heikel: wer software zum verschlüsseln von daten nutzt möchte üblicherweise auch dass er sich auf die sicherheit des verwendeten programms verlassen kann. da ist die anfang des jahres publik gewordene schwachstelle von nahezu allen softwarelösungen ziemlich ärgerlich: das passwort, das zum entschlüsseln benötigt wird, bleibt im klartext gespeichert und lässt sich relativ simpel aus dem arbeitsspeicher auslesen - sofern man physikalischen zugriff aufs gerät hat.

eine firewire-schnittstelle soll sich wohl besonders gut dafür eignen, aber es dürfte sicher noch viele andere wegen geben um an die sensiblen daten im RAM zu kommen. und, das war mir auch neu: der arbeitsspeicher löscht sich keinesfalls beim neustart des rechners, die darin befindlichen daten bleiben überraschend lange erhalten.

nachdem also mittlerweile aus allen richtungen vor dieser schwachstelle gewarnt wurde hab ich beinahe schon den glauben an eine sichere datenverschlüsselung verloren. bei heise ist man spät aber doch auch drauf aufmerksam geworden und die coder haben wohl erstmal was zu tun. ich hab auch mal drüber nachgedacht wie man den arbeitsspeicher denn sicher und komfortabel löschen könnte, mit der erkenntnis: gar nicht. alle vorhandenen tools scheitern, alle erdachten methoden sind entweder nicht sicher oder nicht komfortabel - und von einer umsetzung reden wir lieber garnicht erst.

aber es sieht so aus als könnten die nutzer von truecrypt aufatmen! den machern war die lücke scheinbar rechtzeitig bekannt um sie in den aktuelleren versionen zu beheben. so jedenfalls liest sich das in diesem bericht:

Affected Software:
- TrueCrypt 5.0 (possibly older versions also)

Vendor response:
- Vendor denies the vulnerability
- Fixed in updated versions

ich hoff jetzt einfach mal dass man dem glauben schenken darf, dass die security-nerds dass demnächst nochmal ausgiebig testen und dann entwarnung geben. und ich vermute der rest der produktpalette wird - hoffentlich - auch bald nachziehen.