Posse um Verschlüsselungssoftware TrueCrypt verunsichert die Anwender

X_FISH

Grand Admiral Special
Mitglied seit
03.02.2006
Beiträge
4.206
Renomée
1.941
  • BOINC Pentathlon 2017
  • BOINC Pentathlon 2018
  • BOINC Pentathlon 2019
  • SETI@Home Wow!-Event 2019
  • BOINC Pentathlon 2020
  • THOR Challenge 2020
  • BOINC Pentathlon 2021
  • BOINC Pentathlon 2022
  • BOINC Pentathlon 2023
Die Verschlüsselungssoftware TrueCrypt ist seit Jahren ein beliebtes Tool in der IT-Welt, gerade bei Anwendern, die großen kommerziellen Anbietern im Zweifel erst einmal misstrauen. Gestern, am 29.05.2014, jedoch wurde die offizielle Webseite truecrypt.org auf einmal auf truecrypt.sourceforge.net weitergeleitet. Dort fand der erstaunte Besucher die Mitteilung, die Software sei nicht sicher
(…)

» Artikel lesen
 
Ich hab mal die alte Windows Version 7.1a (heruntergeladen am 06.02.2014) hoch geladen: https://mega.co.nz/#!OBdV3bpY!gfbiP_bUOIJLPH0D6QDBcKRGaqE0_HviDY4TD7Xz-Tg

Der Installer selbst ist signiert, die anderen Signaturen hab ich nicht mehr. Falls das jemand noch braucht. Es wäre aber so oder so an der Zeit sich nach Alternativen umzusehen. Das Vertrauen dürfte endgültig (nachdem es ehh schon ewig keine Updates gab) weg sein.

Edit: Ich würde von der "offiziellen" Seite im Moment nichts runter laden. Die Version 7.2 könnte gut ein Trojaner sein. Und Bitlocker würde ich persönlich übrigens nicht empfehlen, wenn die Daten wirklich sicher sein sollen.

Edit: Hash-Werte:

Code:
TrueCrypt Setup 7.1a.exe 
MD5 = 7a23ac83a0856c352025a6f7c9cc1526
SHA1 = 7689d038c76bd1df695d295c026961e50e4a62ea 
CRC32 = 1b1ac848 
SHA-256 = e95eca399dfe95500c4de569efc4cc77b75e2b66a864d467df37733ec06a0ff2
SHA-512 = cd36acf57a8062f85dde7955270c61d60406b4fa117fd3b3b0a6d10a56f3de33b8f04d2ed4315f34dcad1b846cd9a3b49fc8c0bdb8902b1997902762c55553e2
SHA-384 = ee925391c188e5b67608c93fbf4d0488f4ba7eda79267bb3c71f23ac9536d32a4e4a2df883fc770bf86e124e37c77b45
File Size = 3.466.248

Edit: Golem hat auch die anderen OS-Versionen: http://video.golem.de/download/13138
 
Zuletzt bearbeitet:
Es gab doch unlängst ein Audit mit Quelltextanalyse.
Danach war das Vertrauen an sich wieder sehr hoch.

Ich würde ja gern bei all den Gerüchten und Mutmaßungen auf harte Fakten warten. Aber die wahrscheinlichste Theorie besagt ja, dass die CIA/NSA/etc. sich Zutritt verschafft hat und allen Beteiligten unter Strafe verboten hat, darüber zu sprechen.

Ich nutze es hauptsächlich, damit nicht jeder Hanswurst meine evtl. verlorenen USB-Sticks lesen kann, nicht weil ich was vor (Fremd)staatlichen Stellen zu verbergen habe. Daher sehe ich aktuell keinen Grund, mich überhastet nach einer Alternative umzuschauen.
 
[...] Ich nutze es hauptsächlich, damit nicht jeder Hanswurst meine evtl. verlorenen USB-Sticks lesen kann, nicht weil ich was vor (Fremd)staatlichen Stellen zu verbergen habe. Daher sehe ich aktuell keinen Grund, mich überhastet nach einer Alternative umzuschauen.

Dafür habe ich es immer Freunden und Bekannten empfohlen - und die waren sehr zufrieden damit.

Grüße, Martin
 
Für mich ist sieht die Sache zum jetzigen Zeitpunkt so aus, das die Enwickler einen National Security Letter erhalten haben, die sie zur Kooperation und Stillschweigen oder Knast zwingt (siehe Lavabit). Die Software ist durch die erste Stufe des Security Audits gekommen, keine Backdoors, also nach menschlichem ermessen sicher.

Da die Enwickler die User schützen wollen, aber ja nicht sagen können, die NSA nimmt Einfluß auf unsere Software (->Knast) und wird damit aber nicht mehr sicher sein, hauen sie die Software a) kaputt (siehe Version 7.2) und b) verleumden sich selbst (Software sei unsicher (entgegen der aktuellen Faktenlage)) und verweisen auf so NSA Produkte wie Bitlocker von einem der obersten NSA Erfüllungsgehilfen Microsoft. Praktisch wenn nach der ersten Security Audit Stufe die NSA an den Code geht, weil erst geprüft, kommt kein Mensch drauf die gleich wieder gegen zu checken!

Im übrigen kommt man wohl auch nicht mehr über die Wayback Machine an ältere Versionen der Website, wurden gesperrt. Die Aktion ist insgesamt generalstabsmäßig geplant.

"WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues"
 
Zuletzt bearbeitet:
Schade um TrueCrypt. Das ist ein unwürdiger Abgang nach vielen Jahren. Ich habe es immer gern genutzt. Anfangs mit Partitionen, zuletzt mit Containern. Zuletzt schien die Entwicklung eingeschlafen. Ich schob es auf die laufenden Audits. Ich hoffe es kristallieren sich bald brauchbare Alternativen heraus. BitLocker ist jedenfalls keine für mich. DiskCryptor sieht dagegen ganz interessant aus. Leider hat es schon auf dem Papier einige Defizite gegenüber TrueCrypt. Getestet habe ich DiskCryptor noch nicht. Vorerst bleibe ich deswegen bei TrueCrypt. Allen Warnungen zum Trotz.
 
Eine kostenpflichtige Alternative könnte BestCrypt Volume Encryption oder BestCrypt Container Encryption sein. Ist eine finnische Firma die ich schon seit langer Zeit kenne, und das Produkt funktioniert prinzipiell gut - allerdings sagen die von sich, dass das DoD auch ein guter Kunde wäre.
 
WTF? Unsicher? Geile Behauptung ohne einen Ansatz von Beleg! (Das geht nicht gegen dich, X_FISH, sondern gegen diejenigen, die die Behauptung in die Welt gesetzt haben.)

Die Version 7.2 könnte gut ein Trojaner sein.
Laut VirusTotal eher nicht (momentan befindet den Installer kein Scanner für problematisch).

Und Bitlocker würde ich persönlich übrigens nicht empfehlen, wenn die Daten wirklich sicher sein sollen.
Ich weiß auch gar nicht, wie man auf die Idee kommen kann, BitLocker als Alternative zu TrueCrypt verkaufen zu wollen. Das ist Unsinn hoch drei. BitLocker ist erst in den dicksten Versionen von Vista/7/8 enthalten (ab Enterprise/Ultimate bzw. Pro bei [NOPARSE]Win8)[/NOPARSE], mit einem Professional oder Home Premium steht man dumm da. Mit XP steht man ebenfalls dumm da, denn das verwenden ja auch noch viele - ohne Internetzugang gibt's da auch nichts dagegen einzuwenden. Weiterhin kann man mit BitLocker AFAIK keine Container basteln - mit viel gutem Willen könnte man die VHDs als Container bezeichnen... Hier werden also Äpfel als Birnen verkauft.

[Ergänzung] Der Gag an TrueCrypt war ja sogar der plattformübergreifende Zugriff auf eine(n) verschlüsselte(n) Container/Partition. Wie soll das mit BitLocker oder anderen ins OS integrierten Lösungen funktionieren? Richtig, gar nicht. Man verkauft also auch Tomaten als Gurken.[/Ergänzung]

Für mich ist sieht die Sache zum jetzigen Zeitpunkt so aus, das die Enwickler einen National Security Letter erhalten haben, die sie zur Kooperation und Stillschweigen oder Knast zwingt (siehe Lavabit).
Irgendsowas wird es sein. Mich kotzt vor allem an, dass die gesamte Dokumentation mit der Webseite verschwunden ist. Es gibt zwar auch ein Handbuch, aber zusätzliche Quellen sind immer gut und u.U. aktueller.

Falls jemand Bedarf an Version 7.1a hat, ich hab sie komplett liegen, inkl. deutschem Sprachpaket in Version 1.0.1 - letzteres vergessen offenbar auch alle mit anzubieten, wenn sie schon die Software selbst hosten.


[ADD]
Im Heise-Forum hat jemand auf ein (auf den ersten Blick ziemlich vollständiges) Archiv verlinkt: https://github.com/DrWhax/truecrypt-archive/. Dort gibt es nicht nur die Setups sondern auch die Quellcodes und die Sprachpakete.

MfG Dalai
 
Zuletzt bearbeitet:
WTF? Unsicher? Geile Behauptung ohne einen Ansatz von Beleg! (Das geht nicht gegen dich, X_FISH, sondern gegen diejenigen, die die Behauptung in die Welt gesetzt haben.)

Hätte ich auch so nicht aufgefasst.

Erschreckend faszinierend jedoch, dass wirklich alles (!) verschwunden scheint. Normalerweise laufen irgendwelche Projekte langsam aus. Dokumentation (teilweise unfertig), alte Quellen, etc. - alles ist noch da.

Nur bei TC soll das nicht so sein?

Auch die Begründung das mit dem Ende vom Support für XP nun TC auch obsolet sein soll -> ergibt keinen Sinn. Denn der große Pluspunkt von TC war doch, dass es plattformübergreifend war. Egal ob XP oder sonst ein Windows, Linux, etc.

Das wäre ja so als würde man die Schachbrettproduktion in der ganzen Welt einstellen. Denn schließlich gibt es unter Windows 7 Schach...

Grüße, Martin
 
Spätestens jetzt ist TrueCrypt tatsächlich ein nicht zu kalkulierendes Sicherheitsrisiko. Nachwievor ist nicht eindeutig geklärt, ob es der / die Entwickler selbst waren, die hier vorgegangen sind, oder ob da Regierungsmächte am Werk sind. Was wie eine Aluhut-Variante klingt, ist gar nicht so unwahrscheinlich. Denn so ohne Weiteres werden nicht einfach Abbilder von der waybackmachine entfernt.
Sollte die Alu-Hut-Variante also zutreffen, dann ist die Wahrscheinlichkeit sehr groß, dass man sich sämtlicher Programmschnitzer bemächtigt hat und Wege hat, die Verschlüsselungen zu umgehen / auszuhebeln.

BitLocker ist erst in den dicksten Versionen von Vista/7/8 enthalten (ab Enterprise/Ultimate bzw. Pro bei [NOPARSE]Win8)[/NOPARSE], mit einem Professional oder Home Premium steht man dumm da.
Das ist so nicht ganz richtig, Bitlocker wird tatsächlich mit Windows 7 Professional bereitgestellt. Aber nutzen würde ich das mit Sicherheit nicht. Es ist unausgereift und verzeiht keine Anwenderfehler. Ist man dann auch noch so tapfer ein auf dem Mainboard verpflanztes TPM zu nutzen, hat man seine helle Freude, wenn das Mainboard mal kaputt gehen sollte - austauschen ist nicht und die Daten sind weg.

Nutzen werde ich TrueCrypt auch weiterhin. Allerdings ist man selbst schuld, wenn man hochdelikate Daten digitalisiert. Das wird immer ein Sicherheitsrisiko bleiben - selbst wenn man einen 4 milliarden langen Code mit 500 facher Verschlüsselung verwendet. Nur Amateure versuchen einen Schlüssel zu knacken, es ist immer einfacher die Implementierung einer Verschlüsselung anzugreifen.
 
Zuletzt bearbeitet:
Das ist so nicht ganz richtig, Bitlocker wird tatsächlich mit Windows 7 Professional bereitgestellt.
Das wäre mir neu. Jedenfalls "offiziell" ist BitLocker der Ultimate bzw. Enterprise Edition vorbehalten.

Unter Windows 7 gäbe es bei der Professional Edition jedoch das bereits von Windows XP bekannte EFS.
 
Trojaner oder dergleichen scheidet aus
"Sämtliche Versionen von TrueCrypt wurden aus dem Portal SourceForge gelöscht und mit der mutmaßlich neuen Version 7.2 ersetzt. Die erlaubt es lediglich, die Daten ein letztes Mal zu entschlüsseln. Beim Ausführen des Programms erscheint eine ähnliche Warnung wie auf der Website."

Bleibt die Frage ob es nicht bei 7.1a schon so einen Master Key gibt der erlaubt alles zu entschlüsseln?

Oder steckt die NSA dahinter oder gibt es wirklich einen so großen Bug der erlaubt alles reverse zu entschlüsseln.
 
Lol. Ihr glaubt ernsthaft Euer Virenscanner könnte einen eine Tag alten Trojaner der NSA erkennen, wenn es einer wäre?

---------- Beitrag hinzugefügt um 16:26 ---------- Vorheriger Beitrag um 16:24 ----------

Laut VirusTotal eher nicht (momentan befindet den Installer kein Scanner für problematisch).

Virenscanner erkennen i.d.R. nur was sie kennen, sprich was ihnen beigebracht wurde. Heuristik ist praktisch wertlos, vor allem wenn Profis am Werk waren, welche ihren Trojaner/Virus gegen genau diese Heuristiken geprüft haben ...
 
Virenscanner erkennen i.d.R. nur was sie kennen, sprich was ihnen beigebracht wurde. Heuristik ist praktisch wertlos, vor allem wenn Profis am Werk waren, welche ihren Trojaner/Virus gegen genau diese Heuristiken geprüft haben ...
Da hast du zwar völlig recht. Aber was sollte mich davon abhalten, weiterhin eine ältere Version zu verwenden? Die überhaupt nicht glaubwürdige Behauptung, es könnte noch offene Sicherheitslücken geben? Kaum. Außerdem sagt die Behauptung ja nicht, alle Versionen < 7.2 wären unsicher, sondern verallgemeinert das - und schließt die 7.2 mit ein. Also wenn man der Behauptung glaubt, dann muss man auch die 7.2 meiden (und hat dadurch kein Problem mit eventueller Verseuchung).

MfG Dalai
 
Die 7.2 kann gar nicht unsicher sein da sie nur entschlüsselt!

Dritte Möglichkeit wäre noch das sich MS da eingekauft hat. Aber eigentlich war das ganze doch anonym.
 
Ja, prinzipiell würde ich mittlerweile meinen die 7.1a ist noch sicher. Die NSA - oder wer auch immer - würde ja nicht seine eigene Hintertür in Misskredit bringen. Andererseits könnte es aber z.B. auch sein, dass den Entwicklern eine Hintertür in AES bekannt geworden ist, diese aber unter einen Gag-Order durch das US-Geheimgericht stehen, und in Gefahr laufen nach Gunatanmo verschifft zu werden, wenn die etwas davon verraten. Insgesamt eine heikle Situation.
 
http://kryptochef.net/index.htm

---------- Beitrag hinzugefügt um 18:37 ---------- Vorheriger Beitrag um 18:33 ----------

... und hat eine Mörder-Backdoor entdeckt, die die Projektbetreiber nur zum Ergebnis kommen lassen konnte, alles, aber auch alles zu tun damit ihre Software nicht mehr verfügbar sein darf?! :o

Wenn man anhand eines Patches alle Daten einfach entschlüsseln könnte, wäre das doch übel. Aber glauben tue ich nicht daran.

Oder der Entwickler dahinter hatte einfach generell keinen Bock mehr, die Version davor ist ja schließlich schon 2 Jahre alt. Verdient wurde damit nichts und OpenSource war es auch nie.
 
http://kryptochef.net/index.htm

---------- Beitrag hinzugefügt um 18:37 ---------- Vorheriger Beitrag um 18:33 ----------



Oder der Entwickler dahinter hatte einfach generell keinen Bock mehr, die Version davor ist ja schließlich schon 2 Jahre alt. Verdient wurde damit nichts und OpenSource war es auch nie.

Wozu dann aber diese seltsame "Botschaft" auf der Homepage? Mit einer klaren Ansage wäre der Umstand doch einfach erklärt gewesen. Mit viel, viel weniger Wellen die diese seltsame Botschaft und das dazugehörige Verhalten nun schlagen. Das passt nicht zusammen.
 
Verdient wurde damit nichts und OpenSource war es auch nie.
TrueCrypt war/ist schon komplett quelloffen. Lediglich die Lizenz weicht von der bei OSS oft genutzten GPL ab.

Der Streit entflammte statt dessen an den völlig veralteten Tools mit denen die Windows Binärdateien erzeugt wurden.
 
Verwirrung stiften um sich leichter aus der Affäre zu ziehen?
Würde die NSA dahinterstecken hätte er ja einfach die Seite offline nehmen können so wie es bei http://lavabit.com der Fall ist.
Wozu dann die decrypt only Version überhaupt noch?
Und da stecken Leute 46000 USD Dollar in den Audit weil sie ihm nicht vertrauten (u.a. wegen der Source/Binary Geschichte). Geld das er vielleicht selbst hätte brauchen können.
Vielleicht führte das zu der Reaktion. Da war dann auch noch die Rede von schlampigen Code.
Da passt doch plötzlich der Hinweis in Version 7.2, dass Programm sei nicht sicher.
Und warum war es nie OpenSource, vielleicht steckte anfangs eine Gewinnabsicht dahinter.
Bevor der Audit zu Ende ist, einfach mal ein "ich bin unsicher" in die Welt setzen und keiner hat mehr die Gewissheit das es wirklich sicher ist.
Im September soll ja Phase 2 zu Ende sein.

http://krebsonsecurity.com/2014/05/...-is-not-secure/comment-page-1/#comment-255908
 
Zuletzt bearbeitet:
Schade um TrueCrypt, ich nutze es seit vielen Jahren.

Ich halte zwei Szenarien für denkbar:

1) Der/die Entwickler haben schlicht keinen Bock mehr, das Projekt zu pflegen. Wenn es nicht mehr gepflegt wird, muss man aber eigentlich von einer Nutzung abraten - so wie sie es tun. Eigentümlich ist aber, dass sie alten Content von der Seite entfernt haben und die Seite wohl sogar aus der Way Back Machine getilgt wurde. Das passt nicht so recht dazu. Die Empfehlung für Bitlocker könnte man ja noch ansatzweise damit erklären, dass die TC-Entwickler vll. von dessen Sicherheit überzeugt sind und deshalb zu Bitlocker raten.

2) Irgendwie hat die NSA oder ein anderer Geheimdienst in das Projekt eingegriffen. Da man als Opfer sowas ja nicht straffrei bekanntgeben darf, schließen die Entwickler das Projekt lieber als sich zu Gehilfen der Freiheitsfeinde zu machen. Hier passt für mich aber die Empfehlung für Bitlocker nicht dazu. Sollte die NSA denen wirklich auferlegt haben, die User auf das (vermutlich kompromittierte) Bitlocker zu lenken?
 
Zurück
Oben Unten