ComputerBase Menü
Aktuelles

News TrueCrypt: Projekt abrupt eingestellt

Das größte Problem ist, wenn man sich im gutem Glauben zu 100% auf eine Software verlässt.

Das macht man wenn Daten z.B. verschlüsselt in eine Cloud ausgelagert werden. Einem AV Programm oder Windows wird auch nicht zu 100% vertraut aber einer Verschlüsselungssoftware wo die Entwickler nicht bekannt sind? Die Geheimdienste kennen die Entwickler, die wussten wo sich Bin Laden aufhält aber nicht wer die Entwickler von Truecrypt sind??? Das ist lächerlich, ich gehe davon aus das Truecrypt wie auch Tor von Geheimdiensten ins Leben gerufen worden ist um an sensible Daten zu kommen. Der leichtfertige Umgang damit hat es den Geheimdiensten erheblich vereinfacht. Auch eine Audit der Software kann Backdoors / Lücken nicht ausschließen, bestes Bsp. ist Heartbleed. Es ist einfach zu Komplex um alle Möglichkeiten in Betracht zu ziehen.

Ich gehe davon aus das eine Veröffentlichung bevorstand und die Entwickler schnell alles Spuren verwischen wollen.
 
Kuriose Sache.

Denkbar wäre doch auch, dass das Projekt von vornherein so aufgezogen wurde, dass man dort einen Code einschleust, der nur schwer entdeckt wird. Nun wird Truecrypt überprüft und somit wahrscheinlich etwas gefunden, was zur Auflösung des Projekts geführt hat. Oder die haben einfach kein Bock, dann lasse ich mir aber nicht die Arbeit von Jahren so verunstalten. Nennt es Verschwörungstheorie, Vermutung oder sonst wie, überlegen darf man noch... ;)

Bin gespannt was daraus wird. Luks wäre doch auch eine gute alternative zu TrueCrypt.
 
Manche Argumentationsweisen sind schon krass.
Ein Leben muß nicht aus Dingen bestehen, die verborgen werden müssen, nur weil man sie nicht offen zeigen will. Und legitime Institutionen gibt es nicht, wenn es um das Einbrechen in die Privatssphäre von Menschen geht, die sich nichts haben zu Schulden kommen lassen. Ich kann nur den Kopf darüber schütteln, wie obrigkeitshörig mancher ist. Wofür hatten wir in der europäischen Geschichte einen Robbespierre, eine französische Revolution, einen Hermann, der sich gegen römische Tyrannei erhob, ein Resteuropa, daß nicht unter einem Diktator Napoleon vegetieren wollte bishin zu GESTAPO und STASI Gegnern?
Es gibt keine legitime Einrichtung, die das Recht hat Unschuldige zu überwachen. Dem widerspricht das GG und auch die amerikanische Verfassung der Gründungsväter und sicherlich auch in England, Frankreich und anderen Ländern die Grundrechte.

Läßt man zu, daß es Institutionen gibt, die einen zuhause überwachen, dann brauchen wir eine Gedankenpolizei und es wird Gedankenverbrechen geben.

Von daher hoffe ich, daß es weitergeht mit TC oder ähnlich. Denn gegen Trojaner und Co kann man sich auch wehren, Networksniffer und Restriktionen beim Transfer. Letztlich ist alles knackbar, jede Verschlüsselung aber auch jeder Trojaner, es ist immer nur eine Frage der Zeit und des Aufwands. Je höher der Aufwand für die "Gedanken"polizei, desto weniger lukrativ ist es für sie.

Edit: Interesse der Programmier verloren glaube ich kaum, denn gerade nach Snowden ist es doch erst recht interessant geworden besser zu sein als die Überwacher. Könnte ich programmieren, würde es mich sowas von reizen, weil man jetzt öffentlich jemanden hat, mit dem man sich messen müßte.
 
Zuletzt bearbeitet:
Wenn die Programmierer selbst verantwortlich wären, warum ist dann
die alte TrueCrypt-Seite z.B. im Internetarchiv unter
http://web.archive.org/web/*/http://truecrypt.org nicht mehr zu
erreichen?!! Sowas schafft normalerweise höchstens eine staatliche
Institution, hallo NSA!


Edit: Für mich ist das nicht weniger als der Untergang des Internets! Ja, ein Computer-Netzwerk gibt es noch, aber das Internet war für mich mehr, z.B. Kontakte über Staatsgrenzen hinweg, Unabhängigkeit von Staaten und Idiologien und schlicht und ergreifend ein Symbol der Freiheit. Das ist es nun offensichtlich nicht mehr...
 
Zuletzt bearbeitet:
Kausu schrieb:
Hätte der bei den Überprüfungen nicht schon gefunden werden müssen?
Zum Vergrößern anklicken....

Weil einfach nicht alles geprüft wurde, sondern nur der erste Teil. Was genau kann ich dir im Moment nicht sagen, in einem heise Kommentar wurde das genauer erklärt, finde ich jetzt aber nicht auf Anhieb.

Der erste Teil der Quellcode-Prüfung von Truecrypt hatte keine nennenswerten Probleme aufgedeckt; der zweite hat noch nicht begonnen. Quelle
Zum Vergrößern anklicken....
 
Kausu schrieb:
Hätte der bei den Überprüfungen nicht schon gefunden werden müssen?
Zum Vergrößern anklicken....
man kann unerwünschte Funktionen sehr gut im code verstecken (siehe underhanded c contest)
 
Wieso fällt es eigentlich so vielen hier schwer zu glauben, dass die Macher von TrueCrypt wirklich keinen Bock mehr haben?
Das Projekt ruht bereits seit mehreren Jahren. Dass das Projekt "abrupt" oder "plötzlich" eingestellt wurde ist lächerlich. Es ist schon vor langer Zeit eingestellt worden, nur eben nicht offiziell.
Das einzige was die letzen zwei Jahre zu heute und zur Zukunft unterschiedet ist, dass die Homepage weg ist.

Im übrigen verstehe ich die Kommentatoren nicht die dauernd fragen was man denn zu verbergen hätte.
Ich bin immer davon ausgegangen dass man sich dafür rechtfertigen muss wenn man Zugriff auf fremde Daten haben möchte, und nicht andersrum. Verschlüsseln ist IMHO nur ein Weg dieses Prinzip durchzusetzen.

Ice =A= schrieb:
Wenn die Programmierer selbst verantwortlich wären, warum ist dann
die alte TrueCrypt-Seite z.B. im Internetarchiv unter
http://web.archive.org/web/*/http://truecrypt.org nicht mehr zu
erreichen?!! Sowas schafft normalerweise höchstens eine staatliche
Institution, hallo NSA!
Zum Vergrößern anklicken....

Wenn die NSA so gründlich wäre und die Seite sogar aus dem Internetarchiv löschen würde, warum dauert es dann keine 5 Sekunden bei Google um Codearchive und Installer zu finden? Würde die NSA sowas nicht aus Googles Suchindex löschen lassen? -> https://github.com/DrWhax/truecrypt-archive
 
Zuletzt bearbeitet:
Ice =A= schrieb:
Wenn die Programmierer selbst verantwortlich wären, warum ist dann
die alte TrueCrypt-Seite z.B. im Internetarchiv unter
http://web.archive.org/web/*/http://truecrypt.org nicht mehr zu
erreichen?!! Sowas schafft normalerweise höchstens eine staatliche
Institution, hallo NSA!
Zum Vergrößern anklicken....
jeder seitenbetreiber kann sich an Archive.org wenden und darum beten die eigene seite zu löschen/nicht aufzunehmen....das kann hinz und kunz mit seiner barbiewelt seite machen.

Ich könnte aber auch nicht sagen seit wann truecrypt.org nicht in web.archive.org zu finden ist...
 
Klasse, am besten die Stelle, das kein Anderer den Code übernehmen könne :rolleyes:

Wie sicher Bitlocker ist, weiß man wohl spätestens seit dem NSA Skandal...
 
Ah die haben einfach erkannt, dass Bitlocker schneller, besser und sicherer ist. Kein Grund mehr ihre Freizeit dafür zu opfern.
 
Kausu schrieb:
Hätte der bei den Überprüfungen nicht schon gefunden werden müssen?
Zum Vergrößern anklicken....

Ratz_Fatz schrieb:
Weil einfach nicht alles geprüft wurde, sondern nur der erste Teil. Was genau kann ich dir im Moment nicht sagen, in einem heise Kommentar wurde das genauer erklärt, finde ich jetzt aber nicht auf Anhieb.
Zum Vergrößern anklicken....

Ich zitiere mal etwas von heise.

Bei ihrer Untersuchung fanden die Forscher einige Programmfehler, die sie zwar nicht als kritisch einschätzen, ein Bug erlaubt aber unter Umständen, Daten zu entschlüsseln.

...

Das in diesem Zusammenhang geschaffene Open Crypto Audit Project (OCAP) engagierte daraufhin iSec für den ersten Teil der Code-Überprüfung, welcher sich mit dem Bootloader und dem Windows-Kerneltreiber des Programms befassen sollte.

...

Insgesamt entdeckten die Forscher 11 Schwachstellen. Die gravierendste davon betrifft die Verschlüsselung der Volume Header. Diese benutzt die PBKDF2-Funktion, um aus dem Passwort für das Volume den Schlüssel für die verschlüsselten Daten abzuleiten. TrueCrypt nutzt hierbei allerdings, je nach Anwendungsgebiet, nur 1000 oder 2000 Durchgänge, was die Verschlüsselung anfällig für Brute-Force-Angriffe macht. Laut den Forschern seien selbst mittelmäßig komplexe Passwörter durch diesen Prozess nicht sicher und erlaubten es einem Angreifer, das verschlüsselte Volume zu knacken.

Quelle
Zum Vergrößern anklicken....
 
Natürlich kann man jetzt jeden unterstellen, dass er etwas im code versteckt... nach der Einstellung nach müsste ich aber erst von jedem Programm den Code untersuchen (Firefox, CCleaner, alle möglichen Open Source Programme) und natürlich von Closed Source die Finger lasse ... oder gleich alles selber schreiben ... da werde ich ja nie fertig^^


Bitlocker sicherer klar .. gab es da nicht irgendeine idiotische Wiederherstellungsfunktion?

Jupp
http://windows.microsoft.com/de-de/windows7/what-is-a-bitlocker-recovery-key

Da kann ich das Passwort auch gleich auf einen Zettel schreiben.
 
Zuletzt bearbeitet: (Link)
Ratz_Fatz schrieb:
Ich zitiere mal etwas von heise.
Insgesamt entdeckten die Forscher 11 Schwachstellen. Die gravierendste davon betrifft die Verschlüsselung der Volume Header. Diese benutzt die PBKDF2-Funktion, um aus dem Passwort für das Volume den Schlüssel für die verschlüsselten Daten abzuleiten. TrueCrypt nutzt hierbei allerdings, je nach Anwendungsgebiet, nur 1000 oder 2000 Durchgänge, was die Verschlüsselung anfällig für Brute-Force-Angriffe macht. Laut den Forschern seien selbst mittelmäßig komplexe Passwörter durch diesen Prozess nicht sicher und erlaubten es einem Angreifer, das verschlüsselte Volume zu knacken.

Quelle
Zum Vergrößern anklicken....

Und wenn sie das ganze schon für paar tausend Dollar herausgefunden haben, dann kann man sich doch sicher sein, dass der NSA mit mehreren dutzend Milliarden an Cash bei ihrem Audit der Software deutlich weiter gekommen ist....

Kaum sind die Bugs mit den schlampig verschlüsselten Headern aufgeflogen wird das Projekt dicht gemacht. Was hätte man bei weiteren Audits entdeckt?
 
Zuletzt bearbeitet von einem Moderator:
DeinToaster schrieb:
Ich schrieb ja von legitimen Institutionen, denen würde ich jederzeit meine Mitarbeit anbieten, wenn sie mich fragen würden. Also wenn NSA und co. fragen WÜRDEN, aber selbst wenn sie sich alles von mir holen, sollen sie doch.
Zum Vergrößern anklicken....

Ein vorbildlicher Staatsbürger! Läßt Du Dein Auto bitte unabgeschlossen stehen? Danke! Dann kann die Feuerfehr/Polizei nötigenfalls Dein Fahrzeug bewegen, wenn es im Weg steht.

Wir haben alle nichts zu verbergen. Wir haben alle das Recht auf Privatsphäre! In dubio pro reo. Und wir sind nicht mal angeklagt - nicht mal verdächtig, warum sollte man dann bitteschön jederzeit (!) meine Daten einsehen können? Damit es bei dämlichen Algorythmen dann zu einem Eintrag in einer schwarzen Liste kommt, weil man bei einer Überweisung als Verwendungszweck im Scherz "Spende Familie bin Laden" eingetragen hat? Viel harmlosere Sachen veranlassen Banken zB zur Prüfung und Info an die Behörden!

Schon mal in einem Chat/Forum/digitalen Medium eine vermeintliche private Diskussion geführt? Der Bau von jüdischen Siedlungen im Westjordanland sollte vielleicht nicht allzu offen kritisiert werden, sonst gibt es nen Eintrag als Antisemit!?

Liess mal "1984" von George Orwell. Danke!

Warum ich daheim einiges an Daten verschlüssel? Weil ich es kann! Und weil es tatsächlich ein beruhigendes Gefühl gibt. Egal ob ich jetzt mal die HDD gegen eine neue austausche und die alte einfach nur "schnell formnatiere"... Die Datenwiederherstellung wird wohl schiefgehen, zumindest wird sich ein privater Käufer kaum die Arbeit machen, nur um dann zB an meine Musiksammlung zu kommen.
 
Es tut mir Leid, dass ich jetzt gegen uns deutsche Rassismus zeigen muss (bin ja selber einer^^), aber er zeigt halt das typische Verhalten, was leider viele in diesem Land haben - Obrigkeitshörigkeit - wenn die da oben es so entscheiden, wird es schon stimmen. Mein Vater ist genauso, als ich mal mit der Polizei diskutiert habe, war der aufeinmal auf deren Seite:rolleyes: (zwar erst danach, aber trotzdem)
 
Kausu schrieb:
Bitlocker sicherer klar .. gab es da nicht irgendeine idiotische Wiederherstellungsfunktion?

Jupp
http://windows.microsoft.com/de-de/windows7/what-is-a-bitlocker-recovery-key

Da kann ich das Passwort auch gleich auf einen Zettel schreiben.
Zum Vergrößern anklicken....

Du kannst das nicht nur auf einen Zettel schreiben (Recoverykey), du SOLLST es sogar (idealerweise) und den Zettel getrennt vom Computer aufbewahren. Wenn du dein Passwort vergisst und keinen solchen Key hast, dann sind deine Daten weg. Genau wie es bei einer solchen Software sein soll.

DeinToaster schrieb:
Ich schrieb ja von legitimen Institutionen, denen würde ich jederzeit meine Mitarbeit anbieten, wenn sie mich fragen würden. Also wenn NSA und co. fragen WÜRDEN, aber selbst wenn sie sich alles von mir holen, sollen sie doch.
Zum Vergrößern anklicken....

Das Problem ist aber dass sie dich nicht fragen ob du mitarbeiten würdest. Sie nehmen sich einfach das was sie wollen. Seien es nun Festplatten, USB-Sticks oder ganze Rechner. Sind diese Dinge aber verschlüsselt, müssen sie wirklich um MItarbeit bitten. Sie müssen wirklich mit dir Reden, statt einfach alles zu beschlagmnahmen und dich nicht mal anzuschauen oder lediglich "aus dem Weg" zu sagen, wenn sie dir die Bude ausräumen.
 
Zuletzt bearbeitet:
Ich habe mein langes Passwort (glaube 50 Zeichen) noch nie vergessen. Total idiotischer Satz - super zu merken, davon die Anfangsbuchstaben und dann Ziffern reingehauen plus wilde Sonderzeichen und Großbuchstaben. Am Anfang war es ein Graus, aber mittlerweile weiß ich es auch noch nach einen langen Urlaub. Was soll ich mit einen PAsswort, was irgendwo auf einen Zettel steht...

Passwörter, Kontodaten, Zugangspins sollen NICHT aufgeschrieben werden - in meiner Firma gibt das großen Ärger.
 
Zuletzt bearbeitet:
@S.Kara
Ich weiß nicht wie es bei dir ist, aber ich wohne mehrere hundert Kilometer von meinen Eltern entfernt. Da kommt es öfters mal vor, dass mir meine Mutter ein paar lustige oder gar peinliche Fotos von der letzten Geburtstagsfeier schicken will. Es kommt auch immer mal wieder vor, dass wir vertrauliche Dokumente vom Notar, der Bank, oder was auch immer austauschen müssen.
Zum Vergrößern anklicken....
Und wie hat man das VOR dem Internet gemacht? Richtig. Per Post geschickt. Hättest du es gewollt, dass der Postbote deine Briefe aufmacht und mitliest? Ich glaube nicht oder? Hättest du es gewollt, seit der Erfindung des Telefons abgehört zu werden? Ich glaube nicht. Möchtest du, dass jemand deinen gesamten Internetanschluss und Traffic ausspioniert? Ich denke nicht. Und möchtest du, dass deine privaten Daten abgehört oder entschlüsselt werden? Wohl auch nicht.

Und aus diesem Grund, ist man für seine Daten und dessen Datensicherheit selbst verantwortlich. Tricks und Betrügereien gab es schon immer. Die kann man nie zu 100% ausschließen, es sei denn, man fährt persönlich hin.

Und ja, ich wohne 900km entfernt von meinen Eltern. Wir haben keine vertraulichen Dokumente, die wir gegenseitig austauschen.

Was dein Arbeitgeber macht ist völlig normal. Dennoch kannst du selbst ja auch nicht ausschließen, dass trotz Truecrypt und sonstwas jemand auf deine Daten zugreifen könnte. Völlig nie. Und daher glaube ich nicht, dass ein Unternehmen mit einer Klage durchkäme. Vielleicht bist du einen Job los, und auch unverschuldet. Das bringt dann aber generell nichts.

@Crowbar
Ist völlig irrelevant. Was ich für Daten habe geht einfach niemanden was an. Und wenn ich mir die auf USB Stick speichere und als Wanddeko beklebe. Selbst dann nicht.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz