- Compusec
-
FREE CompuSec ist eine kostenlose Software zur transparenten Verschlüsselung von Festplatten und Wechseldatenträgern. Sie wird von der Firma CE-Infosys aus Singapur entwickelt und ist für Windows 2000, Windows XP, Windows Server 2003, Windows Vista sowie einzelne Linux-Distributionen verfügbar. Neben der Festplattenverschlüsselungslösung sind weitere Kryptographieprogramme im Paket enthalten, etwa für VoIP oder Dateitransfer im Netzwerk.
Inhaltsverzeichnis
Funktionsweise
Free CompuSec verschlüsselt stets die gesamte Festplatte inklusive aller Systempartitionen. Damit sind, insbesondere im Gegensatz zu datei- oder containerbasierten Verschlüsselungsprogrammen, ebenfalls alle Daten des jeweiligen Betriebssystems, wie z. B. die Windows-Registrierungsdatenbank, die Auslagerungsdatei bzw. Swap-Partition, Daten der Benutzerkonten und der Programmcode des Betriebssystem und aller installierten Programme, sowohl gegen unberechtigtes Auslesen als auch gegen gezielte Manipulation geschützt. Dies gilt natürlich nur solange, wie niemand am System angemeldet ist. Gegen Trojaner und andere Malware-Programme, die während des regulären Betriebes ausgeführt werden, existiert systembedingt keinerlei Schutz.
Aufgrund der Verschlüsselung kann jedoch auch das Betriebssystem ohne weitere Maßnahmen nicht mehr geladen werden. Um den Computer nun booten zu können, wird mittels Master Boot Record das Ver- bzw. Entschlüsselungsmodul geladen, welches anschließend dem Betriebssystem eine unverschlüsselte Sicht auf die Daten gewährt. Bevor dies jedoch geschieht, muss sich der Nutzer mit Benutzername und Passwort anmelden, damit das Programm auf den durch das Benutzerpasswort verschlüsselten Festplattenschlüssel zugreifen kann (Pre-Boot Authentication bzw. PBA). Somit nützt bei Unkenntnis dieser Anmeldeparameter selbst Diebstahl oder Ausbau der Festplatten nichts, um an die gesicherten Daten zu gelangen.
Allerdings wäre eine Manipulation des Anmeldeprogrammes denkbar, da dieses beim Systemstart unverschlüsselt vorliegen muss und selbst nicht geschützt werden kann. Damit wäre ein Kopieren und verdecktes Ablegen der Anmeldeparameter oder des Festplattenschlüssels möglich, um beim nächsten Zugriff auf das System dies dann zum Entschlüsseln der Festplatten zu nutzen. Eine andere Variante wäre die Implantation eines Trojaners in das System, sobald sich der Benutzer das nächste Mal anmeldet. Wegen dieser Gefahren sollte bei Verdacht eines unberechtigten Systemzugriffs von einer direkten Anmeldung abgesehen werden. Hier ist zunächst die Integrität des Anmeldemoduls zu prüfen und ggf. wiederherzustellen. Alternativ wäre ein Entschlüsseln mittels Backup des Entschlüsselungsmodules, anschließender Start des Betriebssystems unter Umgehung des Anmeldemoduls, Sichern der Daten und Neuinstallation des Systems denkbar. Umgangen werden kann die Problematik nur, indem eine Installation der zum Systemstart notwendigen Anmelde-, Ver- bzw. Entschlüsselungsmodule und Schlüssel ausschließlich auf einem externen Datenträger erfolgt und dieser stets sicher verwahrt wird. Eine Manipulation würde hier Hardwareänderungen am System notwendig machen.
Funktionalität
Durch die PBA ist ein sicheres automatisches Anmelden beim Betriebssystem möglich (Single Sign-On). Der Benutzer muss sich also nicht mehrmals am Rechner anmelden. Ebenfalls wird der Ruhezustand des Computers unterstützt.
Einschränkungen
Der Verschlüsselungsalgorithmus kann nicht frei gewählt werden. Innerhalb der aktuellen Version 5 wird stets AES 256 bit eingesetzt[1], ältere Versionen verwendeten AES 128 bit. Auch ist keine partitionsweise Verschlüsselung möglich, sondern es wird stets eine gesamte Festplatte verschlüsselt.[2] Das setzt voraus, dass alle auf der Festplatte installierten Betriebssysteme zwangsläufig von Free CompuSec unterstützt werden müssen, da ansonsten kein Zugriff auf nicht unterstützte Systeme mehr möglich ist. Im Zusammenhang mit Linux ist dies besonders kritisch, da nur wenige Distributionen mit ausgewählten Kernel-Versionen unterstützt werden.[3] Da das zwingend notwendige Kernel-Modul nur vorcompiliert und nicht als Quelltext verfügbar ist, ist ein Betrieb mit anderen Linux-Versionen nicht möglich.
Zwar ist die Benutzung des Programms kostenlos, aber es ist keine freie Software. Eine Überprüfung des Quellcodes auf Programmfehler oder Backdoors kann also nicht von jedermann vorgenommen werden. Im Gegensatz zu einigen kommerziellen Programmen aus dem Bereich der Festplattenverschlüsselung ist Free CompuSec auch nicht durch eine externe Instanz geprüft worden, z. B. anhand der Common Criteria. Damit lassen sich keinerlei Aussagen zur Sicherheit treffen und man ist auf die Vertrauenswürdigkeit des Herstellers angewiesen.
Siehe auch
Weblinks
Quellen
Wikimedia Foundation.