Posse um Verschlüsselungssoftware TrueCrypt verunsichert die Anwender
- Ersteller X_FISH
- Erstellt am
ghostadmin
Grand Admiral Special
Ja Quellen hat es zwar gegeben aber es war nie völlig frei und das verhindert dann wohl auch Forks. Und nie wusste jemand ob die Binaries mit dem Source Code übereinstimmen.
BoMbY
Grand Admiral Special
Soweit ich weiß ist eher das Gegenteil der Fall, gerade auch wegen der Blackbox TPM. Würde daher eher für einen Warrant-Canary sprechen.
ghostadmin
Grand Admiral Special
Bitlocker ist doch so schön nach industry standard und fehlerfrei programmiert. Das war halt Sarkasmus.
Und mit dem "its not secure" not richtig eins ausgewischt damit die 46000 USD umsonst waren weil jetzt keiner mehr dem Programm traut.
Auszüge aus dem Audit:
Overall, the source code for both the bootloader and the Windows kernel driver did not meet
expected standards for secure code.This includes issues such as lack of comments,use of inse
cure or deprecated functions, inconsistent variable types, and so forth.
Improve code quality. Due to lax quality standards, TrueCrypt source is difficult to review and
maintain.
In addition to the implementation issues above, the code is difficult to read and follow in some
places. This makes it hard to assess the source code for bugs and perform general maintenance.
Und mit dem "its not secure" not richtig eins ausgewischt damit die 46000 USD umsonst waren weil jetzt keiner mehr dem Programm traut.
Auszüge aus dem Audit:
Overall, the source code for both the bootloader and the Windows kernel driver did not meet
expected standards for secure code.This includes issues such as lack of comments,use of inse
cure or deprecated functions, inconsistent variable types, and so forth.
Improve code quality. Due to lax quality standards, TrueCrypt source is difficult to review and
maintain.
In addition to the implementation issues above, the code is difficult to read and follow in some
places. This makes it hard to assess the source code for bugs and perform general maintenance.
Zuletzt bearbeitet:
eratte
Redaktion
☆☆☆☆☆☆
G
Gast10072016
Guest
Angeblich haben der oder die Entwickler keine Lust mehr?! Irgendwas stinkt doch aber ganz gewaltig.
http://www.heise.de/newsticker/meld...hat-angeblich-Interesse-verloren-2211228.html
http://www.heise.de/newsticker/meld...hat-angeblich-Interesse-verloren-2211228.html
Berniyh
Grand Admiral Special
- Mitglied seit
- 29.11.2005
- Beiträge
- 5.206
- Renomée
- 219
Die Vermutung haben zumindest auch andere:... und hat eine Mörder-Backdoor entdeckt, die die Projektbetreiber nur zum Ergebnis kommen lassen konnte, alles, aber auch alles zu tun damit ihre Software nicht mehr verfügbar sein darf?!
Ob da was dran ist, keine Ahnung. Aber TrueCrypt kann man vorerst sicher nicht vertrauen, egal welcher Version.
Edit: In einem hat er aber auf jeden Fall Recht:
Unter Windows erstellte TrueCrypt Container sind genauso sicher oder unsicher wie die von Bitlocker (SW-Fehler mal außen vorgelassen), d.h. eben so sicher wie irgendwelche Daten/Passwörter unter Windows generell. Insofern kann man tatsächlich auch Bitlocker nutzen, wenn man nur unter Windows unterwegs ist.
Zuletzt bearbeitet:
G
Gast10072016
Guest
Danke für die Infos! Interessant was der Herr da vermutet. Realistischerweise ist auch der Wechsel zu Bitlocker nicht "blöd". Denn man muss Windows wohl als tatsächlich kompromittiert ansehen (es gibt da eine uralte Meldung, wonach schon vor Urzeiten NSA Code / Backdoor in Windows gefunden wurde). Man muss sich fragen, will ich meine Daten vor normalsterblich unberechtigten Dritten, Diebstahl schützen -> Bitlocker okay. Will ich den Zugriff durch US-amerikanische und befreundete Nachrichtendieste verhindern, wäre die erste Maßnahme diese nicht unter Windows zu nutzen!
Berniyh
Grand Admiral Special
- Mitglied seit
- 29.11.2005
- Beiträge
- 5.206
- Renomée
- 219
G
Gast10072016
Guest
ghostadmin
Grand Admiral Special
Wenn man diese Verschwörungstheorien ausser acht lässt gibt es eigentlich nur 2 Möglichkeiten. Die mit dem Gag Order, weswegen er auch schrieb das es unsecure sei und genug Zeit bleiben soll bis es aufgedeckt wird (vielleicht bei Phase 2 im September?). Da hätte man aber doch mehr schreiben können oder Bestrebungen anstellen können das ganze zu fixen. Wieso lässt man da gleich das ganze Projekt fallen? Ok, immerhin war die letzte Version 2 Jahre alt. Das mit "keine Lust" passt dazu. Und das würde auch erklären warum in 7.2 die initiale Verschlüsselung entfernt wurde. Aber warum in dem Chat kein Wort davon das es eine Lücke gäbe?
Oder dieser "David" war einfach nur mit dem Audit beleidigt, was er natürlich nicht zugibt sonst müsste er sich ja für das unsecure rechtfertigen das so profan ohne Begründung dastand.
Oder vielleicht wars ja einfach nur eine Kombination aus beidem.
Oder dieser "David" war einfach nur mit dem Audit beleidigt, was er natürlich nicht zugibt sonst müsste er sich ja für das unsecure rechtfertigen das so profan ohne Begründung dastand.
Oder vielleicht wars ja einfach nur eine Kombination aus beidem.
Schattenreich
Grand Admiral Special
hey hier steht was ganz anderes http://truecrypt.ch/ und http://www.chip.de/news/TrueCrypt-unsicher-Verschluesselungs-Tool-am-Ende_70049725.html
Zuletzt bearbeitet:
Naja, da kann man nur hoffen das es mit der Lizenz keine Probleme gibt und sie das abändern des Quellcodes erlaubt, und somit die laut Phase 1 notwendigen Updates erlaubt. TC würde ich eh nur verwenden um USB Sticks zu schützen gegen unberechtigten Zugriff auf die Daten.
- Mitglied seit
- 01.07.2000
- Beiträge
- 24.066
- Renomée
- 10.446
Habe die aktuelle News hier her verlinkt:
http://www.planet3dnow.de/cms/10055...software-truecrypt-verunsichert-die-anwender/
Also bitte nicht wundern, falls es hier etwas weniger heimelig wird
http://www.planet3dnow.de/cms/10055...software-truecrypt-verunsichert-die-anwender/
Also bitte nicht wundern, falls es hier etwas weniger heimelig wird
Unbekannter Krieger
Grand Admiral Special
@ghostadmin
Es handelt sich bei allem hier um Verschwörungstheorien, ob du das Wort nun weiter verächtlich gebrauchen möchtest oder nicht.
Begriffsklärung "Verschwörungstheorie": https://www.youtube.com/watch?v=NwGi6gd8u9M
Es handelt sich bei allem hier um Verschwörungstheorien, ob du das Wort nun weiter verächtlich gebrauchen möchtest oder nicht.
Begriffsklärung "Verschwörungstheorie": https://www.youtube.com/watch?v=NwGi6gd8u9M
BoMbY
Grand Admiral Special
Ach ja, DiskCryptor gibt es auch noch. Meint Ihr es wäre denkbar, dass man ein TrueCrypt-Volume mounten, es dann mit DiskCryptor zusätzlich verschlüsseln, und dann die TrueCrypt-Verschlüsselung entfernen kann? Um ein komplettes Entschlüsseln zu vermeiden (Paranoia-Modus)?
Schattenreich
Grand Admiral Special
mache es doch offline den Wechsel und denk dran DC leüft nicht mit Windows 8.1 gab bei mir immer Fehler Meldung System konnte nicht gestrate werden .
ich bleibe bei tc
ich bleibe bei tc
Santas Little Helper
Admiral Special
...Not...Secure...As...
Sagt doch alles.
Sagt doch alles.
Darüber war ich gestern schon gestolpert. Ich wollte es jedoch noch einmal genau nachlesen, bevor ich dazu etwas falsches sage. Es existieren zwei Schlüssel für BitLocker. Einer wird im TPM angelegt und ein zweiter dient allein als Recovery Key. Letzteren kann man auf einen USB Stick ablegen oder sogar ausdrucken. Hierzu wird der Anwender wohl bei der Ersteinrichten von BitLocker aufgefordert. Sichern lässt sich jedoch gleichfalls der im TPM abgelegte Key. Beide Schlüssel haben wohl eine Länge von 48 Stellen. Deaktiviert man das TPM nachträglich im BIOS/UEFI wird man zur Eingabe dieses Keys aufgefordert. Zum TPM gibt es von Anfang an viele Vorbehalte. Ich persönlich würde die Auffassung vertreten, dass ein TPM nicht viel Unfug treiben kann, denn es ist doch recht abgeschottet vom System und seine Möglichkeiten beschränken sich auf das Erzeugen und Ablegen von Schlüsseln. Nach derzeitigem Kenntnisstand sind die Schlüssel dort sogar einigermaßen sicher untergebracht. Trusted Platform Module wurden schon öfter von unabhängigen Stellen unter die Lupe genommen und haben dabei keine schwerwiegenden Schwachstellen gezeigt. Übrigens benötigt man mittlerweile kein TPM mehr für die Nutzung von BitLocker. Man kann ebenso eine PIN festlegen, ein Key File auf einem USB Stick verwenden oder eine Kombination aus Beidem.
Ganz aufschlussreich ist übrigens dieses FAQ von Microsoft zu BitLocker: Klick
PS: Für mich ist BitLocker dennoch keine Alternative zu TrueCrypt. Allein deshalb, weil es nur mit Klimmzügen "Container" erzeugen kann.
Zuletzt bearbeitet:
Ich habe zusätzlich den Kommentarthread jetzt hierher umgebogen.Habe die aktuelle News hier her verlinkt:
http://www.planet3dnow.de/cms/10055...software-truecrypt-verunsichert-die-anwender/
Also bitte nicht wundern, falls es hier etwas weniger heimelig wird
BoMbY
Grand Admiral Special
Naja, eher vier. Einer bei Microsoft, zwei im TPM-Chip (normal, plus NSA-Hintertür), plus ein Recovery-Key wenn man ihn hat.
ghostadmin
Grand Admiral Special
Fast alles. Das was abweichend zur Truecrypt Seite genannt wird.
Es soll sich auch nur um eine Person handeln die dahinter steckt (Vermutung, auch im Audit) und die ist gar nicht mal so schwer herauszufinden. Im truecrypt irc channel hat sogar schon mal jemand an der Tür geklopft um nachzufragen oO
Unbekannter Krieger
Grand Admiral Special
Stimmt, ghost.
Ich hoffe, du hast die Botschaft verstanden/das Video angeschaut.
Ich hoffe, du hast die Botschaft verstanden/das Video angeschaut.
CrazyStrump
Vice Admiral Special
Das Audit besagt nur, dass es keine offensichtlichen Backdoors gibt. Sagt aber auch, dass der Code nicht ganz den Standards entspricht, welche man von einer derartigen Software erwarten würde. So können auch kritische Bugs enthalten sein, die nicht sofort ersichtlich sind. Ich sehe da TC in der ähnlichen Situation wie OpenSSL. Der Code benötigt einen sorgfältigen rewrite. Das Team rund um OpenSSL sind in den Medien unter Beschuss, als wären das nur Amateure. Möglich, dass die TC-Entwickler sich nicht als Idioten darstellen lassen wollen wie die OpenSSL-Leute derzeit. Gleichzeitig haben sie wohl weder Lust, noch Zeit das ganze neu zu schreiben.
Eine andere Variante wäre, dass TC als Kriegswaffe eingesstuft ist und so gewissen Exportbeschränkungen unterliegt. Es gab Zeiten, da durfte wurden Verschlüsselungskomponenten in Internationalen Versionen stark beschnitten. Der Grund für die NON-US Repositories in diversen Linux-Dirstributionen. PGP wurde damals auch erst mal im Quellcode nach Norwegen gebracht, um von dort aus auch in der EU unbeschnitten genutzt zu werden. Möglich, dass derartiges auch hier vorliegt.
Wahrscheinlich ist es eine Mischung aus allem, wofür es den Entwicklern nicht Wert ist weiter zu machen.
ghostadmin
Grand Admiral Special
Laut letzten Meldungen soll der Dev sogar den Key zerstört haben.
Um nochmal zusammen zu fassen:
- Letzte Version ist 2 Jahre alt und offiziell nur bis Win7
- Das Projekt wird kaum Geld einbringen
- Jährliche Kosten um Treiber zu signieren
- Womöglich nur 1 Dev und der hat keine Zeit (siehe c'T desinfect), wird aber von allen Seiten beschossen
- In sehr kurzer Zeit wird ein haufen Asche gesammelt um das Programm zu prüfen. Soviel hat der Dev vermutlich in etlichen Jahren nicht erhalten und ist womöglich gekränkt (offiziell allerdings im Gegenteil)
- Etliche Fehler im Audit gefunden, evtl. ist hier sogar ein fataler dabei der der Masse noch nicht aufgefallen ist
- Im Audit war geschrieben das wenn man die Fehler fixen würde, man evtl. andere einbauen würde weil der Code so unübersichtlich sei -> Tendenz rewrite
- Früher gabs schon einmal Lizenzprobleme bei der Übernahme aus E4M bei der der Code angeblich gestolen war
- Einfach so die alten Sachen weiterentwickeln ist nicht, der Dev könnte einen Rechtsstreit anfangen
Um nochmal zusammen zu fassen:
- Letzte Version ist 2 Jahre alt und offiziell nur bis Win7
- Das Projekt wird kaum Geld einbringen
- Jährliche Kosten um Treiber zu signieren
- Womöglich nur 1 Dev und der hat keine Zeit (siehe c'T desinfect), wird aber von allen Seiten beschossen
- In sehr kurzer Zeit wird ein haufen Asche gesammelt um das Programm zu prüfen. Soviel hat der Dev vermutlich in etlichen Jahren nicht erhalten und ist womöglich gekränkt (offiziell allerdings im Gegenteil)
- Etliche Fehler im Audit gefunden, evtl. ist hier sogar ein fataler dabei der der Masse noch nicht aufgefallen ist
- Im Audit war geschrieben das wenn man die Fehler fixen würde, man evtl. andere einbauen würde weil der Code so unübersichtlich sei -> Tendenz rewrite
- Früher gabs schon einmal Lizenzprobleme bei der Übernahme aus E4M bei der der Code angeblich gestolen war
- Einfach so die alten Sachen weiterentwickeln ist nicht, der Dev könnte einen Rechtsstreit anfangen
Zuletzt bearbeitet:
