@aspro
Ich gehe mal davon aus, dass du diesen Absatz in dem PDF Dokument bewusst unterschlägst.
Zitat aus truecrypt_7.0a-analysis-de.pdf von privacy-cd.org
Wie in der Tabelle vermerkt, füllt die Windows-Version von TrueCrypt 7.0a abweichend von der
Linux-Version den 65024 Byte großen Bereich ab Byte 512 in jedem der vier Header mit Zufalls-
werten. Das ist ein Problem für die Überprüfung, weil es keine Möglichkeit gibt zu unterscheiden,
ob es sich hier wirklich um Zufallswerte handelt oder ob darin ein Zweitschlüssel zum Container als
Hintertür (z.B. für einen Geheimdienst) abgelegt wurde. Der veröffentlichte Quellcode der Win-
dows-Version schreibt hier tatsächlich Zufallswerte hinein und legt somit keine Hintertür an. Vom
Standpunkt der Wartbarkeit aber auch der Lesbarkeit des Quellcodes ist diese Duplikation eines
Teils des Codes mit kleinen Abweichungen ein großes Ärgernis.
Denkbar ist, dass die veröffentlichte ausführbare TrueCrypt-Exe-Datei aus einem von dem in
„TrueCrypt*7.0a*Source.zip“ *veröffentlichten Quellcode abweichenden Code erzeugt
wurde und diesen Bereich des Headers als Hintertür benutzt. Die Linux-Version hat dieses Pro-
blem an dieser Stelle nicht, weil die Entschlüsselung zu 0-Bytes beweist, dass hier kein Zweit-
schlüssel verborgen ist.
Prinzipiell könnte ein Zweitschlüssel auch im Salt-Wert verborgen werden, was auch die Linux-Ver-
sion beträfe. Die 64 Bytes des Salt-Wertes würden reichen, um den Master-Schlüssel und den
XTS-Schlüssel bei Verschlüsselung mit einer einfachen Chiffre, mit einem zweiten – dem Herstel-
ler der ausführbaren Programme – bekanntem Passwort verschlüsselt abzuspeichern. Bei einer
Kombination von zwei oder drei Chiffren reichen sie für die Schlüssel der zweiten und dritten Chif-
fre nicht mehr, dann können aber die Salt-Bytes des Backup-Headers hinzugenommen werden.
Vereinfacht gesagt besteht die Möglichkeit, dass ein Masterkey in der compelierten Windows Version vorhanden ist.
Das diese Möglichkeit nur auf Container begrenzt ist macht in der Hinsicht Sinn, da solche Container problemlos kopiert werden können.
Container die sich z.B. auf einen externen Speichermedium oder in der Cloud befinden, können so ohne Rechenaufwand kopiert und entschlüsseln werden. Eine verschlüsselte Systempartition auf einen PC ist in dieser Hinsicht völlig uninteressant.
Das nur die Windows Version betroffen sein könnte wundert mich nicht, da diese die meistgenutzte Truecrypt Version ist. Anwender die selbst compelieren, werden wohl auch eher die Ausnahme sein.
Das der Sitz in den USA ist, ist unter anderem wegen der Gesetze/Rechtslage wichtig. Bestes Beispiel ist ja das Thema dieses Threads. Behörden können jeder Zeit ihren Einfluss geltend machen.
Wenn jemand anonym agiert hat er in der Regel was zu verbergen oder er muss besonders geschützt werden, was in diesem Fall zu trifft kann jeder für sich entscheiden (mMn vermutlich beides).
Die USA haben schon seit Jahren Wirtschaftliche und finanzielle Probleme und stehen mit dem Rücken an der Wand. Die Bereitstellungen einer Cloud um sie auch für Wirtschaftsspionage zu nutzen, kommt dadurch bestimmt gelegen.
So "einfach" wie früher ist das bei den heutigen, meist global arbeiten Firmen auch nicht mehr. Man muss also dafür sorgen, dass die Weltweit verstreuten Informationen freiwillig auf den eigenen Server zur Verfügung gestellt werden.
Was sich im privaten Umfeld einmal durchgesetzt hat, wird auch für dienstliche Belange genutzt. Selbst Entscheider in Firmen sind davor nicht gefeit. Da die Sicherheitsproblematik bekannt ist, wird zum Teil auf Verschlüsselung wie z.B. Truecrypt gesetzt.
Ich gehe aber davon aus, dass der größte Teil der Nutzer in der heutigen Zeit sich nicht mit dem Schutz seiner persönlichen und den dienstlichen Daten auseinander setzt (siehe Facebook/Cloud).
Generell muss man sagen das Sicherheitslösungen Vertrauens-Angelegenheiten sind aber bedingungsloses Vertrauen wie z.B. in Truecrypt als pseudo- Standard habe ich nicht, dafür sind die Begehrlichkeiten zu hoch.
