C
can320
Gast
Nexuiz-Player schrieb:
4. Möglichkeit: Ihr Maulwurf ist aufgeflogen bzw. ihr Backdoor wurde entdeckt und das Projekt wurde schnell dicht gemacht
News TrueCrypt: Projekt abrupt eingestellt
- Ersteller fethomm
- Erstellt am
- Zur News: TrueCrypt: Projekt abrupt eingestellt
4. Möglichkeit: Ihr Maulwurf ist aufgeflogen bzw. ihr Backdoor wurde entdeckt und das Projekt wurde schnell dicht gemacht
Aod1
Cadet 4th Year
- Registriert
- Jan. 2009
- Beiträge
- 67
Nexuiz-Player schrieb:
zu 1.: Ich glaube nicht das ihnen eine bewusst unsichere Stelle bekannt ist. Ausser vielleicht für die neue Version 7.2. Der Version würde ich keinesfalls trauen.
zu 2/3.: Das ist auch mein gedanke, die NSA kann Version 7.1a nicht so leicht knacken, nur mit sehr sehr viel arbeit. Darum versuchen sie TC abzuschalten und diese Infizierte 7.2 Version zu vertreiben.
![[o.0]](https://pics.computerbase.de/forum/avatars/m/356/356390.jpg?1445800902){kind=avatar}
[o.0]
Lt. Commander
- Registriert
- Apr. 2008
- Beiträge
- 1.056
Naja, 7.1a macht das was es soll: Es benutzt AES-NI, ist Cross-Plattform-Fähig, ist schlank und simpel und bisher sehen alle Audits gut aus.
Solange da nichts schlimmes raus kommt, bleibe ich dabei. Bitlocker und andere Closed Source Software? Niemals bei soetwas sicherheitskritischem^^
Selbst wenn schon bei 7.1a ein Backdoor drin wäre, solange man nicht der Top-Terrorist ist, wird man da als Normalbürger nichts befürchten müssen. Wenn das rauskommt, dass die Polizei dank NAS-Backdoor die eigene mp3 Festplatte entschlüsselt hat, ist der Honeypot TC tot und alle mit wichtigen verschlüsselten Daten steigen um -> Schuss ins Knie.
Solange da nichts schlimmes raus kommt, bleibe ich dabei. Bitlocker und andere Closed Source Software? Niemals bei soetwas sicherheitskritischem^^
Selbst wenn schon bei 7.1a ein Backdoor drin wäre, solange man nicht der Top-Terrorist ist, wird man da als Normalbürger nichts befürchten müssen. Wenn das rauskommt, dass die Polizei dank NAS-Backdoor die eigene mp3 Festplatte entschlüsselt hat, ist der Honeypot TC tot und alle mit wichtigen verschlüsselten Daten steigen um -> Schuss ins Knie.
P
phil-king
Gast
ich hab keine daten die ich vor einem geheimdienst verbergen muss. und für alle andren wird mein truecrypt 7.1a verschlüsselter notebook unknackbar bleiben. darauf kommt es an.
BlooDFreeZe
Lt. Commander
- Registriert
- Juli 2006
- Beiträge
- 1.160
eparee schrieb:
Ich will MS in Sachen PRISM etc. nicht verteidigen, aber das hört sich doch im Bezug auf Bitlocker ziemlich positiv an. An der Tatsache, dass NSA/FBI, gerade bei großen Firmen, an die Tür klopfen und Backdoors wollen, zweifelt inzwischen niemand mehr. Den Tipp den sie gegeben haben(nach dem Recovery Key an anderer Stelle zu suchen) hätte jeder, der Bitlocker ein mal verwendet hat oder sich eine Anleitung durchgelesen hat geben können.
Trefoil80
Commodore
- Registriert
- Dez. 2009
- Beiträge
- 4.875
baizon schrieb:
Hätte ich bis vor drei Monaten auch gesagt. Mittlerweile bin ich mir gar nicht sicher, ob open source bei Verschlüsselungstools immer der Königsweg ist (siehe OpenSSL/Heartbleed).
Bei closed source kennt nur der Hersteller den Source Code, und etwaige Schwächen bleiben im Haus.
Bei open source kann jeder Schwächen finden: Otto Normalbürger, Kriminelle und Geheimdienste (ohne den Programmierer zu kontaktieren).
Wer sagt denn, dass der Finder einer Sicherheitslücke diese sofort veröffentlicht und nicht für teures Geld verkauft?
baizon
Commander
- Registriert
- Juni 2007
- Beiträge
- 2.084
@Trefoil80
Genau, dann kann aber so jemand wie die NSA kommen, geben 10Mil$ und du baust eine Hintertür ein. Ich bin mir sicher jede Firma hat ihren Preis. Bei einem Open Source Projekt ist dies nicht möglich.
Bei den Bugs sehe ich es auch positiv, die werden dann schneller Behoben.
Genau, dann kann aber so jemand wie die NSA kommen, geben 10Mil$ und du baust eine Hintertür ein. Ich bin mir sicher jede Firma hat ihren Preis. Bei einem Open Source Projekt ist dies nicht möglich.
Bei den Bugs sehe ich es auch positiv, die werden dann schneller Behoben.
Selbst wenn es Leute gibt, die Bitlocker einsetzen wollten, müssten die sowieso ein Windows Pro oder Enterprise haben. Habe gerade bei meinen Notebook geguckt, da dort nur Windows 8 Core drauf ist, muss ich eh TrueCrypt nehmen, wenn ich das Vollverschlüsseln möchte.
Abgesehen vielleicht von der Klotür, wenn, ich mein Geschäft erledige.
Kausu
Captain
- Registriert
- Mai 2010
- Beiträge
- 3.168
@
Trefoil80 Ja, aber da könnte man genauso gut fragen, was ist wenn der Closed Source Hersteller ein schlechtes Image fürchtet. Siehe ebay und die ewig bekannte, aber nicht veröffentlichte Sicherheitslücke? Vielleicht wäre wirklich Freie Software eine Lösung
Trefoil80 Ja, aber da könnte man genauso gut fragen, was ist wenn der Closed Source Hersteller ein schlechtes Image fürchtet. Siehe ebay und die ewig bekannte, aber nicht veröffentlichte Sicherheitslücke? Vielleicht wäre wirklich Freie Software eine Lösung
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.279
Auf meinem Laptop verwende ich auch Bitlocker... Truecrypt mag weder UEFI noch GPT für Systempartitionen, dazu noch ein Dualboot mit Linux - gibt einfach keine Software, die das unterstützt. So hab ich jetzt Bitlocker für Windows, ein verschlüsseltes LVM für Linux und Truecrypt für die Datenpartition. Schönes durcheinander.
DocWindows
Vice Admiral
- Registriert
- Mai 2013
- Beiträge
- 6.809
Für mich ist TrueCrypt spätestens seit Veröffentlichung des Authenticode-Schlüssels nicht mehr vertrauenswürdig.
Der Programmcode mag sicher sein, die Architektur der Software ist es aber nicht.
Mir selbst war es möglich mit relativ wenig Zeitaufwand (2 Std. mit Einrichtung der Buildumgebung) eine einwandfreie TrueCrypt.exe zu erstellen, die ordentlich signiert war und sich in keiner Weise die jemand im Alltag erkennen würde von der offiziellen EXE unterschied.
Allerdings protokollierte sie in einer Log-Datei die Passworteingabe des Users mit und zusätzlich den Hash der dem Treiber letztendlich zur Entschlüsselung/dem Mounten von Volumes rübergereicht wurde.
Nun mag man meinen dass man ja Hashwerte vergleichen könnte um zu schauen ob eine Datei wirklich original ist oder nicht. Aber wer kennt schon den Hash der EXE-Datei? Eigentlich wird immer nur der Hash des Installers geprüft.
Insofern halte ich das Verschwinden von Truecrypt weder für tragisch noch für von der NSA initiiert.
Denen kann im Prinzip nichts besseres wie Truecrypt passieren. Sie können die Verschlüsselung wohl nicht knacken, aber dafür können sie ein 1a Spionage GUI-Tool erstellen, welches man eigentlich nur an einer anderen Dateigröße oder eben einem Hashvergleich erkennen kann.
Die Dateigröße könnte man außerdem noch durch manipulieren der Sections innerhalb der EXE-Dateien nach dem Kompilieren anpassen, indem man einfach ein paar Bytes weglöscht und die Headerinfos anpasst.
Der Programmcode mag sicher sein, die Architektur der Software ist es aber nicht.
Mir selbst war es möglich mit relativ wenig Zeitaufwand (2 Std. mit Einrichtung der Buildumgebung) eine einwandfreie TrueCrypt.exe zu erstellen, die ordentlich signiert war und sich in keiner Weise die jemand im Alltag erkennen würde von der offiziellen EXE unterschied.
Allerdings protokollierte sie in einer Log-Datei die Passworteingabe des Users mit und zusätzlich den Hash der dem Treiber letztendlich zur Entschlüsselung/dem Mounten von Volumes rübergereicht wurde.
Nun mag man meinen dass man ja Hashwerte vergleichen könnte um zu schauen ob eine Datei wirklich original ist oder nicht. Aber wer kennt schon den Hash der EXE-Datei? Eigentlich wird immer nur der Hash des Installers geprüft.
Insofern halte ich das Verschwinden von Truecrypt weder für tragisch noch für von der NSA initiiert.
Denen kann im Prinzip nichts besseres wie Truecrypt passieren. Sie können die Verschlüsselung wohl nicht knacken, aber dafür können sie ein 1a Spionage GUI-Tool erstellen, welches man eigentlich nur an einer anderen Dateigröße oder eben einem Hashvergleich erkennen kann.
Die Dateigröße könnte man außerdem noch durch manipulieren der Sections innerhalb der EXE-Dateien nach dem Kompilieren anpassen, indem man einfach ein paar Bytes weglöscht und die Headerinfos anpasst.
Simpson474
Fleet Admiral
- Registriert
- Sep. 2006
- Beiträge
- 12.797
Damit kann ich TestCrypt nun wohl auch einstellen 
Das die Entwicklung von TrueCrypt feststeckt, sieht man schon seit einigen Jahren: Bugreports werden ignoriert, der EFI-Support wurde nie implementiert. Die Lobeshymnen auf BitLocker, welcher von einer US-Firma entwickelt wurde und über keinerlei "Plausible Deniability" verfügt, sind jedoch sehr suspekt. Das Verbreiten von Verschlüsselungssystemen galt in der USA lange Zeit als Waffenexport, ein Backdoor in BitLocker ist daher sehr wahrscheinlich.
Auch die Veröffentlichung von Version 7.2 macht keinerlei Sinn: laut einigen Beiträgen im Internet unterscheidet sich der Quelltext von Version 7.1a und 7.2 ausschließlich in der fehlenden Verschlüsselungsfunktionalität und ein paar Dialogtexten. Man hätte das Projekt auch beenden können, indem man Version 7.1a zur letzten TrueCrypt Version deklariert: eine Spezialversion ohne Funktionalität, das Entfernen der vorherigen Versionen auf der offiziellen Website und unbegründete Warnhinweise deuten irgendwie darauf hin, dass man die Verbreitung von TrueCrypt eindämmen will.
Das die Entwicklung von TrueCrypt feststeckt, sieht man schon seit einigen Jahren: Bugreports werden ignoriert, der EFI-Support wurde nie implementiert. Die Lobeshymnen auf BitLocker, welcher von einer US-Firma entwickelt wurde und über keinerlei "Plausible Deniability" verfügt, sind jedoch sehr suspekt. Das Verbreiten von Verschlüsselungssystemen galt in der USA lange Zeit als Waffenexport, ein Backdoor in BitLocker ist daher sehr wahrscheinlich.
Auch die Veröffentlichung von Version 7.2 macht keinerlei Sinn: laut einigen Beiträgen im Internet unterscheidet sich der Quelltext von Version 7.1a und 7.2 ausschließlich in der fehlenden Verschlüsselungsfunktionalität und ein paar Dialogtexten. Man hätte das Projekt auch beenden können, indem man Version 7.1a zur letzten TrueCrypt Version deklariert: eine Spezialversion ohne Funktionalität, das Entfernen der vorherigen Versionen auf der offiziellen Website und unbegründete Warnhinweise deuten irgendwie darauf hin, dass man die Verbreitung von TrueCrypt eindämmen will.
computeralex92
Cadet 3rd Year
- Registriert
- Apr. 2012
- Beiträge
- 32
Weil hier (und in vielen anderen Artikel) von OpenSource die Rede ist:
TrueCrypt ist NICHT OpenSource.
Die Lizenz, die für TrueCrypt verwendet wird, erlaubt einem die Einsicht in den Quellcode, aber du darfst ihn nicht ändern.
Man kann Teile entnehmen, aber dein Programm darf nicht ähnlich heißen etc.
Die Lizenz wurde weder von der OSI noch von der FSF anerkannt und darf sich deshalb weder freie- noch OpenSource-Software schimpfen.
Außerdem ist die Lizenz nicht mit der GPL kompatibel; aus dem Grund ratet Debian und die FSF von einer Benutzung ab.
Alternative zu dem ganzen wäre z.B. DiskCrypter, die unter der GPLv3 steht...
TrueCrypt ist NICHT OpenSource.
Die Lizenz, die für TrueCrypt verwendet wird, erlaubt einem die Einsicht in den Quellcode, aber du darfst ihn nicht ändern.
Man kann Teile entnehmen, aber dein Programm darf nicht ähnlich heißen etc.
Die Lizenz wurde weder von der OSI noch von der FSF anerkannt und darf sich deshalb weder freie- noch OpenSource-Software schimpfen.
Außerdem ist die Lizenz nicht mit der GPL kompatibel; aus dem Grund ratet Debian und die FSF von einer Benutzung ab.
Alternative zu dem ganzen wäre z.B. DiskCrypter, die unter der GPLv3 steht...
Genauso ist es! Es ist lächerlich, gerade die Firma Microsoft zu empfehlen, die sich als erste mit der NSA ins Bett gelegt hat, dazu war wohl nicht viel Druck nötig! Ebenso lächerlich: eine Verschlüsselung zu "empfehlen", die den meisten Nutzern gar nicht zur Verfügung steht (wegen Windows Home etc).
Gerade jetzt (angeblich) die Lust zu verlieren, nachdem so viel Geld für Truecrypt gesammelt wurde, ist auch unglaubwürdig. Dann hätten sie es komplett freigegeben. Sichert euch die Version 7.1a von Heise und wartet erstmal ab.
Der große Vorteil von Truecrypt war die Plattformunabhängigkeit. Die Container konnte man überall öffnen. Ein adäquater Ersatz müsste das auch können UND Open Source sein.
Zuletzt bearbeitet: