Anmelden / Registrieren

System-Verschlüsselung: BitLocker und TrueCrypt im Vergleich

System-Verschlüsselung: BitLocker und TrueCrypt im Vergleich
Von , Achim Roos

Prozessoren unterstützen AES, softwareseitig gibt es zwei bekannte Lösungen. Daher ist es an der Zeit, die beiden Systemverschlüsselungs-Tools auf Core i5 Dual- und Quad-Cores zu testen.

Mircosoft hat Bitlocker, ein Werkzeug zur Laufwerksverschlüselung, in Windows Vista und Windows 7 integriert. Allerdings nur in den beiden Top-Editionen Enterprise und Ultimate. Gleichzeitig gibt es eine leistungsstarke Alternative zu BitLocker: TrueCrypt ist Open Source und bietet eine höhere Flexibilität. Wir haben uns dafür entschieden, Funktionen und Performance beider Lösungen zu vergleichen.

Wir haben vor etwas mehr als einem Jahr bereits einen umfassenden Artikel über TrueCrypt 6.1 veröffentlicht. In diesem Artikel geht es um den Vorgang, wie man eine Windows Systempartition verschlüsselt und wir haben zudem Benchmarks sowie Akkulaufzeit-Tests auf einem Notebook durchgeführt. Das Fazit sieht vielversprechend aus: TrueCrypt 6 ermöglicht ein per Passwort geschütztes System  sowie die Verschlüsselung während der Laufzeit mit geringfügigen Auswirkungen hinsichtlich der Akkulaufzeit und Performance.

Wir sind der Meinung hier nicht weiter auf die Gründe eingehen zu müssen, weshalb viele Anwender ihre Daten oder ihr gesamtes System verschlüsseln sollten. Ein Datenverlust ist eine Sache und kann normalerweise behoben werden (selbst wenn die Kosten dafür oftmals sehr hoch sind). Aber Daten, die Gefahr laufen in die falschen Hände zu fallen könnten eine ernsthafte Bedrohung für Unternehmen und Anwender darstellen.

Dieses Mal wollten wir wissen, ob diese Ergebnisse lediglich für TrueCrypt gelten oder ob man genauso gut BitLocker von Microsoft einsetzen kann, welches  Bestandteil der Enterprise- und Ultimate-Editionen von Windows Vista und Windows 7 ist. Macht es Sinn, sich auf Grund des BitLocker-Tools für eine dieser Windows-Editionen zu entscheiden? Oder verrichtet das kostenlose TrueCrypt diese Arbeit ebenso gut?

Ein weiterer Grund für einen Blick auf die Verschlüsselungslösungen ist die Verfügbarkeit zusätzlicher AES New Instructions (AES-NI) in den Mainstream Core i5-Dual-Prozessoren (Clarkdale). Können BitLocker und TrueCrypt diese Vorteile nutzen? Finden wir es heraus.

Alle 33 Kommentare anzeigen.
Auf dieser Seiten können keine Kommentare mehr abgegeben werden
Sortieren nach: Neueste zuerst | Älteste zuerst
  • Milo , 9. März 2010 18:54
    danke für den test. für mich war truecrypt bisher immer die nr 1, wenn es darum ging sensible daten zu verwahren und das wird auch so bleiben. wer es noch nicht kennt, sollte sich damit vertraut machen.

    LG
  • pschmid , 9. März 2010 18:57
    Gern geschehen. TrueCrypt ist nach unserer Erfahrung sehr einfach zu handhaben - das reduziert die Hürden, es einmal auszuprobieren.
  • Nexus7 , 9. März 2010 19:30
    truecrypt wurde doch schon vor geraumer zeit umgangen und ist angeblich nicht daran interessiert diese lücke zu schliessen (laut aussage des typen der es umgangen hat)

    http://www.heise.de/newsticker/meldung/Bootkit-hebelt-Festplattenverschluesselung-aus-748859.html

    oder hat jemand dazu neue informationen?
  • Nexus7 , 9. März 2010 19:33
    nexus7truecrypt wurde doch schon vor geraumer zeit umgangen und ist angeblich nicht daran interessiert diese lücke zu schliessen (laut aussage des typen der es umgangen hat)

    http://stoned-bootkit.blogspot.com/

    http://www.heise.de/newsticker/mel [...] 48859.htmloder hat jemand dazu neue informationen?

  • Prinz Valium , 9. März 2010 22:54
    @nexus7 das wäre in der Tat gut zu wissen. Viele arbeiten ja Grundsätzlich mit Adminrechten bei denen würde der Schutz als nutzlos sein.
  • I-HaTeD2 , 10. März 2010 06:25
    Hätte ja nicht gedacht das der Leistungsunterschied so marginal ist. Fragt sich nur wieso man Systeme nicht gleich von Haus aus Standardmäßig verschlüsselt.
  • dabiggy , 10. März 2010 07:44
    Ich habe zu Hause meine externe Partition in 2 Container, einer ist versteckt, der andere nicht, beide sind 3-fach encrypted (blowfish - aes und das andere eben und die andere Partition anders rum)...

    Gibt es vielleicht auch Werte wie der Unterschied zur Performance einer Systempartion ist wenn:

    a) eine Verschlüsselung
    b) zwei verschiedene Verschlüsselungen
    c) alle drei Verschlüßelungen

    gentuzt werden?

    Die unterschiedlichen Hash-Algorythmen üben sich nicht auf die Leistung aus, oder?
  • aarfy , 10. März 2010 11:04
    Ich warte momentan noch auf die GPGPU Implementierung der kaskadierenden Verschlüssellungen - da dort dann wesentlich längere Schlüssel ohne nennenswerte Geschwindigkeitseinbußenmöglich sein sollten - mal schauen ob sowas noch kommt.

    Zitat :
    truecrypt wurde doch schon vor geraumer zeit umgangen und ist angeblich nicht daran interessiert diese lücke zu schliessen (laut aussage des typen der es umgangen hat)

    http://www.heise.de/newsticker/mel [...] 48859.html

    oder hat jemand dazu neue informationen?


    Das ist kein echtes Problem - bei Zugriff auf deine HW vor dem entschlüsseln kann man auch eine Kamera/ nen HW Keylogger installieren oder deinen Authentifizierungs USB Stick kopieren.. Damit könnte man jede Verschlüsselung brechen. Daher wirst du diesbezüglich kaum einen Fix finden.

    Die Encryption selber gilt offiziell noch als sicher - wobei ich eher kein AES128 mehr verwenden würde sondern minimum AES 256 eher kaskadierende Methoden bevorzugen würde.
  • jo-82 , 10. März 2010 11:39
    Wer Bitlocker als ernst zunehmende Verschlüsselungslösung hält, braucht eigentlich gleich gar nicht zu verschlüsseln, schließlich hat jeder bessere Geheimdienst sein Hintertürchen, speziell die Amis...

    Und dann ist da noch das Problem mit dem Schraubenschlüssel:
    http://xkcd.com/538/
  • Nexus7 , 10. März 2010 13:37
    Aber wenn zb. eine Behörde oder die Business software alliance auf Verdacht bei Raubkopien einen pc sicherstellt weil über diese IP etwas heruntergeladen wurde was verdächtig ist oder Tauschbörsen genutzt wurden ec. dann können die ja die Festplattenverschlüsselung mit dem Bootkit umgehen auch wenn man das passwort nicht rausrückt.

    Wenn die Verschlüsselung dann nicht hilft für was ist sie dann da? Wenn man den PC laufen hat ist er ja sowieso entschlüsselt zb. wenn man die Systempatition bei Truecrypt verschlüsselt hat, also für zb. Hacker die online arbeiten hilft es auch nichts.

    Verstehe ich da was nicht oder bringt Truecrypt nichts? oder in welchem Szenario würde es was bringen?
  • xhool , 10. März 2010 15:15
    @nexus7

    Ich glaube, du hast da was falsch verstanden. Truecypt gilt grundsätzlich als sicher, wenn sich der Computer in einem ausgeschalteten Zustand befindet und diverse Vorkehrungen getroffen hat (Komplettverschlüsselung, längeres Passwort mit Sonderzeichen etc., nähere Informationen siehe www.truecrypt.org ) . Um dieses Bootkit zu installieren, muss das OS gebootet sein und der Angreifer muss Zugriff auf das System am Rechner selber haben.

    Zudem gibt es noch andere Versuche, ein Truecrypt Passwort auszulesen; beispielsweise gibt es eine Methode, bei gebootetem System den Strom vom System zu trennen (ohne das System herunterzufahren), den RAM-Riegel mit Eisspray zu kühlen, danach auszubauen und so in einem anderen System das PW auszulesen.

    Du siehst also: Ein eingeschalteter Rechner hat immer ein Risiko, geknackt zu werden; im ausgeschaltetem Zustand ist es jedoch schwierig bis unmöglich, Truecrypt zu knacken, solange man es richtig eingerichtet hat.
  • mareike , 10. März 2010 15:25
    ....Wenn die Verschlüsselung dann nicht hilft für was ist sie dann da?....

    Die Verschlüsselung kann verschiedene aufgaben haben. zum einen suggeriert sie dem anwender eine gewisse sicherheit. das führt dazu das keine anderen sicherungsvorkehrungen getroffen werden, und die daten weiter zugänglich bleiben. (für dienste/ industriespionage )

    zum anderen haben dienste das problem im datenhaufen die stecknadeln zu finden. hierbei hilft der zu überwachende selbst indem er seine daten durch nutzung von verschlüsselungssoftware selbst selektiert. logisch das in verschlüsselten daten eher interesantes zu finden ist als in unverschlüsselten. (rasterfahndung/fischen im trüben)

    durch den einsatz von technologie(verschlüsselung) hat der besitzer der selben zugang und die anderen (konkurenten) werden ausgesperrt.

    so horcht der ami übers BS, wärend der chinese über die firmware deiner neuen made in china festplatte schnuffelt, und der iwan hat vieleicht ein antivirenprogramm mit sehnsucht zur heimat.

    wenn es eine firma gäbe die ein funktionierendes verschlüsselungsprogramm
    anbietet würde sie sofort weggekauft, gehackt oder infiltriert. dafür ist der wissensdurst interesierter kreise viel zu gross.
  • fragger , 10. März 2010 18:34
    Um etwas in den MBR zu schreiben, muss das verschlüsselte BS nicht laufen... da tuts auch ein von CD/DVD gestartetes BS, von dem ich dann zB. das Bootkit installieren könnte.

    Ergo ist eine Verschlüsselung mit Truecrypt in der Tat Sinnfrei.
    Auch wenn die Verschlüsselung selbst vielleicht sicher ist, nützt es ja nichts, wenn ich sie einfach umgehen kann^^
    (gesetzt dem Fall, ich habe physischen Zugriff auf den Rechner -> zB. Beschlagnahmung)

    Die versteckte Partition ist genauso Sinnlos... Sowie ein TC Bootloader vorhanden ist, würde ich als Verbrecher/Ermittler/Hacker oder was auch immer, pauschal davon ausgehen, dass Sie da ist, was dann das tolle Konzept von "plausible deniability" quasi AdAbsurdum führt^^
  • Nexus7 , 10. März 2010 20:13
    @fragger

    wenn das wirklich so ist wieso sagt das nicht jemand denen von thg das sie das auch wissen und mal drüber was schreiben?
  • xhool , 11. März 2010 02:29
    @fragger

    Deine Aussage ist leider falsch, oder zumindest unvollständig. Du kannst, wenn du physischen Zugang zum Rechner hast, natürlich alles installieren, wie du lustig bist, keine Frage. Nur kannst du die Verschlüsselung deswegen noch lange nicht knacken, da der User das PW noch einmal NACH der Installation des Bootkits eingeben muss.

    Folglich müßte ein Datendieb erstmal in Dein Haus/Firma/Geschäft etc. einbrechen, das Bootkit installieren und ein paar Tage später wiederkommen, um das System nochmal einzukassieren. In einer Firma, wo man ständig Zugriff auf den Rechner hätte, würde dies wohl ein Problem darstellen, aber Truecrypt bietet für den privaten Gebrauch wohl in 99,9% aller Fälle genügend Sicherheit, insbesondere in klassischen Szenarien wie Notebookdiebstahl oder als Schutz vor dem Zugriff anderer.
    Nochmal zur Betonung: Es gibt keinen dokumentierten Fall, wo irgendeine Ermittlungsbehörde ein sicheres (langes) Truecrypt-PW knacken konnte (wenn der Rechner zum Zeitpunkt der Beschlagnahmung im ausgeschalteten Zustand war), da die Polizei etc. nicht in Häuser unbemerkt einbricht, einen Keylogger installiert und die offizielle Hausdurchsuchung wenig später durchführt.
  • FormatC , 11. März 2010 06:54
    Sehe ich auch so.

    Hier muss man wirklich den Praxisbezug betrachten und nicht die theoretische Möglichkeit, etwas vielleicht mit großem Aufwand zu umgehen. Dann schon lieber gleich dem Benutzer unter Androhung von physischem Zugriff das Passwort entlocken ;) 
  • fragger , 11. März 2010 10:01
    @xhool:
    hast recht, habs grad nochmal nachgelesen...

    Allerdings kann ich TrueCrypt dennoch nicht mehr ernst nehmen, denn es gäbe mehrere sehr einfache Wege, diesen Angriff (so unwahrscheinlich er bei Desktops auch sein mag, bei Notebooks ist er ohne weiteres zu machen) zu verhindern. Aber die Entwickler von TC haben nicht besseres zu tun, den Schreiber des Bootkits zu beleidigen, in ihren Foren jede Diskussion darüber sofort abzuwürgen und das Problem totzuschweigen...

    Stattdessen hätte man auch, wie ich es von Herstellern einer Sicherheitssoftware erwarten würde, sich an die Tastatur klemmen können, 10 Zeilen Code schreiben und dieser Angriff wäre nicht mehr möglich.

    Wer weiss, was die Entwickler von TC noch so an (ihnen bekannten)Sicherheitslücken verschwiegen haben?
  • pmfcmmak , 11. März 2010 17:59
    fraggerAllerdings kann ich TrueCrypt dennoch nicht mehr ernst nehmen, denn es gäbe mehrere sehr einfache Wege, diesen Angriff (so unwahrscheinlich er bei Desktops auch sein mag, bei Notebooks ist er ohne weiteres zu machen) zu verhindern.


    Dann lass deinen Worten Taten folgen und erleuchte uns Dummen mit deiner 'sehr einfachen' Lösung dieses Problems!

    Nur um das noch einmal klar zu stellen: Vernünftige Konfiguration vorausgesetzt kann ohne Passwort auf TrueCrypt verschlüsselte Daten *nicht* zugegriffen werden. Um diesen Angriff erfolgreichen durchzuführen braucht der Malifikant mehrfachen physikalischen Zugang zu deinem Computer. Sollte ihm dies möglich sein hasst du jedoch andere Sicherheitsprobleme als deinen TrueCrypt-Container (wobei es eigentlich ein Angriff auf sämtliche auf den Computer laufende Software ist, und nicht auf TrueCrypt an sich).
  • fragger , 11. März 2010 18:42
    Eine Lösung,die mir einfällt, wäre, den MBR bei jedem Systemstart nach der Preboot Authentifizierung zu überprüfen und ggf. neu zu Überschreiben...
    ...oder den MBR optional einfach mit dem TC Bootloader vollmachen, sodass für anderes kein (unverschlüsselter) Platz mehr da ist
    ...keine Große Sache, an und für sich.

    Mehrfacher Zugang zum Rechner: Schonmal ein Notebook z.B in 'ner Bib dabei gehabt und kurz unbeaufsichtigt gelassen um ein Buch zu holen und auf Kensington verlassen? Ich ja...

    Sicher ist so ein Angriff nicht sehr wahrscheinlich, und vermeidbar, wenn man sehr vorsichtig ist, aber es könnte einem doch mal passieren...

    Wie gesagt, von Herstellern einer Verschlüsselungssoftware erwarte ich, dass sie auf gegebene Probleme nach Bekanntwerden reagieren, zumindest, wenn die Lösung nicht extrem Aufwändig ist. Ansonsten kann ich mir als Hersteller auch tolle Feature wie 3Fachverschlüsselung sparen. Die wahrscheinlichkeit, das davon in absehbarer Zeit Eine geknackt wird ist deutlich kleiner, als das irgendwer meinen Rechner zweimal in die Hände bekommt...

    @pmfcmmak:
    Zitat :
    ...und erleuchte uns Dummen mit deiner 'sehr einfachen' Lösung dieses Problems!

    war sehr Zielführend^^
  • freeman303 , 11. März 2010 20:05
    Die Truecrypt Entwickler sollten die folgende Änderung implementieren:

    Den MBR + freie Bereiche davon beim ersten Verschlüsselungsvorgang kopieren und im verschlüsselten Bereich abspeichern.

    Nach jedem TC-Login beim Systemstart sollte der aktuelle MBR mit der zuvor davon gemachten Kopie des MBR im verschlüsselten Bereich verglichen werden und bei Abweichungen der User davon in Kenntnis gesetzt werden.

    Der User könnte dann entscheiden, ob der neue geänderte MBR belassen wird oder mit dem früher gesicherten MBR überschrieben werden soll (somit in den Ursprungszustand versetzt werden soll).

    Gruss
    Freeman
Alle Kommentare anzeigen