiten (Deniable encryption). Die einzige Lösung des Problems besteht darin, Verschlüsselung ganz zu verbieten.
Krypto-Guru Bruce Schneier hat nun in Zusammenarbeit mit einer Forschergruppe die populäre Verschlüsselungssoftware TrueCrypt daraufhin untersucht, ob sie die Anforderungen an so genannte Deniable File Systems (DFS) (unter TrueCrypt als Hidden Volumes umgesetzt) erfüllt und sich wirklich die Existenz eines Volumes in einer üblichen Systemumgebung verbergen lässt.
Während das getestete TrueCrypt 5.1a offenbar selbst kaum Angriffspunkte lieferte, untergraben beispielsweise Vista, Word und Google Desktop das Prinzip der Abstreitbarkeit. Sobald ein Anwender ein verstecktes Volumen öffnet, hinterlässt er damit unter anderem Spuren in der Windows-Registry, etwa eine eindeutige Volume-ID. Zudem kann eine bearbeitete Datei später auch in der Liste der zuletzt geöffneten Dokumente mit Link auftauchen.
Auch Word kann laut Schneier sowohl die Verschlüsselung als auch die Abstreitbarkeit aushebeln, wenn die Autosave-Funktion aktiviert ist. Mit einfachen Daten-Wiederherstellungstools war es ihnen möglich, eine im versteckten Ordner bearbeitete Word-Datei zu restaurieren. Ähnlich fatale Folgen kann auch das Programm Google Desktop haben, das vielerlei Arten von Dateien indiziert, sobald ein Volume geöffnet ist.
Einige der Probleme sind in TrueCrypt 6.0 bereits gelöst worden. Dazu gehört, dass sich nun das gesamte Betriebssystem in einem inneren Container verstecken lässt. Je nachdem welches Passwort der Anwender beim Booten eingibt, startet das nur verschlüsselte oder das verschlüsselte und versteckte System. Dort ist es dann egal, ob das Betriebssystem oder eine Anwendung irgendwelche Hinweise hinterlässt.
Die Gruppe um Schneier will ihre Ergebnisse auf der USENIX HotSec '08 Ende dieses Monats präsentieren. Das siebenseitige Paper dazu ist aber bereits als PDF verfügbar.
Siehe dazu auch:
- Defeating Encrypted and Deniable File Systems: TrueCrypt v5.1a and the Case of the Tattling OS and Applications, Studie von A. Czeskis, D. J. St. Hilaire, K. Koscher, S. D. Gribble, T. Kohno und B. Schneier
(dab)
