Was ist los mit Truecrypt?

Re(2): Was ist los mit Truecrypt?

LDIR — Mon, 09 Jun 2014 09:12:34 GMT

Nicht ganz. Die haben es zwar bis vor kurzem geplant (auf geheiß der NSA und US-Wirtschaft die wegen der Virtueller Datenträger paar Dollar verlieren könnte), aber davon doch abgesehen. Die MS-Leute wußten dass es ohnehin bekannt wird, und die Leute dieses Update rasch blockieren oder auf XP bzw Linux umsteigen würden. Das ist wie damals die Photoshop Geschichte die Banknoten erkannte und sie nicht darstellte. Echte Fälscher nutzten die vorherige Version ohne Updates, und es hat damit gar nichts gebracht.
Aber BitLocker ist tatsächlich extrem unsicher im vergleich zu TrueCrypt mit seiner Plausible deniability. BitLocker benötigt ein intern verbautes TPM, und wenn die FBI/LEA/Polizei dann einen Rechner beschlagnahmt, ist dieses Modul praktischerweise immer noch im Rechner verbaut. Bingo!
Damit ist man zwar vor Angriffen übers Netz etwas sicherer, aber die Staatsmacht hat trotzdem vollen Zugriff.

Re(3): Was ist los mit Truecrypt?

Psychopath — Thu, 05 Jun 2014 23:54:54 GMT

Bauen nicht auch nicht nur die boesen Raubmordkopier-Daemon Tools drauf auf, sondern auch so tolle Web 2.0 (oder sind wir schon bei 3.0?)-Dinge wie dropbox und so?
Abend,
j.

Re(2): Was ist los mit Truecrypt?

mko — Thu, 05 Jun 2014 12:55:25 GMT

Das Problem von Truecrypt ist aber ein Windows-Sicherheitsupdate welches
virtuelle Laufwerke unmöglich macht. Für alle mit Win-Autoupdates wird es ein
große Problem sein, ebenso beim nächsten SP.

Quelle? Das kann ich mir kaum vorstellen. Würde das auch Daemon Tools & Co betreffen?

Re(2): Was ist los mit Truecrypt?

*patrick star* — Thu, 05 Jun 2014 12:48:19 GMT

hast du einen link auf dieses windows update wegen virtual disks?

Re: Was ist los mit Truecrypt?

DocWinter — Thu, 05 Jun 2014 12:06:49 GMT

Bitlocker? Na da wird sich die NSA aber freuen, denn Bitlocker wurde in Zusammenarbeit mit ihnen programmiert.
Das Problem von Truecrypt ist aber ein Windows-Sicherheitsupdate welches virtuelle Laufwerke unmöglich macht. Für alle mit Win-Autoupdates wird es ein große Problem sein, ebenso beim nächsten SP.
Hier die alte version:
http://www.heise.de/download/truecrypt.html
heise bietet weiterhin 7.1a

Re(12): Was ist los mit Truecrypt?

Diabolo2000 — Wed, 04 Jun 2014 18:29:01 GMT

NSAKEY

Re(11): Was ist los mit Truecrypt?

TuxTux — Wed, 04 Jun 2014 17:28:13 GMT

und wie gelangen Sie zu meinem TC Container?
Aja genau: jedes Windows wurde ja von der NSA mit einer Hintertür ausgestattet.

Re(10): Was ist los mit Truecrypt?

Diabolo2000 — Tue, 03 Jun 2014 10:29:31 GMT

Würden sie nicht wollen, dass wir uns das denken, wenn sie in Wahrheit hohes Interesse an unseren TC Ordnern haben?

Re(9): Was ist los mit Truecrypt?

TuxTux — Tue, 03 Jun 2014 09:24:47 GMT

und die NSA interessiert sich für unsere TC Ordner einen Dreck.

Re(5): Was ist los mit Truecrypt?

kaufinator1 — Mon, 02 Jun 2014 16:00:14 GMT

Bei all meinen paranoioden Gedanken hier geht es mir um Vater Staat

Aber genau das ist vollkommen sinnlos. In einem funktionierenden Rechtsstaat musst du dich nicht mit Verschlüsselung schützen, weil dort sowieso alles mit rechten Dingen zugeht.

In einem Staat ohne funktionierende Kontrollorgane, nutzt dir auch die perfekte Verschlüsselung nichts. Da wirst du ohne Grund in ein Gefängnis geworfen und die Anschuldigungen gegen dich werden erfunden.

am besten drückt es dieser Comic aus:

Re(8): Was ist los mit Truecrypt?

Diabolo2000 — Mon, 02 Jun 2014 12:55:34 GMT

Kann Dir aber gerne einen Container erstellen mit einem langen Passwort und du
versuchst es zu knacken.

Ich habe im Gegensatz zur NSA weder Quantencomputer noch genetisch manipulierte Klone von Gödel, Turing und Konsorten, geschweige denn vom Staat kontrollierte Hardwareerzeuger vorzuweisen.

Re(7): Was ist los mit Truecrypt?

TuxTux — Mon, 02 Jun 2014 12:47:28 GMT

Dieses "NSA hat alles" ist schon ziemlich nervig. Nein haben sie nicht, weil niemand den Random Key kennt der beim erstellen des Containers generiert wurde.

Kann Dir aber gerne einen Container erstellen mit einem langen Passwort und du versuchst es zu knacken.

Re(6): Was ist los mit Truecrypt?

Diabolo2000 — Mon, 02 Jun 2014 12:30:48 GMT

Serpent-Twofish-AES

Wenn du TS verwendest würde ich das so machen.

Das Passwort sollte aber sehr lange sein, weil die NSA haben natürlich schon längst Quantencomputer. Anstatt Abertrilliarden damit zu verdienen halten sie die Technologie geheim um mehrfach verschlüsselte TS Volumes zu knacken.

Re(6): Was ist los mit Truecrypt?

Diabolo2000 — Mon, 02 Jun 2014 12:26:19 GMT

Ich halte Wei Dai, den CryptoPP Entwickler, für sehr vertrauenswürdig.

Der TS Audit macht die Dinge natürlich besser.

Re(5): Was ist los mit Truecrypt?

thE — Mon, 02 Jun 2014 12:08:50 GMT

Nicht ganz, aber sich eierlegenden Wollmilchsau instant Verschlüsselungssuites
wie Truecrypt anzuvertrauen ist zu überdenken.

Deswegen hat man ja auch das Audit-Projekt gestartet:
https://www.indiegogo.com/projects/the-truecrypt-audit#activity

Warum kann ich den TrueCrypt Leuten + Audit deiner Meinung nach WENIGER vertrauen als cryptopp.com? Oder geht es dir nur um AES?

Re(5): Was ist los mit Truecrypt?

TuxTux — Mon, 02 Jun 2014 12:06:41 GMT

So wenigen wie möglich, aber auf jeden Fall nicht AES.

dann nimmst halt zB Serpent-Twofish-AES?
Mit einem sinnvollen Passwort, wird dir das keiner einfach so knacken.

Re(4): Was ist los mit Truecrypt?

Diabolo2000 — Mon, 02 Jun 2014 12:02:38 GMT

Aha und wem will man dann vertrauen?

So wenigen wie möglich, aber auf jeden Fall nicht AES.

http://www.cryptopp.com/

Oder selbst Crypto-SW schreiben?

Nicht ganz, aber sich eierlegenden Wollmilchsau instant Verschlüsselungssuites wie Truecrypt anzuvertrauen ist zu überdenken.

Bei all meinen paranoioden Gedanken hier geht es mir um Vater Staat, wenn es einem nicht darum geht vor "dem Staat" etwas zu verstecken ist Truecrypt mit AES sicher eine wunderbare Lösung.

Re(3): Was ist los mit Truecrypt?

thE — Mon, 02 Jun 2014 11:43:52 GMT

Aha und wem will man dann vertrauen? Oder selbst Crypto-SW schreiben?

Re(2): Was ist los mit Truecrypt?

*patrick star* — Sun, 01 Jun 2014 19:16:35 GMT

IMO die einzig schlüssige Erklärung.

Rise like a phoenix!

Diabolo2000 — Fri, 30 May 2014 11:34:10 GMT

http://truecrypt.ch/

Re(2): Was ist los mit Truecrypt?

Joglus — Fri, 30 May 2014 10:26:15 GMT

Man kann ja einfach den Sourcecode übersetzen und schauen ob das Binary ident ist, somit wäre dann abgesichert, dass es hier kein Problem mit den vorkompilierten binaries gibt.
Sowas machen Leute auch und posten ergebnisse. Aber ich nehme an die sind sicher auch alle geschmiert und bei der NSA.

Allgemein haben ja die Punkte nicht wirklich was damit zutun was gerade aktuell vor sich geht.
Außerdem sind diese auf jedes andere Verschlüsselungssystem auch anzuwenden, somit gibt es keine sichere Verschlüsselung.

Wenn Truecrypt wirklich so manipuliert ist, wozu dann die Abkündigung und der Hinweis die Verschlüsselung zu wechseln?

Re(4): Was ist los mit Truecrypt?

Srv-02 — Fri, 30 May 2014 09:39:59 GMT

Und wenn man keine Ahnung davon hat ist es meistens unsicherer als der Rest zusammen.

Re(3): Was ist los mit Truecrypt?

kaufinator1 — Fri, 30 May 2014 09:37:33 GMT

Wer wirklich wert auf Sicherheit legt, kann nur ein selbst programmiertes Betriebsystem mit selbst programmierter Verschlüsselung verwenden.

Re(2): Was ist los mit Truecrypt?

Diabolo2000 — Fri, 30 May 2014 08:25:32 GMT

und die Analyse lässt das vermuten

Wer wirklich wert legt auf Sicherheit der kann diesen Analysen nicht vertrauen.

Re: Was ist los mit Truecrypt?

Diabolo2000 — Fri, 30 May 2014 08:23:36 GMT

Das war doch vorher schon eine gewaltig faule Frucht

1) Ein Audit bringt nichts wenn der Großteil der Benutzer vorkompilierte binaries verwendet. Und die Zeit zum reverse engineering nimmt sich niemand.
2) Medien berichteten davon, dass die spezialisierten amerikanischen Behörden nicht dazu in der Lage sind, truecrypt zu umgehen. Es ist logisch, dass sie wollen, dass wir das glauben.
3) Die durchgeführten audits sagen in Wahrheit nichts aus: Die Studenten und Professoren die daran arbeiten könnten von vorne bis hinten durchgeschmierte high potentials sein denen ein Traumjob bei der NSA angeboten wurde.
4) Unbekannte Entwickler. Die haben nicht einmal anonym kommuniziert.

Truecrypt bietet sicher einen exzellenten Schutz vor unberechtigtem Datenzugriff, davon ist aber nicht mehr auszugehen, sobald die Regierung involviert ist.

Re: Was ist los mit Truecrypt?

kaufinator1 — Thu, 29 May 2014 19:01:41 GMT

Spekulationen meinen es ist ist vielleicht ein Fall ähnlich wie Lavabit:
http://de.wikipedia.org/wiki/Lavabit und die Entwickler wollen uns warnen,
dass sie vom gezwungen wurden Schlüssel herauszugeben und das nicht sagen
dürfen.

Wenn Truecrypt richtig programmiert wurde (und die Analyse lässt das vermuten), dann ist das unmöglich. Die Schlüssel werden doch immer zufällig erzeugt. So lange es keine Hintertürde in Truecrypt gibt - und das kann man ja nach der Analyse ausschliessen - dann können auch die Entwickler nicht bei der Entschlüsselung helfen.

Re: Was ist los mit Truecrypt?

mjy@geizhals.at — Thu, 29 May 2014 16:45:38 GMT

Ich tippe mal auf Staatsterrorismus.

Re(2): Was ist los mit Truecrypt?

Joglus — Thu, 29 May 2014 11:39:22 GMT

Das wäre ja wohl das aufwändigste defacement einer Seite überhaupt.

Keys gestohlen, die Seite gehackt, eine neue Version von Truecrypt mit den gestohlenen keys kompiliert, only for the lulz?

Dazu äußert sich keiner der Entwickler kurzfristig?

Dazu das ganze ohne dass Sourcefource das nachvollziehen kann, siehe comment bei ARS Technica:

Reposting this from Hacker News, not sure if legit:

"Providing some details from SourceForge:

1. We have had no contact with the TrueCrypt project team (and thus no complaints).

2. We see no indicator of account compromise; current usage is consistent with past usage.

3. Our recent SourceForge forced password change was triggered by infrastructure improvements not a compromise. FMI see http://sourceforge.net/blog/forced-password-change/

Thank you,

The SourceForge Team communityteam@sourceforge.net"

Re: Was ist los mit Truecrypt?

powerleecher — Thu, 29 May 2014 11:32:43 GMT

Ich glaube noch an einen Hack - vielleicht eine Nachwirkung der Heartbleed-Thematik, vielleicht wurden ja Passwörter, PGP Keys etc. gestohlen.

Wen es einen National Security Letter gegeben hat dann haben die Entwickler, die in diesem Fall ja den Behörden bekannt sein müssen, sich mit der Aktion mächtige Feinde gemacht, so viel ist sicher. Nur glaub ich nicht dass die NSA so doof ist, nachdem die alten Sourcen ja öffentlich sind stoppen sie die Verbreitung damit nicht. Ja, ich weiß dass die Lizenz einen Fork nicht zulässt, aber war eine Lizenz je ein Hindernis für den privaten Einsatz? Kommerziell war Truecrypt ohnehin nie wirklich mehr als ein Nischenthema.

Re(3): Was ist los mit Truecrypt?

Fitz — Thu, 29 May 2014 11:09:45 GMT

Meine Bedenken halten sich in Grenzen - ich lehne mich gemütlich zurück und warte ab, wie die Sache ausgeht.

Re(2): Was ist los mit Truecrypt?

Joglus — Thu, 29 May 2014 10:54:58 GMT

Ja, könnte sein.

Ich vertraue BitLocker sicher nicht weil Truecrypt es emfiehlt.

Aber ich vertraue Truecrypt aktuell auch nicht allzu sehr...

Re: Was ist los mit Truecrypt?

Fitz — Thu, 29 May 2014 10:48:07 GMT

Spekulationen meinen es ist ist vielleicht ein Fall ähnlich wie Lavabit:
http://de.wikipedia.org/wiki/Lavabit und die Entwickler wollen uns warnen, dass sie vom gezwungen wurden Schlüssel herauszugeben und das nicht sagen dürfen.

Wenn schon National Security Letter, dann mit der von außen herangetragenen Intention, von einem Tool mit einsehbaren, überprüften Quellcode hin zu Closed Source Software zu wechseln, wo dann tatsächlich eine Hintertür eingebaut ist (und sich wesentlich leichter verstecken lässt).

Anders ergibt das gar keinen Sinn, denn die Leute von Truecrypt können gar nicht wissen, ob MS nicht den gleichen Zwängen unterliegt bzw. müssten sogar fix davon ausgehen.

Was ist los mit Truecrypt?

Joglus — Thu, 29 May 2014 10:09:14 GMT

Truecrypt behauptet auf einmal unsicher zu sein und es gibt eine neue Version 7.2 die nur noch entschlüsselt. Kurioserweise empfehlen sie auf BitLocker umzusteigen.

Die neue Version ist mit dem richtigen Schlüssel signiert und enthält nach ersten diff-analysen keinen auffälligen neuen Code. Das würde einen Hack (also ein defacing) der Seite unwahrscheinlich machen.

Das Audit von Truecrypt hatte bisher keine Sicherheitslücken zutage gebracht.

Spekulationen meinen es ist ist vielleicht ein Fall ähnlich wie Lavabit: http://de.wikipedia.org/wiki/Lavabit und die Entwickler wollen uns warnen, dass sie vom gezwungen wurden Schlüssel herauszugeben und das nicht sagen dürfen.

Links:
http://arstechnica.com/security/2014/05/truecrypt-is-not-secure-official-sourceforge-page-abruptly-warns/

http://blog.fefe.de/?ts=ad788601

http://www.heise.de/newsticker/meldung/Warnung-auf-offizieller-Seite-Truecrypt-ist-nicht-sicher-2211037.html