Warum Truecrypt 5 kein Allheilmittel gegen den Bundestrojaner ist

Ok, die Mel­dung ist in­zwi­schen end­gül­tig durch alle Blogs durch: Tru­e­crypt 5.0 ist er­schie­nen, und eines der neuen Fea­tures ist die Ver­schlüs­se­lung von (Win­dows)-Sys­tem­par­ti­tio­nen mit einer Pre-Boot-Au­then­ti­ca­ti­on (ein de­tail­lie­re­rer Über­blick fin­det man bei ra­ven­horst). Zu­ge­ge­be­ner­ma­ßen ist dies ein tol­les (und auch wich­ti­ges) Fea­ture - aber es als Mit­tel gegen die Vor-Ort-In­stal­la­ti­on des Bun­de­stro­ja­ners (oder an­de­re lo­ka­le An­grif­fe) an­zu­prei­sen ist lei­der ver­kehrt.

Über den Sinn der Ver­schlüs­se­lung kom­plet­ter Par­ti­tio­nen habe ich vor über einem Jahr schon mal ge­schrie­ben, und wer Angst vor BKA-Haus­be­su­chen mit Bun­de­stro­ja­nern im Ge­päck hat, hat si­cher ein wei­te­res Ar­gu­ment für die Kom­plett­ver­schlüs­se­lung sei­nes Sys­tems. Eine kom­plet­te Ver­schlüs­se­lung eines Sys­tems er­for­dert aber ir­gend­ei­nen aus­führ­ba­ren "boot­strap code"; im Falle von Linux ist es der Boot­loa­der, der Ker­nel und (ty­pi­scher­wei­se) die In­it-RAM-Disk. Tru­e­Crypt 5 be­nutzt hier­für einen spe­zi­el­len, mit­ge­lie­fer­ten Boot­loa­der - die­ser führt die Pre-Boot-Au­then­ti­ca­ti­on (Ab­fra­ge des Schlüs­sels) durch und sorgt dafür, daß die Plat­te ent­schlüs­selt wird.

Ma­ni­pu­liert man die­sen Boot­loa­der, hat man viele Ein­griffs­mög­lich­kei­ten vor dem ei­gent­li­chen Sys­tem­start - dies hat An­fang des Jah­res ein Boot­sek­tor-Vi­rus be­wie­sen: Die­ser sorg­te durch Ma­ni­pu­la­ti­on der In­ter­rupt-Ta­bel­le dafür, daß bei be­stimm­ten Plat­ten­zu­grif­fen nicht die Or­gi­nal­da­ten von der Plat­te ge­le­sen wur­den (die­sel­be Tech­nik nutzt ver­mut­lich auch Tru­e­Crypt, um die Plat­ten­ver­schlüs­se­lung durch­zu­füh­ren); statt­des­sen wurde der Zu­griff auf einen be­stimm­ten Win­dows-Trei­ber ab­ge­war­tet und statt­des­sen der Code der Back­door zu­rück­ge­lie­fert. So wurde ein (ab­ge­se­hen vom Boot­sek­tor) un­an­ge­tas­te­tes Win­dows-Sys­tem kom­pro­mit­tiert.

Das­sel­be könn­te na­tür­lich auch je­mand ma­chen, der auf ein mit Tru­e­Crypt ge­si­cher­tes Sys­tem eine Hin­ter­tür - bei­spiels­wei­se den Bun­de­stro­ja­ner - ein­schleu­sen möch­te: Er in­stal­liert auf der Fest­plat­te eine ma­ni­pu­lier­te Va­ri­an­te des Tru­e­Crypt-Boot­loa­ders, wel­cher mit der oben skiz­zier­ten Tech­nik die Hin­ter­tür in Win­dows läd. Setzt man die Who­le-Disk-En­cryp­ti­on von Tru­e­Crypt also blau­äu­gig ein, ist man vor der In­stal­la­ti­on einer Hin­ter­tür nicht si­cher!

Die ein­zi­ge Mög­lich­keit, die­sem An­griffs­vek­tor zu ent­ge­hen: Der Boot­loa­der darf sich nicht in Reich­wei­te der An­grei­fer be­fin­den. Bei Tru­e­Crypt be­steht die Mög­lich­keit, eine "Res­cue Disk" auf CD zu bren­nen. Star­tet man sein Sys­tem nur von die­ser CD (nach­dem man sich ver­ge­wis­sert hat, daß diese nicht ma­ni­pu­liert wurde), ist man vor Mo­di­fi­ka­tio­nen des Boot­codes wei­test­ge­hend ge­feit. Ein­zi­ge Mög­lich­keit, die mir dann noch ein­fie­le, wäre die Ma­ni­pu­la­ti­on des BIOS - aber das ist wohl end­gül­tig Pa­ra­noia :-)