Warum Truecrypt 5 kein Allheilmittel gegen den Bundestrojaner ist

Ok, die Meldung ist inzwischen endgültig durch alle Blogs durch: Truecrypt 5.0 ist erschienen, und eines der neuen Features ist die Verschlüsselung von (Windows)-Systempartitionen mit einer Pre-Boot-Authentication (ein detailliererer Überblick findet man bei ravenhorst). Zugegebenermaßen ist dies ein tolles (und auch wichtiges) Feature - aber es als Mittel gegen die Vor-Ort-Installation des Bundestrojaners (oder andere lokale Angriffe) anzupreisen ist leider verkehrt.

Über den Sinn der Verschlüsselung kompletter Partitionen habe ich vor über einem Jahr schon mal geschrieben, und wer Angst vor BKA-Hausbesuchen mit Bundestrojanern im Gepäck hat, hat sicher ein weiteres Argument für die Komplettverschlüsselung seines Systems. Eine komplette Verschlüsselung eines Systems erfordert aber irgendeinen ausführbaren "bootstrap code"; im Falle von Linux ist es der Bootloader, der Kernel und (typischerweise) die Init-RAM-Disk. TrueCrypt 5 benutzt hierfür einen speziellen, mitgelieferten Bootloader - dieser führt die Pre-Boot-Authentication (Abfrage des Schlüssels) durch und sorgt dafür, daß die Platte entschlüsselt wird.

Manipuliert man diesen Bootloader, hat man viele Eingriffsmöglichkeiten vor dem eigentlichen Systemstart - dies hat Anfang des Jahres ein Bootsektor-Virus bewiesen: Dieser sorgte durch Manipulation der Interrupt-Tabelle dafür, daß bei bestimmten Plattenzugriffen nicht die Orginaldaten von der Platte gelesen wurden (dieselbe Technik nutzt vermutlich auch TrueCrypt, um die Plattenverschlüsselung durchzuführen); stattdessen wurde der Zugriff auf einen bestimmten Windows-Treiber abgewartet und stattdessen der Code der Backdoor zurückgeliefert. So wurde ein (abgesehen vom Bootsektor) unangetastetes Windows-System kompromittiert.

Dasselbe könnte natürlich auch jemand machen, der auf ein mit TrueCrypt gesichertes System eine Hintertür - beispielsweise den Bundestrojaner - einschleusen möchte: Er installiert auf der Festplatte eine manipulierte Variante des TrueCrypt-Bootloaders, welcher mit der oben skizzierten Technik die Hintertür in Windows läd. Setzt man die Whole-Disk-Encryption von TrueCrypt also blauäugig ein, ist man vor der Installation einer Hintertür nicht sicher!

Die einzige Möglichkeit, diesem Angriffsvektor zu entgehen: Der Bootloader darf sich nicht in Reichweite der Angreifer befinden. Bei TrueCrypt besteht die Möglichkeit, eine "Rescue Disk" auf CD zu brennen. Startet man sein System nur von dieser CD (nachdem man sich vergewissert hat, daß diese nicht manipuliert wurde), ist man vor Modifikationen des Bootcodes weitestgehend gefeit. Einzige Möglichkeit, die mir dann noch einfiele, wäre die Manipulation des BIOS - aber das ist wohl endgültig Paranoia :-)

comments powered by Disqus