News Keine Hintertür in TrueCrypt gefunden

[astor27]

Hallo
Warum kommt gerade jetzt dieser Bericht wo es die ganzen Enthüllungen der NSE gibt . Oder was will man uns mit der Aussage
Keine Hintertür in TrueCrypt gefunden sagen , das gewissen Organisationen _eine Hintertür in TrueCrypt gefunden haben .
mfg

 

[Forum-Fraggle]

Ich habe irgendwo mal etwas über TrueCryt gelesen, dass die Hintermänner und/oder Inhaber ziemlich mysteriös sein sollen. Auch sollen sie "unbekannt" sein oder zumind die Firma sehr "verwurzelt" und "undurchschaubar". Ich weiß, es hilft hier nicht weiter aber so glockenklar und transparent ist dieses TrueCryt nicht. Leider finde ich diesen Link nicht mehr. Das hat mir schon zu denken gegeben aber ich persönlich greife auch zu dieser Software.

Vielleicht ein Ansatz der Erklärung: Snowden wird wegen Hochverrats verfolgt und gleichzeitig seine Aussagen als Hirngespinste abgetan, was eigentlich schlimmstenfalls in Verleumdung münden dürfte. Die Programmierer von Truecrypt sind NSA und Co sicher ein Dorn im Auge und hängen einfach an ihrem Leben.

 

[Cool Master]

Was würde passieren wenn die TrueCrypt Enwtwickler bekannt wären? Siehe Anhang:

 

[etking]

Er hat lediglich bewiesen, dass es sich aus den offiziellen Quellen 1:1 kompilieren lässt. Die Eigentliche Verschlüsselungsfunktion ist so enorm komplex, dass selbst gestandene Mathematiker teilweise Jahrzehnte brauchen um eventuelle Sicherheitslücken und theoretische Schwachstellen zu finden, wie viele Beispiele aus dem Linux-Kernel zeigen.

Für die NSA mit ihren enormen Ressourcen wäre es ein leichtes, in die gängigen Algorithmen Schwachstellen einzubauen oder sie so zu modifizieren, dass der Aufwand zum knacken in den Bereich des technisch möglichen gelangt, ohne das es irgendwem auffällt.

 

[Helge01]

Hallo
Warum kommt gerade jetzt dieser Bericht wo es die ganzen Enthüllungen der NSE gibt . Oder was will man uns mit der Aussage
Keine Hintertür in TrueCrypt gefunden sagen , das gewissen Organisationen _eine Hintertür in TrueCrypt gefunden haben .
mfg

Ich denke mal das seit der NSA Geschichte Truecrypt wieder häufiger selbst-kompiliert wird. Nun will man verhindern, dass jeder seinen eigenen Kompiler nutzt und nicht den NSA-Zertifizierten

 

[astor27]

Hallo Helge01
Wäre eine der Möglichkeiten.
mfg

 

[Vincense]

@Titanrelod
Meine Annahme fußt auf zwei Möglichkeiten die mir spontan durch den Kopf gingen. Einerseits will ich die Möglichkeit nicht ausschließen, dass ein alter Compiler aus dem Jahre 1994, der durch damals herschende lasche Sicherheitsrichtlinien (z.B. Zufallsgenerierung aus Zeitstempeln) eventuell Unsicherheiten in den Code bringt. Des Weiteren frage ich mich ob man nicht auf Basis von Exploids, weitaus größere Gefahren ins System schleusen kann.

 

[Cool Master]

@Vincense

Ganz im Gegenteil, die alten Compiler sind besser da diese so leicht aufgebaut sind das man die super schneller begutachten kann. Ich würde keine Verschlüsselung auf Windows System durchführen weil dies nicht sicher ist. DIe Random Generator kommt direkt aus dem WIn Kernel und ab dort steckt seit Windows Vista NSA Technik drin

 

[Zorror]

Cool Master: Was würde denn passieren, wenn die TrueCrypt-Programmierer bekannt wären? Man würde sie unter Drogen setzen und eins übern Schädel ziehen? Dein Gleichnis verstehe ich ehrlich gesagt nicht.

 

[Cool Master]

Ganz einfach: Man würde ihr leben zur hölle machen. Gerüchte streuen, Konten sperren usw. und sie somit zwingen eine Backdoor einzubauen. Zur not ziehen sie die Steuer Nr. und man wandert 10-20 Jahre in den Bau wegen Steuerhinterziehung.

 

[Vincense]

Die Feststellung "Ein schlanker Compiler lässt sich besser begutachten" geht an meinem Argument "Er könne auf Grund der damalig herrschenden Sicherheitsfunktionen das System abschwächen" vorbei.
Würde mich vielmehr interessieren ob das tatsächlich so ist, denn wie ich bereits erwähnte, war das lediglich eine Vorstellung, entwachsen aus meinen Gedanken und weniger eine aus technischen Wissen fundierte Aussage.

 

[astor27]

Hallo Cool Master
Das wäre dann aber eben auch extrem auffällig das ganze und würde erst recht Gerüchte streuen . Also ich bin der Meinung das sie so unbekannt nicht sind.
mfg

 

[Cool Master]

@Vincense

Ich bin Programmierer Es stimmt aber tatsächlich das ein alter Compiler schlanker ist als ein "neuer". Natürlich verzichtet man auf viele Funktionen gerade was die Geschwindigkeit angeht. Aber es kann durchaus sein das einige neuen Compiler eine Lückte in dem Quelcode reinschreiben. Das ist halt das Problem am compilieren es schütz den Quellcode was auch gut ist, da man so nicht einfach copy und pasten kann aber es ist auch schlecht eben weil man nicht sieht das der Compiler im Hintergrund mit dem Quelltext macht.

@astor27

Ich erinner immer wieder gerne an Al Capone wie haben sie ihn dran bekommen? Steuerhinterziehung Ich mein schau doch mal die USA an was sie mit Maning und Snowden gemacht haben bzw. machen wollen. Wenn es nach der Staatsanwaltschaft geht gehören die sofort Standrechtlich erschossen. Glaube mir die NSA könnte jeden überzeugen etwas in sein Programm zu schreiben oder sein "Projekt" aufzugeben.

Selbst MS hat seit Vista NSA Technik mit an Board und das ist 100% bewiesen

 

[astor27]

@Cool Master
Ich gebe dir Recht aber das müsste dann aber auch den Menschen sagen ok hier ist doch was Falsch , wenn plötzlich das und das herauskommt und plötzlich diese Reaktion darauf kommen.
mfg

 

[Vincense]

Joa, programmieren kann ich auch. Das Problem dabei ist, dass:

man nicht sieht das der Compiler im Hintergrund mit dem Quelltext macht.

 

[Cool Master]

@astor27

Und was soll man dagegen machen? Richtig nichts. Es juckt die Leute nicht sieht man ja mit dem NSA-Skandal selbst die Regierung hat gesagt alles beendet und nun wo sie selber betroffen sind machen sie ein auf empört.

@Vincense

Korrekt, und deswegen auf alte Compiler setzen da die Betriebsysteme alte Exploits nicht mehr zulassen bzw. diese schon lange raus gepatched sind.

Ich bin eh der Meinung das keine Privatperson Verschlüsselungen benötigt. Der Aufwand ist einfach viel zu hoch für den nutzen.

 

[Vincense]

Die Vorstellung, dass eine Sicherheitslücke die durch einen alten Microsoft Compiler entsteht, der dann Kryptoprogramme ala Truecrypt kompromittiert, von Microsoft gepatcht wird, gefällt mir.

 

[astor27]

@Cool Master
Ja leider einfach nur traurig man kann nichts machen. Als das Volk ausspioniert wurde hat das der Merkel null interesiert aber jetzt wo sie selber betroffen ist große Worte . Na ja lassen wir uns überraschen was noch so alles ans Licht kommt.
mfg

 

[wazzup]

TC spreche ich schon immer mein vollstes Vertrauen aus. An eine backdoor in TC selber glaube ich nicht, da halte ich kommerzielle Produkte für gefährlicher.
Allerdings misstraue ich AES und auch Serpent/Blowfish. Hier bin ich mir zu 101% sicher das die NSA über die Mittel verfügt jegliche verschlüsselung zu umgehen. Speziell bei AES kann man es durchaus als gegebenen Fakt ansehen.
Aber all diese Verschlüsselungen sollen ja auch nicht den Staatsapperat der USA auf ewig aufhalten, sondern "nur" gewöhnliche Kriminelle, die Polizei usw. Dafür reicht es allemal.

 

[scully1234]

Ganz falsch. Bisher bestätigt das ganze lediglich, dass die Binärdateien auch dem angebotetenen Sourcecode entstammen. Ob in Letzerem und damit auch im Kompilat Hintertüren eingebaut sind, ist weiterhin offen.

Auch wenn er bei TueCrypt recht haben sollte, was ich nichtmal anzweifeln möchte

Was nützt die ganze Sicherheit wenn die unverschlüsselten Daten auf einem OS wie Windows verschlüsselt werden was nach einschlägiger Meinung so offen wie ein Scheunentor ist für die Geheimdienstschergen

Das ist wie auf Facebook zu versuchen seine Daten vor Zuckerberg geheim zu halten indem man eine Option seiner Software nutzt die das suggeriert

Hier muss also beides passen OS u Verschlüsselungssoftware um einen habwegs sicheren Zustand zu gewährleisten