Datenverschlüsselung – TrueCrypt, DiskCryptor, Bitlocker

Verschlüsselung

Datensicherheit ist ein heikles Thema, allerdings machen sich wohl die wenigsten Nutzer Gedanken, wie sie ihre Daten schützen können – ein Grund mag der damit verbundene Aufwand sein. Allerdings gibt es viele Szenarien bei denen ein Eindringling Schaden mit persönlichen Daten anrichten könnte, sodass es sich definitiv nicht um Zeitverschwendung handeln würde, sich mit dem Thema auseinander zu setzen. Den Meisten dürfte bekannt sein, dass der System-Login im Allgemeinen keinen großen Schutz bietet und auch in relativ kurzer Zeit umgangen werden kann. Deshalb möchte ich euch heute drei bekannte Programme vorstellen und die damit verbundenen Vor- und Nachteile aufzeigen.

Vorwort

In diesem Artikel beschäftigen wir uns mit den Möglichkeiten, welche uns durch diese Programme gegeben sind und weniger mit der Handhabung. Ebenso möchte ich Bezug auf Solid State Drive kurz SSD nehmen. Dem Leser sollen die Unterschiede aufgezeigt werden, um sich zum einen mit der Materie auseinander zu setzen und zum anderen die korrekte Wahl für sich selbst treffen zu können.

  • TrueCrypt (Verfügbar ab Windows 2000, OS X 10.4 und Linux, TrueCrypt Foundation)
  • DiskCryptor (Freie Software GPLv3 für Windows-Betriebssysteme, ntldr)
  • Bitlocker (enthalten in Windows Vista / 7 Ultimate sowie Server 2008 Enterprise, Microsoft)
Solide State Drive

SSDs weisen in der Regel, im Vergleich zu herkömmlichenSolideStateDrive HDDs, einen hohen Datendurchsatz auf – speziell bei zufälligem Lesen und Schreiben. Dadurch werden sie lukrativ für verschlüsselte Partitionen oder Container. Allerdings kann es zu einigen Problemen in Verbindung mit SSDs kommen, da sie sich grundlegend von einer herkömmlichen Festplatten unterscheiden.

An erster Stelle steht hierbei der TRIM-Befehl. Er wird von den Solide State Drives genutzt um ungenutzte bzw. defekte  Speicherblöcke zu Markieren, damit zu einem späteren Zeitpunkt bekannt ist, an welcher Stelle wieder geschrieben werden darf. So kann es im Zusammenspiel mit einem Verschlüsselungsprogramm dazu kommen, dass dieser Befehl nicht korrekt weiterverarbeitet wird, was unter Umständen die Leistung und Lebensdauer der SSD beeinträchtigt. Bekannt ist zur Zeit nur, dass bei dem Programm TrueCrypt in Verbindung mit einer Systemverschlüsslung korrekt gearbeitet wird, da der Befehl an den Kontroller weitergegeben wird. In diesem Zusammenhang ist es einem Angreifer allerdings möglich, durch den TRIM Befehl die tatsächliche Datenmenge auf einer SSD zu ermitteln.

Teilweise wird auch von Nutzern empfohlen, einen Teil der SSD unpartitioniert zu lassen, damit der SSD-Kontroller mehr Handlungsspielraum hat – in Verbindung mit Wear-Leveling.

TrueCrypt

Mit TrueCrypt ist es möglich Festplatten bzw. Partitionen, einzelne DateienTrueCrypt (sogenannte Container) oder Wechseldatenträger zu verschlüsseln. Verwendet werden können die Algorithmen AES, Twofish und Serpent sowie eine Verknüpfung dieser. Bei der Verschlüsselung eines ganzen Datenträgers, sei es ein USB-Gerät oder eine interne Festplatte, ist jederzeit das Programm TrueCrypt von Nöten um den Datenträger zu öffnen – TrueCrypt selbst ist „portable“. Sollte man versuchen den Datenträger (unter Windows) trotzdem zu öffnen, so schlägt das System einen Formatierungsvorgang vor, daher ist bei unwissenden (Mitbe-)Nutzern Vorsicht geboten.

Das besondere an TrueCrypt ist, neben der möglichen Verschlüsselung der Systempartition, dass Containersystem. Hierbei wird dem Nutzer die Möglichkeit geboten eine einzelne Datei an einem beliebigen Ort abzulegen. In dieser Datei befindet sich ein Dateisystem, welches von TrueCrypt verwaltet wird. Das heißt nur anhand dieser Datei ist es nicht möglich zu erkennen welchen Inhalt sie hat und das es sich überhaupt um eine von TrueCrypt erstellte Datei handelt. Öffnet der Nutzer diese Datei mittels TrueCrypt, so wird diese als Festplatte angezeigt (bzw. unter Linux in einen Ordner gemountet).

Basierend darauf bietet TrueCrypt zusätzlich den sogenannten “hidden”-Container an. Hierbei handelt es sich quasi um einen Container in einem Container. Beiden Containern werden verschiedene Passwörter alternativ auch Keyfiles zugeordnet. Wird nun der Besitzer gegebenenfalls dazu gedrängt das Passwort herauszugeben so kann er das Passwort des Containers nennen, welcher keine sensiblen Daten enthält.

TrueCrypt

Positive Eigenschaften

  • (Hidden-)Container-Funktion
  • Open Source
  • Portable Mode
  • AES, Twofish und Serpent Unterstützung

Negative Eigenschaften

  • Lizenzproblem
  • Keine Systemverschlüsselung bei Linux
DiskCryptor

Bei DiskCryptor handelt es sich um eine Freie Software, DiskCryptorwelche unter der GPLv3 Lizenz steht, allerdings nur für Windows 2000 und höher angeboten wird. Zur Verschlüsslung stehen dem Nutzer die Algorithmen AES, Twofish und Serpent zur Verfügung, alternativ können diese auch miteinander verknüpft werden. Bestehende (System-)Partitionen können ohne das Löschen der Daten verschlüsselt werden. Das Programm weist eine hohe Geschwindigkeit auf, so werden die Daten mit über 100 MByte/s pro Prozessorkern die Daten verschlüsselt. Der Grund dafür ist, dass ein Großteil des Programmes in hochoptimiertem Assembler-Code geschrieben wurde und damit auch nur eine Größe von ~100 kByte aufweist.

Des Weiteren bietet das Programme eine volle Unterstützung für Außenspeichergeräte, dass bedeutet das neben externen USB-Speichermedien auch die Verschlüsslung von CDs und DVDs unterstützt wird.

Ein weiterer Sicherheitsschutz, den das Programm bietet, ist, dass gespeicherte Passwörter immer im sogenannten “NonPagedPool” gehalten werden. Das bedeutet, dass sie niemals in in die Auslagerungsdatei ((virtueller) Arbeitsspeicher) ausgelagert werden. Über eine Funktion im Menü können diese Passwörter gelöscht werden, alternativ ist auch eine Abschaltung möglich.

DiskCryptor

Positive Eigenschaften

  • Open Source
  • AES, Twofish und Serpent Unterstützung
  • AES-Hardwarebeschleunigung

Negative Eigenschaften

  • Nur für Windows
  • Keine Container-Funktion
Bitlocker

Bitlocker steht nur denen zur Verfügung, die über eineBitLocker der oben genannten Windows-Versionen verfügen. Im Gegensatz zu den anderen Programmen benötigt BitLocker eine eigene Partition auf der Festplatte – der Vorteil dessen ist, dass es vor dem eigentlichen Betriebssystem starten und so überprüfen kann, ob Hardwareveränderungen vorgenommen worden sind. Optional lässt sich in diesem Fall eine PIN-Eingabe erzwingen, hierfür wird allerdings ein Trusted Platform Module benötigt. Steht dieses Modul nicht zur Verfügung, kann der Nutzer alternativ einen USB-Stick mit einer Keyfile verwenden. Als Verschlüsslungsalgorithmus kommt AES zum Einsatz, wahlweise mit 128 oder 256-Bit.

Wie auch bei TrueCrypt, ist es bei dieser Software möglich einen Angriff zu fahren, indem man versucht Passwörter oder andere benötigte Daten aus dem Arbeitsspeicher zu sichern / zu laden. Aktuell befinden sich sogar Programme auf dem internationalen Markt, die damit werben, das Passwort “wiederherstellen” zu können.

BitLocker

Positive Eigenschaften

  • AES Unterstützung
  • Prüft Hardwareänderungen

Negative Eigenschaften

  • Closed Source
  • Nur für bestimmte Windows Versionen
  • Keine Container-Funktion
Abschluss

Natürlich gibt es neben diesen drei Programmen noch eine Vielzahl an weiteren Programmen, wie FreeOTFE, CrossCrypt, dm-crypt und andere kommerzielle Programme, die es sich natürlich ebenso lohnt anzuschauen. Ich hoffe, ich konnte dem Leser einen Denkanstoß geben und ihm die Wahl vereinfachen. Sollte jemand Fehler finden, so würde ich mich, wie immer, über eine kurze E-Mail (TimoATnicht-blauDOTde) oder einen Kommentar freuen.