TrueCrypt-Verschlüsselung ausgehebelt ?

[GoldWing]

Hallo Leute,heute möchte ich hier etwas bezüglich TrueCrypt7.1a schreiben, was mich an dieser Software zweifeln lässt und was ich mir nicht erklären kann. Seit Jahren benutz(t)e ich TrueCrypt, Version 7.1a, zur Verschlüsselung auch ganzer Partitionen. Soweit man liest, soll(te) es ja angeblich die letzte sichere Version dieser Software sein. Vor einigen Tagen wollte ich eine HDD neu partitionieren und formatieren. Auf dieser HDD befand sich eine mit TrueCrypt7.1a verschlüsselte Partition. Die Partition war mit AES256 und TwoFish sowie einem langen Passwort, bestehend aus willkürlichen Zeichen als versteckte Partition angelegt. Durch unbeabsichtigte Fehler beim Partitionieren musste ich den Vorgang abbrechen.
Was ich anschließend auf der HDD vorfand, glaubte ich erst selbst nicht aber es stimmte. Alle Daten der verschlüsselten Partition waren nun vollständig und unverschlüsselt vorhanden, wie ist das möglich ? Wohl bemerkt, die HDD war zuvor neu und es befanden sich keine unverschlüsselten Daten darauf, die möglicherweise nicht überschrieben und wiederhergestellt worden waren. Erst war die verschlüsselte Partition auf der neuen HDD angelegt worden, dann erst wurden die besagten Daten auf diese verschlüsselte Partition kopiert. Ich wiederholte den Vorgang anschließend fünfmal !!!! mit verschiedenen HDD's und verschiedenen Verschlüsselungsverfahren von TrueCrypt, das Ergebnis war immer das gleiche. Es dauerte nie länger als ein paar Minuten und alle zuvor verschlüsselten Daten waren nach der Prozedur unverschlüsselt vorhanden. Das lässt für mich nur den Schluß zu, dass mit TrueCrypt nicht die Daten selbst verschlüsselt wurden, sondern nur der Zugriff auf diese, was dann irgendwie ausgehebelt wurde. Um keinem Irrtum zu erliegen, testete ich das gleiche bei einem Bekannten, der ebenfalls mit TrueCrypt7.1a arbeitet und einer von ihm selbst angelegten und verschlüsselten Partition. Das Ergebnis war wieder das gleiche.


Könnte mir vielleicht irgendjemand logisch erklären, was da passiert und wie das möglich ist ?

 

[m.Kobold]

Die Partition war mit AES256 und TwoFish sowie einem langen Passwort, bestehend aus willkürlichen Zeichen als versteckte Partition angelegt. Durch unbeabsichtigte Fehler beim Partitionieren musste ich den Vorgang abbrechen.
Was ich anschließend auf der HDD vorfand, glaubte ich erst selbst nicht aber es stimmte. Alle Daten der verschlüsselten Partition waren nun vollständig und unverschlüsselt vorhanden, wie ist das möglich ?

Könnte mir vielleicht irgendjemand logisch erklären, was da passiert und wie das möglich ist ?

Ich verstehs nicht so richtig, hast du nun die (Verschlüsselte) Partition formatiert oder nicht?

Was hast du denn nun genau abgebrochen?

Und wieso nutzt du kein Veracrypt? Das Truecrypt 7.1a die letzte sichere version ist, würde ich stark bezweifeln... vielleicht wurde der Laden bereits durch ne gag order untergraben.

 

[GoldWing]

Hallo m.Kobold, nein, ich habe die verschlüsselte Partition nicht formatiert sondern wollte die HDD für etwas anderes nutzen, deshalb neu partitionieren und anschließend formatieren. Die verschlüsselten Daten waren für mich nicht mehr wichtig aber die Tatsache, dass sie danach plötzlich unverschlüsselt vorhanden waren, erweckte natürlich meine Neugier.

 

[john.smiles]

Anwenderfehler, du wirst irgendwas anderes verschlüsselt haben, zb die Windows Startpartition mit ihren 500MB.

 

[GoldWing]

hallo john.veil, für so dumm solltest Du mich nun doch nicht halten. Einen Anwenderfehler schließe ich mal aus. Wie bereits geschrieben, habe ich die Prozedur inzwischen auch auf dem PC eines Bekannten vollzogen und da klappte es auch. Er hatte die Partition auf seinem PC selbst angelegt und verschlüsselt ohne dass ich davon nähere Infos hatte. Er war total aus dem Häuschen und fragte mich, wie der Trick funktioniert. Leider weiß ich darauf bis jetzt auch keine Antwort. Ich hätte den Beitrag auch hier bestimmt nicht reingesetzt, wenn sich vorher eine andere plausible Erklärung abgezeichnet hätte.

 

[whiper]

Wenn du die Partitionierung abgebrochen hast, warum hat sich auf der Platte dann etwas geändert, so dass die Partition plötzlich lesbar war? Nur weil du Truecrypt benutzt hast, muss die Partition ja nicht verschlüsselt gewesen sein. Und eine verstecke Partition in Truecrypt bedingt auch 2 Partitionen, denn äußeren Containter und darin den versteckten. Welcher war denn lesbar?

 

[HominiLupus]

Da du nicht beschreibst was und wie du genau partitionierst, welche Zugangspasswörter du wann eingibst und wann du abbrichst ist das alles sinnloses Trolling.

Dann ist Truecrypt veraltete, ungewartete Software für die es einen besser gesicherten Nachfolger gibt. Aber selbst dann ist Truecrypt nicht so trivial auszuhebeln, deswegen: wohl unbekannter Anwenderfehler den man nicht beurteilen kann weil eben wichtige Informationen vorenthalten werden.

 

[Merle]

Ich habe nicht nur ein Mal HDDs gescannt, wo auch Partitionen verschlüsselt waren.
Ergebnis mit GetDataBack war dabei immer: geht nicht. RAW.
Darum ist es technisch nicht möglich, dass diese Aussage so zutrifft.
Selbst wenn man die alte MFT wieder herstellt, und selbst wenn es so aussieht, als seien die Daten da, müssen sie nicht geöffnet werden können. Da sie auch auf Dateisystemebene definitiv 100%ig verschlüsselt werden. Das ist der Sinn.

 

[Beneee]

Bewirb dich doch mal bei der NSA! ;-)

Beschreibe doch mal in genauen Schritten was Du gemacht hast, am besten Punkt 1 bis Punkt x. Dann kann jeder dasselbe auch machen kann um das ganze zu verifizieren...

 

[Autokiller677]

Und wieso nutzt du kein Veracrypt? Das Truecrypt 7.1a die letzte sichere version ist, würde ich stark bezweifeln... vielleicht wurde der Laden bereits durch ne gag order untergraben.

Unwahrscheinlich: https://www.heise.de/security/meldu...-TrueCrypt-7-1-weitgehend-sicher-2595838.html

 

[coasterblog]

Die Geschichte ist in der Tat unglaubwürdig, sicherlich ist dort etwas Anderes passiert.

 

[GoldWing]

Beim Lesen einiger Eurer Antworten kamen mir Zweifel an dem Sinn, meinen Beitrag hier zu posten. Antworten wie "Bewirb dich doch mal bei der NSA! ;-)", "sinnloses Trolling" oder "Anwenderfehler" waren für mich wenig hilfreich auf eine ernstgemeinte Frage. Um es nochmal auf den Punkt zu bringen, die geschilderte Prozedur funktionierte bei mit TrueCrypt7.1a versteckten und verschlüsselten Partitionen in Kombination mit einem bestimmten Partition-Manager. Es funktionierte bisher damit JEDESMAL und es war (ist) auch KEIN Anwenderfehler. In anderen getesteten Kombinationen funktionierte es hingegen nicht. Warum es überhaupt funktionieren kann weiß ich nicht, deshalb hatte ich mir ja von Euch mögliche Erklärungen dazu erhofft.

Danke trotzdem für Eure freundlichen Antworten.

 

[tiash]

Dann trag doch mal etwas dazu bei, dass man es nicht für unrealistisch oder sogar einen Trollversuch hält. Eine genaue Anleitung, wie sich dein beobachtetes Verhalten nachstellen lässt wäre zB sinnvoll.
Das was du beschreibst stößt hier zurecht auf Zweifel, denn damit hättest du die wohl größte Schwachstelle in Truecrypt mindestens innerhalb der letzten Jahre aufgedeckt. Mit einer solchen Erkenntnis würdest du es wohl nicht nur in Fachmedien sondern auch in die Tagesschau schaffen. Dementsprechend zweifelnd wird deine Aussage aufgenommen, ich denke das kannst du nachvollziehen.

 

[Creati]

Ist aber auch schön, dass Du schreibst, dass es mit einem bestimmten Partitionsmanager geht und mit allen anderen nicht und nicht mal den Namen nennst. Da fragt man sich, was dein Post überhaupt soll. Man soll Dir logisch erklären, wie sowas passieren kannst und Du beschreibst nicht mal genau die Situation, sodass man das nachstellen könnte. Spricht daher für einen reinen Trollversuch oder Anwenderfehler.

 

[Merle]

@TE: Meine persönlichen, exakt mit diesem Thema verbundenen, Data-Recovery-Erfahrungen widersprechen schlicht der Möglichkeit, dass das was du schreibst wahr ist. Denn die Art des Partitionsmanagers ist ehrlich gesagt egal. Partitionsmanager verändern Grenzen, MFTs, ein paar Sektoren am Anfang der Partition aber nicht den Inhalt/die Nutzdaten.
Wenn du nicht wie ein Troll behandelt werden willst, liefer doch bei so einem brisanten Thema (das wäre ein Megaskandal!) einfach die genauen Anleitungen. Danach haben es hier in 1-2h 10 Leute bestätigt und du kannst zur Zeitung rennen. (Ist nicht so böse gemeint wie es klingt.)

 

[coasterblog]

"sinnloses Trolling" oder "Anwenderfehler" waren für mich wenig hilfreich auf eine ernstgemeinte Frage.

Da du keine weiteren Anhaltspunkte lieferst was du da genau gemacht haben willst und Truecrypt sogar gründliche Audits überstanden hat bleibt der Trollversuch (da ist man hier auf CB nunmal verkehrt ) oder der Fehler zwischen den Ohren. So einfach ist das.

 

[IceDragon2]

TrueCrypt ist nicht mehr aktuell. Es gibt mit VeraCrypt einen kompatiblen Nachfolger.
https://veracrypt.codeplex.com/
https://sourceforge.net/projects/veracrypt/

 

[m.Kobold]

Ist wohl doch ein Trollpost oder einfach nur ein PC Anfänger^^

Schon allein das er "angeblich" auf eine Partition zugreifen kann wenn er doch die Patitionierung abgebrochen hat spricht schon Bände.

Er gibt keine auskunft über das Dateisystem, keine infos wie wann und mit welchen Programm er die Patitionierung abgebrochen hat...
Der Tread kann geschlossen werden oder besser gleich ganz löschen.

 

[derocco]

Ich bin bis jetzt auch davon ausgegeangen, dass True Crypt auf der sicheren Seite ist.

Was sagt ihr denn zu dem Artikel: https://www.heise.de/newsticker/mel...-knacken-Passwoerter-und-Platten-2454742.html

Es ist beim Bundeskriminalamt (BKA), bei der Bundespolizei und bei der Zollfahndung im Einsatz. Unter den "Testimonials" von Passware findet sich ein begeisterter Matthias Berg vom Hessischen Landesskriminalamt: "Heute gelang mir der Zugriff auf eine Truecrypt-Partition in einem sehr wichtigen Fall. Alle relevanten Informationen für den Fall waren darauf gespeichert. Andere Produkte hatten zuvor versagt. Danke, Passware!"​

Klar wer als Passwort für das Truecrypt ein Wort aus einem Wörterbuch und 2 Zahlen verwendet, da kann ich mir vorstellen, dass dies Brute Force rel schnell geht.
aber ein password im Stil von "wp#*bxMme_LreM#SWJD=f254yZX7&-#D" sowas müsst rein rechnerisch auch mit einen cluster verbund nicht in brauchbarer Zeit (Jahre) auf von einem BKA zu knacken sein.

Die Tool Hersteller geben auch an PGP zu knacken etc.

Ich arbeite bei einer der grösseren Informatik Fimen der Welt und wir setzten PGP Whole Disk encryption ein um unsere sensitiven Daten zu schützen.
Ich kann mir jetzt irgendwie nicht vorstellen, dass ein Tool für 900Euro das alles aushebeln können soll.

 

[tiash]

Du hast das schon ganz richtig eingeschätzt. Die ganzen Werkzeuge setzen auch nur auf bekannte Techniken und können kein Hexenwerk verrichten.

Im Fall von Passware:

Instantly decrypts hard disk images with live memory analysis or recovers their passwords with accelerated brute-force attacks

Entweder der zugehörige Computer ist noch vorhanden und eingeschaltet, dann kann man den Schlüssel aus dem Arbeitsspeicher holen (dann ist das Cryptovolume aber sowieso noch eingehangen und der Schlüssel zweitrangig) oder es wird Brute Force versucht.
Man stellt sich das alles oft viel zu aufregend vor, auch dadurch verstärkt, dass man selbst vom Fach ist und einigermaßen gute Passwörter für selbstverständlich hält. Die Realität sieht aber eher so aus, dass doch verdammt viele Menschen auf Passwörter à la "Blume123" setzen oder zuhause am Schreibtisch einen Zettel kleben haben.

Bedenke auch, dass die meiste Software frei verkäuflich ist, dafür muss man keine Geheimbehörde sein. Würden dort geheime Techniken eingesetzt werden, dann würde es innerhalb kürzester Zeit bekannt werden.

Quelle: Ich arbeite im Bereich IT-Forensik und IT-Sicherheit, in der Vergangenheit haben wir auch schonmal Behörden geholfen.