Bitlocker vs. TrueCrypt

Im Rahmen unseres Risk Managements beschäftigt uns natürlich auch das Verschlüsseln primär im mobilen Umfeld. Im Microsoft Umfeld gibt es lediglich zwei ernstzunehmende Tools, die es zu evaluieren gilt.

Zum jetzigen Zeitpunkt ist TrueCrypt 7.1a aktuell. Die Versionsnummer von Bitlocker aus Windows 8 ist mir nicht bekannt. Nach längerer Recherche habe ich keine aktuellen Artikel für einen Vergleich gefunden. Die folgenden Punkte geben mehr oder weniger aktuelle Informationen aus diversen Foren und Blogs wieder. Da ich Bitlocker selbst noch nicht verwendet habe und mich selbst nicht als TrueCrypt Experte bezeichnen würde, kann ich nicht für die Richtigkeit garantieren!

Geschwindigkeit:

Hier hat sich besonders in den letzten 2 Jahren etwas getan, da aktuelle Prozessoren bereits hardwareseitig AES implementieren, was laut vielen Berichten zu einem größeren Performance Schub führen soll. Unverständlicherweise habe ich in meinem recht aktuellen PCs und Laptops dies noch nicht. Ob eure CPU den Befehlssatz unterstützt, könnt ihr beispielsweise mit HWiNFO oder CPU-Z nachschauen. TrueCrypt selbst zeigt einem dies unter Settings – Performance an (siehe Screenshot).

image

Toms Hardware veröffentlichte im April 2010 einen Vergleich beider Systeme genau unter diesem Gesichtspunkt. Allerdings zweifle ich an dem Artikel, da TrueCrypt 6.3a zum Einsatz kam und die Unterstützung von Hardware-accelerated AES laut Versionshistorie erst in 7.0 Einzug hielt. Generell ist dort die Schlussfolgerung, dass heutzutage kaum Geschwindigkeitseinbußen seitens des Anwenders zu merken sind. Aus eigener Erfahrung kann ich aber sagen, dass zumindest das Arbeiten mit verschlüsselten Platten, auf denen sich nicht das Betriebssystem befindet, hervorragend funktioniert. Darüber hinaus ist es auch so, dass Sicherheitsaspekte stets den Vorrang haben sollten!

 

Sicherheit:

Hier gilt es vor allem einen Gesichtspunkt zu berücksichtigen: Inwieweit erkennt man proprietäre Software, in diesem Falle Bitlocker, als sicher an. TrueCrypt ist mehrfach durch Experten getestet und als sehr sicher bewertet worden. Im Netz finden sich mehrere Artikel, wie beide Systeme unter gewissen Umständen ggf. umgangen werden können. Speziell das Thema Hibernate Modus gilt es hier in die Überlegungen einfließen zu lassen (für Bitlocker siehe hier, für TrueCrypt siehe hier). Ob sich die eingebaute Hintertür in Bitlocker von Microsoft für Bundesbehörden tatsächlich nutzen lässt und ob dies sonderlich relevant ist, muss jeder für sich selbst entscheiden. Nichtdestotrotz bietet TrueCrypt mehrere Kryptographieverfahren, längere Schlüssel und die Möglichkeit Partitionen zu verstecken an. In diesem Punkt gebe ich TrueCrypt den Vorzug.

 

Verfügbarkeit:

Diese Disziplin gewinnt ganz klar TrueCrypt: Es ist ab Windows XP aufwärts geeignet, es ist kostenfrei und – für diejenigen, die es brauchen – auch für anderen Plattformen erhältlich. Bitlocker hingegen kommt erst mit Vista und ist bis zu Windows 7 nur in den teuren Ultimate und Enterprise Versionen enthalten. Ab Windows 8 ist es dann auch in der Pro Edition (auf Grund der Tatsache, dass Ultimate wegfällt). Ein weiterer Nachteil von Bitlocker ist, dass es nur in Zusammenhang mit einem TPM Modul (ebenfalls nicht auf meinen Systemen verbaut!) funktioniert. Ganz stimmt das nicht, denn eine entsprechende Gruppenrichtlinie macht es auch mit einem USB Stick und entsprechender Hardware möglich (siehe hier und hier). Eine reine Passwort-Authentifizierung ist nicht möglich! Allerdings kann dies eventuell Sicherheitsvorteile bringen.

 

Komfort:

Bei diesem Kriterium gibt es keinen klaren Sieger. Bitlocker lässt sich natürlich über die Gruppenrichtlinien verwalten, was ein großer Vorteil ist. Man kann zudem bereits vor der Installation die Verschlüsselung aktivieren. Da TrueCrypt aber eine Systemver- und -entschlüsselung anbietet, ist der Vorsprung reine Makulatur. TrueCrypt hingegen bietet neben einer vollständigen Disk-Verschlüsselung auch Partitions- und Container-Encryption an. Während eine rein passwortbasierte Entschlüsselung für mich ein must-have darstellt, sind Features wie das Auto-Dismounten (z.B. bei Hibernate und Sleep-Mode, Benutzerabmeldung, etc.) einfach nice-to-heave! Die Dokumentation ist auf beiden Seiten sehr gut.

 

Sonstiges:

Bezüglich SSDs gibt es auch einige Artikel im Netz, die auf etwaige Angriffsszenarien hinweisen. Hier sollte man sich vorher schlau machen. Die Verschlüsselung soll angeblich nicht sonderlich die Lebensdauert beeinflussen, aber auch in diesem Fall gibt es teilweise widersprüchliche Informationen (siehe hier).

Außerdem weiße ich noch darauf hin, dass bei TrueCrypt ein sehr starkes Passwort gewählt werden sollte!

 

Zusammenfassung:

Vor allem die Verfügbarkeit ist nahezu ein Knockout Kriterium. Mit diesem Argument allein ist unsere Entscheidung gefallen. Da sich Bitlocker in keiner Disziplin klar durchsetzen konnte und ich das Entschlüsseln rein passwortbasiert erreichen können will, wird in Zukunft TrueCrypt in unserem Betrieb eingesetzt.

Sollte ich falsche Informationen wiedergegeben haben oder sollte etwas Wichtiges fehlen, so kommentiert doch bitte den Beitrag oder schickt mir eine Nachricht über die üblichen Kanäle.

Mit Tag(s) versehen: ,

4 thoughts on “Bitlocker vs. TrueCrypt

  1. Andreas Heil 15. Oktober 2012 um 12:38 Reply

    Schöne Zusammenfassung, zwei Punkte habe ich noch die aus meiner persönlichen Sichtweise und Erfahrung, die ebenfalls für TrueCrypt sprechen: (a) Wählt man Container-basierte Verschlüsselung, kann man diese auch verschlüsselt synchronisieren und Backups davon erstellen. Noch „verrückter“ kann man hier auch einzelne Dateien im Container (z.B. verschlüsselt über DropBox, http://www.aheil.de/2011/08/04/dropbox-with-truecrypt-on-lion-and-windows/) synchronisieren und (b) hängt bei der BitLocker Variante alles der Hardware: Bei MSR In Cambridge hatte ich sehr am Anfang von BitLocker diesen auf einer Maschine verwendet, aufgrund eines Hardware-Defekts war der Wiederherstellungsaufwand recht hoch. Ich hatte ein Recovery Password – und genau hier liegt auch das Problem – die Recovery Passwörter können zwar von der IT verwaltet werden, stellen aber eine weitere Angriffsstelle dar. Werden diese nicht konsequent gewartet und gepflegt, sind hier durchaus schnell Daten für immer verschlüsselt oder auch – andersherum – schnell mal entschlüsselt.

    Gefällt mir

    • Uli Armbruster 16. Oktober 2012 um 2:17 Reply

      Hey Andreas, danke für die Rückmeldung.
      Die Container-Entschlüsselung habe ich unter Komfort erwähnt. Aber die Geschichte mit syncen innerhalb eines Containers schaue ich mir an, denn genau das hatte mich bisher von der Verwendung in DropBox abgehalten.
      Der letzte Punkte würde mich genauer interessieren: Welche Hardware fiel bei dir genau aus, sodass du das Recovery Passwort benötigt hast? Das TPM Modul?

      Gefällt mir

      • Andreas Heil 16. Oktober 2012 um 7:28 Reply

        Zur DropBox Synchronisation – wenn Du der Anleitung folgst, ist es möglich dass nur die aktualisierten Dateien synchronisiert werden. Ich verwende hier z.B. einen 256 MB Container – der nur das aller erste Mal vollständig synchronisiert wurde – ich habe bisher leider noch keine Zeit gefunden genauer nach zuschauen wie DropBox/TrueCrypt das in Detail machen.

        Zur Hardware, bei uns ging damals das Mainboard kaputt. Es waren damals hochgezüchtete Dell Desktop Maschinen bei denen öfters mal – wie auch bei mir – das Mainboard komplett ausfiel. Und damit der TPM Chip auch nicht mehr zugänglich war. In unserem Fall kein Problem, da die IT baugleiche Maschinen zur Verfügung hatte und mit dem Recovery Passwort Zugriff auf das Volume erhielt(?). Zur Funktionsweise des Recovery Passwords gibt es übrigens hier unter http://blogs.msdn.com/b/si_team/archive/2006/08/10/694692.aspx einmal einen schönen Artikel.

        Gefällt mir

  2. […] Bitlocker vs. TrueCrypt […]

    Gefällt mir

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: