System-Verschlüsselung: BitLocker und TrueCrypt im Vergleich

Prozessoren unterstützen AES, softwareseitig gibt es zwei bekannte Lösungen. Daher ist es an der Zeit, die beiden Systemverschlüsselungs-Tools auf Core i5 Dual- und Quad-Cores zu testen.

Mircosoft hat Bitlocker, ein Werkzeug zur Laufwerksverschlüselung, in Windows Vista und Windows 7 integriert. Allerdings nur in den beiden Top-Editionen Enterprise und Ultimate. Gleichzeitig gibt es eine leistungsstarke Alternative zu BitLocker: TrueCrypt ist Open Source und bietet eine höhere Flexibilität. Wir haben uns dafür entschieden, Funktionen und Performance beider Lösungen zu vergleichen.

Wir haben vor etwas mehr als einem Jahr bereits einen umfassenden Artikel über TrueCrypt 6.1 veröffentlicht. In diesem Artikel geht es um den Vorgang, wie man eine Windows Systempartition verschlüsselt und wir haben zudem Benchmarks sowie Akkulaufzeit-Tests auf einem Notebook durchgeführt. Das Fazit sieht vielversprechend aus: TrueCrypt 6 ermöglicht ein per Passwort geschütztes System  sowie die Verschlüsselung während der Laufzeit mit geringfügigen Auswirkungen hinsichtlich der Akkulaufzeit und Performance.

Wir sind der Meinung hier nicht weiter auf die Gründe eingehen zu müssen, weshalb viele Anwender ihre Daten oder ihr gesamtes System verschlüsseln sollten. Ein Datenverlust ist eine Sache und kann normalerweise behoben werden (selbst wenn die Kosten dafür oftmals sehr hoch sind). Aber Daten, die Gefahr laufen in die falschen Hände zu fallen könnten eine ernsthafte Bedrohung für Unternehmen und Anwender darstellen.

Dieses Mal wollten wir wissen, ob diese Ergebnisse lediglich für TrueCrypt gelten oder ob man genauso gut BitLocker von Microsoft einsetzen kann, welches  Bestandteil der Enterprise- und Ultimate-Editionen von Windows Vista und Windows 7 ist. Macht es Sinn, sich auf Grund des BitLocker-Tools für eine dieser Windows-Editionen zu entscheiden? Oder verrichtet das kostenlose TrueCrypt diese Arbeit ebenso gut?

Ein weiterer Grund für einen Blick auf die Verschlüsselungslösungen ist die Verfügbarkeit zusätzlicher AES New Instructions (AES-NI) in den Mainstream Core i5-Dual-Prozessoren (Clarkdale). Können BitLocker und TrueCrypt diese Vorteile nutzen? Finden wir es heraus.

Erstelle einen neuen Thread im Artikel-Forum über dieses Thema
Dieser Thread ist für Kommentare geschlossen
33 Kommentare
    Dein Kommentar
  • Milo
    danke für den test. für mich war truecrypt bisher immer die nr 1, wenn es darum ging sensible daten zu verwahren und das wird auch so bleiben. wer es noch nicht kennt, sollte sich damit vertraut machen.

    LG
    0
  • pschmid
    Gern geschehen. TrueCrypt ist nach unserer Erfahrung sehr einfach zu handhaben - das reduziert die Hürden, es einmal auszuprobieren.
    0
  • Nexus7
    truecrypt wurde doch schon vor geraumer zeit umgangen und ist angeblich nicht daran interessiert diese lücke zu schliessen (laut aussage des typen der es umgangen hat)

    http://www.heise.de/newsticker/meldung/Bootkit-hebelt-Festplattenverschluesselung-aus-748859.html

    oder hat jemand dazu neue informationen?
    0
  • Nexus7
    nexus7truecrypt wurde doch schon vor geraumer zeit umgangen und ist angeblich nicht daran interessiert diese lücke zu schliessen (laut aussage des typen der es umgangen hat)

    http://stoned-bootkit.blogspot.com/

    http://www.heise.de/newsticker/mel [...] 48859.htmloder hat jemand dazu neue informationen?
    0
  • Prinz Valium
    @nexus7 das wäre in der Tat gut zu wissen. Viele arbeiten ja Grundsätzlich mit Adminrechten bei denen würde der Schutz als nutzlos sein.
    0
  • I-HaTeD2
    Hätte ja nicht gedacht das der Leistungsunterschied so marginal ist. Fragt sich nur wieso man Systeme nicht gleich von Haus aus Standardmäßig verschlüsselt.
    0
  • dabiggy
    Ich habe zu Hause meine externe Partition in 2 Container, einer ist versteckt, der andere nicht, beide sind 3-fach encrypted (blowfish - aes und das andere eben und die andere Partition anders rum)...

    Gibt es vielleicht auch Werte wie der Unterschied zur Performance einer Systempartion ist wenn:

    a) eine Verschlüsselung
    b) zwei verschiedene Verschlüsselungen
    c) alle drei Verschlüßelungen

    gentuzt werden?

    Die unterschiedlichen Hash-Algorythmen üben sich nicht auf die Leistung aus, oder?
    0
  • aarfy
    Ich warte momentan noch auf die GPGPU Implementierung der kaskadierenden Verschlüssellungen - da dort dann wesentlich längere Schlüssel ohne nennenswerte Geschwindigkeitseinbußenmöglich sein sollten - mal schauen ob sowas noch kommt.

    Zitat:
    truecrypt wurde doch schon vor geraumer zeit umgangen und ist angeblich nicht daran interessiert diese lücke zu schliessen (laut aussage des typen der es umgangen hat)

    http://www.heise.de/newsticker/mel [...] 48859.html

    oder hat jemand dazu neue informationen?


    Das ist kein echtes Problem - bei Zugriff auf deine HW vor dem entschlüsseln kann man auch eine Kamera/ nen HW Keylogger installieren oder deinen Authentifizierungs USB Stick kopieren.. Damit könnte man jede Verschlüsselung brechen. Daher wirst du diesbezüglich kaum einen Fix finden.

    Die Encryption selber gilt offiziell noch als sicher - wobei ich eher kein AES128 mehr verwenden würde sondern minimum AES 256 eher kaskadierende Methoden bevorzugen würde.
    0
  • jo-82
    Wer Bitlocker als ernst zunehmende Verschlüsselungslösung hält, braucht eigentlich gleich gar nicht zu verschlüsseln, schließlich hat jeder bessere Geheimdienst sein Hintertürchen, speziell die Amis...

    Und dann ist da noch das Problem mit dem Schraubenschlüssel:
    http://xkcd.com/538/
    0
  • Nexus7
    Aber wenn zb. eine Behörde oder die Business software alliance auf Verdacht bei Raubkopien einen pc sicherstellt weil über diese IP etwas heruntergeladen wurde was verdächtig ist oder Tauschbörsen genutzt wurden ec. dann können die ja die Festplattenverschlüsselung mit dem Bootkit umgehen auch wenn man das passwort nicht rausrückt.

    Wenn die Verschlüsselung dann nicht hilft für was ist sie dann da? Wenn man den PC laufen hat ist er ja sowieso entschlüsselt zb. wenn man die Systempatition bei Truecrypt verschlüsselt hat, also für zb. Hacker die online arbeiten hilft es auch nichts.

    Verstehe ich da was nicht oder bringt Truecrypt nichts? oder in welchem Szenario würde es was bringen?
    0
  • xhool
    @nexus7

    Ich glaube, du hast da was falsch verstanden. Truecypt gilt grundsätzlich als sicher, wenn sich der Computer in einem ausgeschalteten Zustand befindet und diverse Vorkehrungen getroffen hat (Komplettverschlüsselung, längeres Passwort mit Sonderzeichen etc., nähere Informationen siehe www.truecrypt.org ) . Um dieses Bootkit zu installieren, muss das OS gebootet sein und der Angreifer muss Zugriff auf das System am Rechner selber haben.

    Zudem gibt es noch andere Versuche, ein Truecrypt Passwort auszulesen; beispielsweise gibt es eine Methode, bei gebootetem System den Strom vom System zu trennen (ohne das System herunterzufahren), den RAM-Riegel mit Eisspray zu kühlen, danach auszubauen und so in einem anderen System das PW auszulesen.

    Du siehst also: Ein eingeschalteter Rechner hat immer ein Risiko, geknackt zu werden; im ausgeschaltetem Zustand ist es jedoch schwierig bis unmöglich, Truecrypt zu knacken, solange man es richtig eingerichtet hat.
    0
  • mareike
    ....Wenn die Verschlüsselung dann nicht hilft für was ist sie dann da?....

    Die Verschlüsselung kann verschiedene aufgaben haben. zum einen suggeriert sie dem anwender eine gewisse sicherheit. das führt dazu das keine anderen sicherungsvorkehrungen getroffen werden, und die daten weiter zugänglich bleiben. (für dienste/ industriespionage )

    zum anderen haben dienste das problem im datenhaufen die stecknadeln zu finden. hierbei hilft der zu überwachende selbst indem er seine daten durch nutzung von verschlüsselungssoftware selbst selektiert. logisch das in verschlüsselten daten eher interesantes zu finden ist als in unverschlüsselten. (rasterfahndung/fischen im trüben)

    durch den einsatz von technologie(verschlüsselung) hat der besitzer der selben zugang und die anderen (konkurenten) werden ausgesperrt.

    so horcht der ami übers BS, wärend der chinese über die firmware deiner neuen made in china festplatte schnuffelt, und der iwan hat vieleicht ein antivirenprogramm mit sehnsucht zur heimat.

    wenn es eine firma gäbe die ein funktionierendes verschlüsselungsprogramm
    anbietet würde sie sofort weggekauft, gehackt oder infiltriert. dafür ist der wissensdurst interesierter kreise viel zu gross.
    0
  • fragger
    Um etwas in den MBR zu schreiben, muss das verschlüsselte BS nicht laufen... da tuts auch ein von CD/DVD gestartetes BS, von dem ich dann zB. das Bootkit installieren könnte.

    Ergo ist eine Verschlüsselung mit Truecrypt in der Tat Sinnfrei.
    Auch wenn die Verschlüsselung selbst vielleicht sicher ist, nützt es ja nichts, wenn ich sie einfach umgehen kann^^
    (gesetzt dem Fall, ich habe physischen Zugriff auf den Rechner -> zB. Beschlagnahmung)

    Die versteckte Partition ist genauso Sinnlos... Sowie ein TC Bootloader vorhanden ist, würde ich als Verbrecher/Ermittler/Hacker oder was auch immer, pauschal davon ausgehen, dass Sie da ist, was dann das tolle Konzept von "plausible deniability" quasi AdAbsurdum führt^^
    -2
  • Nexus7
    @fragger

    wenn das wirklich so ist wieso sagt das nicht jemand denen von thg das sie das auch wissen und mal drüber was schreiben?
    0
  • xhool
    @fragger

    Deine Aussage ist leider falsch, oder zumindest unvollständig. Du kannst, wenn du physischen Zugang zum Rechner hast, natürlich alles installieren, wie du lustig bist, keine Frage. Nur kannst du die Verschlüsselung deswegen noch lange nicht knacken, da der User das PW noch einmal NACH der Installation des Bootkits eingeben muss.

    Folglich müßte ein Datendieb erstmal in Dein Haus/Firma/Geschäft etc. einbrechen, das Bootkit installieren und ein paar Tage später wiederkommen, um das System nochmal einzukassieren. In einer Firma, wo man ständig Zugriff auf den Rechner hätte, würde dies wohl ein Problem darstellen, aber Truecrypt bietet für den privaten Gebrauch wohl in 99,9% aller Fälle genügend Sicherheit, insbesondere in klassischen Szenarien wie Notebookdiebstahl oder als Schutz vor dem Zugriff anderer.
    Nochmal zur Betonung: Es gibt keinen dokumentierten Fall, wo irgendeine Ermittlungsbehörde ein sicheres (langes) Truecrypt-PW knacken konnte (wenn der Rechner zum Zeitpunkt der Beschlagnahmung im ausgeschalteten Zustand war), da die Polizei etc. nicht in Häuser unbemerkt einbricht, einen Keylogger installiert und die offizielle Hausdurchsuchung wenig später durchführt.
    1
  • FormatC
    Sehe ich auch so.

    Hier muss man wirklich den Praxisbezug betrachten und nicht die theoretische Möglichkeit, etwas vielleicht mit großem Aufwand zu umgehen. Dann schon lieber gleich dem Benutzer unter Androhung von physischem Zugriff das Passwort entlocken ;)
    1
  • fragger
    @xhool:
    hast recht, habs grad nochmal nachgelesen...

    Allerdings kann ich TrueCrypt dennoch nicht mehr ernst nehmen, denn es gäbe mehrere sehr einfache Wege, diesen Angriff (so unwahrscheinlich er bei Desktops auch sein mag, bei Notebooks ist er ohne weiteres zu machen) zu verhindern. Aber die Entwickler von TC haben nicht besseres zu tun, den Schreiber des Bootkits zu beleidigen, in ihren Foren jede Diskussion darüber sofort abzuwürgen und das Problem totzuschweigen...

    Stattdessen hätte man auch, wie ich es von Herstellern einer Sicherheitssoftware erwarten würde, sich an die Tastatur klemmen können, 10 Zeilen Code schreiben und dieser Angriff wäre nicht mehr möglich.

    Wer weiss, was die Entwickler von TC noch so an (ihnen bekannten)Sicherheitslücken verschwiegen haben?
    0
  • pmfcmmak
    fraggerAllerdings kann ich TrueCrypt dennoch nicht mehr ernst nehmen, denn es gäbe mehrere sehr einfache Wege, diesen Angriff (so unwahrscheinlich er bei Desktops auch sein mag, bei Notebooks ist er ohne weiteres zu machen) zu verhindern.


    Dann lass deinen Worten Taten folgen und erleuchte uns Dummen mit deiner 'sehr einfachen' Lösung dieses Problems!

    Nur um das noch einmal klar zu stellen: Vernünftige Konfiguration vorausgesetzt kann ohne Passwort auf TrueCrypt verschlüsselte Daten *nicht* zugegriffen werden. Um diesen Angriff erfolgreichen durchzuführen braucht der Malifikant mehrfachen physikalischen Zugang zu deinem Computer. Sollte ihm dies möglich sein hasst du jedoch andere Sicherheitsprobleme als deinen TrueCrypt-Container (wobei es eigentlich ein Angriff auf sämtliche auf den Computer laufende Software ist, und nicht auf TrueCrypt an sich).
    0
  • fragger
    Eine Lösung,die mir einfällt, wäre, den MBR bei jedem Systemstart nach der Preboot Authentifizierung zu überprüfen und ggf. neu zu Überschreiben...
    ...oder den MBR optional einfach mit dem TC Bootloader vollmachen, sodass für anderes kein (unverschlüsselter) Platz mehr da ist
    ...keine Große Sache, an und für sich.

    Mehrfacher Zugang zum Rechner: Schonmal ein Notebook z.B in 'ner Bib dabei gehabt und kurz unbeaufsichtigt gelassen um ein Buch zu holen und auf Kensington verlassen? Ich ja...

    Sicher ist so ein Angriff nicht sehr wahrscheinlich, und vermeidbar, wenn man sehr vorsichtig ist, aber es könnte einem doch mal passieren...

    Wie gesagt, von Herstellern einer Verschlüsselungssoftware erwarte ich, dass sie auf gegebene Probleme nach Bekanntwerden reagieren, zumindest, wenn die Lösung nicht extrem Aufwändig ist. Ansonsten kann ich mir als Hersteller auch tolle Feature wie 3Fachverschlüsselung sparen. Die wahrscheinlichkeit, das davon in absehbarer Zeit Eine geknackt wird ist deutlich kleiner, als das irgendwer meinen Rechner zweimal in die Hände bekommt...

    @pmfcmmak:
    Zitat:
    ...und erleuchte uns Dummen mit deiner 'sehr einfachen' Lösung dieses Problems!

    war sehr Zielführend^^
    0
  • freeman303
    Die Truecrypt Entwickler sollten die folgende Änderung implementieren:

    Den MBR + freie Bereiche davon beim ersten Verschlüsselungsvorgang kopieren und im verschlüsselten Bereich abspeichern.

    Nach jedem TC-Login beim Systemstart sollte der aktuelle MBR mit der zuvor davon gemachten Kopie des MBR im verschlüsselten Bereich verglichen werden und bei Abweichungen der User davon in Kenntnis gesetzt werden.

    Der User könnte dann entscheiden, ob der neue geänderte MBR belassen wird oder mit dem früher gesicherten MBR überschrieben werden soll (somit in den Ursprungszustand versetzt werden soll).

    Gruss
    Freeman
    0