Das Aus von TrueCrypt: Verschlüsselungstool angeblich unsicher

Nach über einem Jahrzehnt haben die bislang immer anonym gebliebenen Verschlüsselungsexperten das Projekt TrueCrypt eingestellt. Seit gestern wird die offizielle Webseite auf sourceforge.net umgeleitet, wo eine Warnung vor dem Tool zu lesen ist und ... mehr... Sicherheit, Security, Verschlüsselung, schloss, Heartbleed, Tunnel Bildquelle: Softonic Sicherheit, Sicherheitslücke, Hacker, Hack, Security, Fingerabdruck, cyber security Sicherheit, Sicherheitslücke, Hacker, Hack, Security, Fingerabdruck, cyber security Russiancouncil.ru

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Digitaler Terrorismus ist das. Finde ich mehr als beunruhigend.
 
@hundefutter: Was genau davon ist digitaler Terrorismus?

Im Grunde lautet die Meldung "Wir haben keinen Dunst".
 
wen interessieren irgendwelche sinnlosen tweets von noch sinnloseren leuten...schafft man es einmal eine news ohne "auf twitter.." zu machen?
 
@freakedenough: Matthew Green gehört zum Audit-Team. Da man sonst die Hintermänner nicht kennt, halte ich das doch für sinnvoll. Von mir aus sollten die auch alle lieber sofort auf ihren eigenen Webseiten, Tumblrs oder sonstwo ausführlich kommentieren wenn sie was zu sagen haben :)
 
Sicherheitslücken hin oder her, sicherer als ohne ist es ja wohl in jedem Fall.
 
@Johnny Cache: Du kennst die legendäre Vollbitverschlüsselung vom Kryptochef persönlich nicht?
 
Den Verweis BitLocker zu benutzen finde ich klasse und lässt die Sache eigentlich erst rätzelhaft werden. BitLocker ist closedsource und sicherlich mit Backdoors versehen. Auf so etwas zu verweisen ist schon fast Blasphemie.
 
@knirps: War ja klar, dass so etwas wieder kommen musste und die zahlreichen, aber bisher noch von niemandem entdeckten Backdoors in Windows ins Rennen geschickt werden. Gleich heißt es noch, dass Microsoft auf Befehl der NSA die TrueCrypt-Jungs zu diesem Schritt gezwungen hat.

Wie wäre es, wenn wir einfach abwarten, wie sich die Sache entwickelt.
 
@HeadCrash: Sagen wir mal so, ich habe nicht vor es herausfinden zu wollen ob BL Backdoors hat ;)
Zumindest nicht mit meinen Daten.
 
@knirps: BitLocker wird millionenfach eingesetzt. Ich denke, wie auch bei den anderen vermeintlichen Backdoors, dass ein Loch mittlerweile aufgefallen wäre. Denn gerade mit dem Knacken von BitLocker beschäftigen sich Sicherheitsexperten ja schon seitdem MS es auf den Markt gebracht hat.
 
@HeadCrash: Der Beitrag [o6] sollte einem zu Denken geben ;)
 
@knirps: Nö, mir nicht. China ist irrational. Warum sollten sie z.B. Windows 8 verbieten, wenn sie doch angeblich so guten Zugriff auf die mit Windows-Bordmitteln geschützten Daten haben?
 
@HeadCrash: Weil die auf den von der Regierung eingesetzten Rechnern auch andere Länder, durch die Backdoors, zugriff haben.
 
@knirps: Wer hat Zugriff auf was?
 
@HeadCrash: Die NSA hat Zugriff auf alle Windows Rechner, wenn sie es möchte.
 
@Antitr0ll: Aber sicher doch. ;-)
 
@Antitr0ll: wobei man noch darauf hinweisen sollte, nicht nur die NSA schaut sich bei Microsoft fröhlich um! Microsoft selbst schaut schon gerne mal in die Daten ihrer Nutzer rein! http://www.areamobile.de/news/26765-indiskret-microsoft-schnueffelt-in-hotmail-konto
 
@Antitr0ll: Mein Kumpel, dessen Nachbar hat Verwandte in den USA und einer davon hat einen Freund, dessen Schwester ist mit einem verheiratet, welcher bei der NSA arbeitet. Der war mal zum Kaffee und hat vorgefürht, wie einfach das geht. Einfach das Smartphone gezückt und hat alle Windows-Rechner im Haus lahm gelegt, einfach so. Wahnsinn, wa? Ich habe sofort überall Linux installiert.
 
@iPeople: Sicher das du nicht gerade WatchDogs gespielt hast? xD
 
@AkiRa666: Nein. Ich habe mit besagtem eben telefoniert. Er sagt, die NSA hat den Machern von Truecrypt gedroht und die haben deswegen aufgehört. So, das Rätsel ist gelöst.
 
@Antitr0ll: Streich das Windows und der Satz stimmt genau!
 
@PakebuschR: Der würde dann auch mit "Windows" stimmen. Wenn sie Zugriff auf alle Rechner haben, dann sind alle Windows Rechner eine Teilmenge davon.

"Die NSA hat Zugriff auf alle Windows Rechner, wenn sie es möchte." wiegt allerdings den Rest in trügerischer Sicherheit und könnte fast aus einer Propagandaabteilung stammen. :P
 
@HeadCrash: Sorry, aber die Mutmaßung, dass es KEINE Backdoors in Windows gibt, ist m.E. an Naivität kaum zu überbieten. (bevor das Gebashe nun losgeht, Selbiges nehme ich für Apple an).
 
@Bengurion: Und warum soll es wahrscheinlicher sein, dass es eine gibt, die aber über Jahrzehnte nicht gefunden wurde? Jahrzehnte in denen unzählige Menschen genau nach so etwas suchen? Da muss MS ja die fähigsten Entwickler des Planeten beschäftigen, wenn sie es schaffen, so etwas so gut zu verstecken. Ich halte es für sehr unwahrscheinlich, wenn auch nicht unmöglich. Aber gleiches gilt für sämtliche andere Software.
 
@HeadCrash: Soderle, es hat genau 30 sec gedauert, bis ich dies gefunden habe: "Gravierender ist aber die Tatsache, dass die Daten nicht wirklich geschützt sind, denn Bitlocker kann in den meisten Fällen durch ein im Internet frei verfügbares Tool innerhalb von wenigen Minuten entschlüsselt werden.

Diese Sicherheitslücke basiert darauf, dass nicht heruntergefahrene Geräte – und damit die deutliche Mehrzahl aller gestohlenen oder verlorenen Geräte – den Wiederherstellungsschlüssel zum Entschlüsseln des Datenträgers im Arbeitsspeicher halten. Dieser kann durch verschiedene Methoden ausgelesen werden. Dazu wird entweder eine systembedingte Schwachstelle bei einer Highspeed-Schnittstelle (Firewire) verwendet oder man nutzt eine sogenannte Kaltstartattacke (http://de.wikipedia.org/wiki/Kaltstartattacke). Dabei wird mit Kühlspray der Arbeitsspeicher des betreffenden Gerätes heruntergekühlt, um die flüchtig gespeicherten Daten auch ohne Stromversorgung nach Ausbau zu erhalten. Der ausgebaute Arbeitsspeicher lässt sich dann mit einem kleinen Zusatzgerät für 79 Euro (http://www.hardwareoverclock.com/madex-ramtester.htm) auslesen. Eine Software, welche im Internet für umgerechnet 800 Euro erhältlich ist (www.lostpassword.com – Passware Forensic), ermittelt aus dem ausgelesenen Speicherabbild den Entschlüsselungscode und legt damit die gesamte Festplatte offen. Somit ist kein effektiver Schutz gegeben." (http://www.data-sec.net/microsoft-bitlocker-verschluesselung-nicht-so-sicher-wie-gedacht/)
 
@HeadCrash: To be fair. Die Sicherheitslucken die jeden Monat im System gefixed werden koennten genauso eine gefundene Backdoor sein
 
@Bengurion: Ja, und? Die Firewire-Attacke ist in den neueren Versionen nicht mehr möglich, da es kein DMA mehr gibt und das Auslesen eines im Speicher liegenden Schlüssels ist bei jeder Software möglich. In dem Moment, in dem jemand den TrueCrypt-Container als Laufwerk einbindet, was wohl sehr viele tun dürften, liegt der Schlüssel ebenfalls im Speicher und kann ausgelesen werden. Dass solche Verfahren keine 100%ige Sicherheit bieten, sollte wohl klar sein. Aber das, was Du da beschreibt, hat nichts mit einer Backdoor zu tun.
 
@-adrian-: Ja, da hast Du recht. Aber gilt das nicht auch für jede andere Software?
 
@HeadCrash: Dass dies von mir zitierte Verfahren keine Backdoor ist, ist mir natürlich klar. Die von mir vermuteten Backdoors kommen ja noch obendrauf. Aber lass es einfach, es ist müßig. Glaub, was Du zu glauben meinst und wiege Dich in guten Händen...
 
@HeadCrash: Also bei opensource Software gilt das nicht, würde ich sagen. Das Microsoft mit den "Sicherheitsbheörden" der USA zusammen arbeitet ist kein Geheimnis mehr. Das die NSA Zugriff zum Windows Source hat, auch nicht.
 
@Bengurion: Tu ich eh ;-) Aber Du willst doch jetzt nicht ernsthaft abstreiten, dass solche Angriffe z.B. bei TrueCrypt möglich sind?
 
@knirps: Und das Microsoft Sicherheitslücken vor dem Patchen an die NSA weitergibt ist auch schon länger bekannt. Das alles heißt natürlich trotzdem nicht, das BitLocker eine Backdoor enthält. Nachschauen kann man aber leider nicht...
 
@knirps: Und warum gilt das bei Open Source nicht? Schau Dir z.B. das riesen Problem in OpenSSL an? Das bestätigt nur meine Aussage, dass selbst bei Open Source niemand mehr wirklich in der Lage ist, die Masse an Quellcode tiefgehend zu prüfen. Und dass so etwas gerade in einer Software passiert, die auf breiter Basis für sicherheitsrelevante Dienste eingesetzt wird, bei der die Entwickler und die breite Masse also eigentlich ein besonderes Augenmerk auf die Sicherheit des Codes haben sollten, lässt doch vermuten, dass in anderen Bereichen noch weniger auf den Code geschaut wird. Man sollte sich auf kein Verfahren zu 100% blind verlassen, sondern immer mit gesundem Menschenverstand an das Thema Security rangieren. Und da ist dieses pauschale Closed Source ist schlecht, Open Source ist gut oder Microsoft ist unsicher, alles andere ist sicher einfach unsinnig.
 
@HeadCrash: und mein gesunder Menschenverstand sagt mir das ich es mit bitlocker auch gleich ganz sein lassen kann.
 
@Bengurion: Das beschriebene Konzept hebelt JEDE Verschlüsselung die auf Softwareebene erfolgt ausnahmslos aus.
 
@knirps: Na, ich werde Dich bestimmt nicht dazu zwingen ;-)
 
@[Elite-|-Killer]: richtig
 
@HeadCrash: Bei OpenSSL hat leider wirklich keiner hingeschaut, und im Hinblick darauf, das OpenSSL so wichtige Funktionen übernimmt, hat man sich auch viel zu wenig gekümmert. Bei Truecrypt läuft aber aktuell noch ein Code-Audit, und schwere Sicherheitslücken konnten (bisher) nicht gefunden werden.
 
@Bengurion: Das Auslesen des Schlüssels aus dem RAM funktioniert wohl auch mit Truecrypt, so what. http://www.computerbase.de/forum/showthread.php?t=1004584
 
@Overflow: Ich will auch nicht sagen, dass TrueCrypt unsicher ist. Es ging mir nur darum, dass Open Source eben noch lange kein Garant für sichere Software ist. Und das, obwohl es einfacher wäre, die Software zu prüfen.
 
@iPeople: Ich zweifle nicht an OSS. OSS hat durchaus in bestimmten Bereichen Vorteile. Nur sehe ich die nicht zwingend im Bereich Security, sondern eher im Bereich Innovationskraft oder auch Geschwindigkeit der Entwicklung. Und natürlich im Bereich Entwicklungskosten. Ich hab mich mit der Aussage hier ja schon einmal unbeliebt gemacht und dennoch bleibe ich dabei: wenn man sich mal anschaut, wie viele Menschen z.B. am Linux-Kernel mitarbeiten, dann wäre diese Entwicklung unbezahlbar, wenn die alle von Linus ein normales Gehalt erhalten müssten. Das ist durchaus ein entscheidender Vorteil von OSS. Gleichzeitig ist es aber z.B. deutlich schwieriger, einheitliche Qualitätsstandards oder Programmierrichtlinien durchzusetzen und auch die Abstimmung zwischen einer Vielzahl von wild verteilten Entwicklern ist deutlich komplexer und in alle Regeln mit mehr Reibungsverlusten verbunden. So hat halt alles seine Vor- und Nachteile.
 
@Bengurion: " Dabei wird mit Kühlspray der Arbeitsspeicher des betreffenden Gerätes heruntergekühlt, um die flüchtig gespeicherten Daten auch ohne Stromversorgung nach Ausbau zu erhalten." ... soviel dann zum Thema data-sec.net
 
@HeadCrash: Das brauchst Du mir nicht sagen, ich sehe das genauso. Objektiv und nüchtern betrachtet, ist OSS eine Bereicherung. Aber dieses Anhimmeln und und auf Biegen und Brechen OSS als das bessere hinzustellen, ist religiös. Da wird dann gern mal die Verschwörungstheorie der Backdoors in Windows herausgekramt (die seit 20 Jahren rumgeistert). Das beste beispiel ist genau diese News. Truecrypt wird per se die Sicherheit zu - und Bitlocker abgeprochen, ohne stichhaltiges Argument. Und das einzuge Argument gegen BL ist das Auslesen des Keys aus dem RAM, was nachweislich auch bei TC funktioniert.
 
@iPeople: So ist das halt. Jeder hat andere Ansichten und Vorstellungen :) Aber ohne das, gäbe es nicht solche interessanten Diskussionen, auch wenn so manches Gegenargument wie das mit dem Auslesen des Schlüssels nicht stichhaltig ist. Letztlich können wir ja auch nicht beweisen, dass es keine Backdoor in Windows gibt, auch wenn ich tatsächlich der Meinung bin, dass hier längst etwas bekannt sein müsste, wenn dem so wäre. Schade ist nur, dass die Minuswertungen irgendwann die Diskussion abbrechen, wenn der ganze Thread ausgeblendet wird. Dann bleibt es meistens bei Zwiegesprächen.
 
@HeadCrash: "Und warum gilt das bei Open Source nicht? Schau Dir z.B. das riesen Problem in OpenSSL an? Das bestätigt nur meine Aussage, dass selbst bei Open Source niemand mehr wirklich in der Lage ist, die Masse an Quellcode tiefgehend zu prüfen. " dir ist aber bewusst das man erst wegen der Zugänglichen Source den Fehler gefunden hat oder?
 
@hundefutter: Und erst, nachdem es bei anderen, Closed Source, gefunden wurde ... nur mal so nebenbei ;)
 
@hundefutter: Sicher? Hat man das Problem bei einem Code-Review festgestellt? Oder doch eher bei einem Test mit gefälschten Zertifikaten? Ich meine, dass es letzteres war. Aber egal wie man es gefunden hat, wenn es nach der Argumentation vieler OSS-Jünger geht, dürfte so etwas nie vorkommen, weil man ja permanent den Code prüft. Und dem ist einfach nicht so, denn der Aufwand ist einfach zu hoch. Ich argumentiere ja jetzt auch nicht, dass Closed Source immer besser ist, was man daran sieht, dass z.B. die Microsoft-Implementierung von SSL nicht von diesem Problem betroffen war.
 
@HeadCrash: Kann man jedenfalls nicht sagen, dass BL keine Backdoors hat, da BL nicht OpenSource ist. Dann wären nämlich sämtliche Schwächen sofort offen gelegt und man könnte etwas dagegen tun. So aber........
 
@M4dr1cks: Ich halte es ja auch nur für unwahrscheinlich, da solche Backdoors früher oder später auffallen. Und genauso wenig, wie man sagen kann, dass es keine Backdoors gibt, kann man sagen, DASS es welche gibt.
 
@HeadCrash: Der OpenSSL Bug wurde von einem Google-Entwickler gefunden, bei einem Code-Review. Und bei der MS-Implementierung weißt du ja nicht, ob es dort nicht andere Bugs drin stehen. Natürlich ist OpenSource nicht automatisch sicherer, das behaupten ja auch nur irgendwelche Fanboys. Gleichzeitig aber auch nicht unsicherer als ClosedSource-Software. Eine gute Backdoor lässt sich nicht so leicht finden, wer sagt denn, das Bitlocker z.B. keine schwachen Zufallszahlen benutzt (Dual_EC_DRBG), oder einfach einen zweiten Key irgendwo ablegt.
 
@hundefutter: also meines wissens hat man den fehler bei openssl nicht durch einen codereview gefunden sondern durch pen testing....und dann hat man im code nachgeschaut warum es so reagiert. Die erkentniss der lücke hat man völlig ohne codeeinsicht gewonnen.
 
@0711: der bug wurde zeitgleich von google und Codenomicon gefunden. Du beschreibst hier die Geschichte von letzterer Firma. Die Natur des Bug legt nahe das er erst durch pen testing gefunden werden konnte. Liest man sich den Code durch ist es nicht offensichtlich das da was fehlte. Das der code open source ist hat den patchvorgang sicherlich beschleunigt. Nicht jeder Bug lässt sich durch open source verhindern, das kann niemand behaupten. Aber niemand kann ernsthaft behaupten das Open Source code nicht gewisse vorteile durch den code review hat.
 
@hundefutter: open source hat aber auch aufgrund eines finanziellen Backgrounds auch ernsthafte Nachteile wie man zuletzt sehen konnte dass die fsf Geld sammelte für tests....

Weder open noch closed source zeigt sich in der Praxis als vorteilhaft bezüglich schwerwiegender lücken....es gibt mal hier mal dort Vorteile dass es sich am ende aufhebt.
 
@HeadCrash: Du brauchst Dir nur mal die Sicherheitslücken ansehen, die heute immer noch in Windows XP gefixt werden. Einige davon sind über ein Jahrzehnt im System und Exploits dafür sind von legalen Security-Unternehmen wie der französichen Firma Vupen über Jahre an Kunden verkauft worden, die Verwendung dafür hatten.

Kaum jemand der nicht Sicherheitslücken finden, geheimhalten und verkaufen möchte, sucht intensiv nach Sicherheitslücken in Software. Schon garnicht in Close-Source-Software, weil man die erstmal aufwendig aus den Binaries dekompilieren müsste um die gesamten Funktionalitäten auf dem Tisch zu haben.

TrueCrypt ist sogar Open-Source-Software und trotzdem kam die Allgemeinheit erst nach den Snowden-Enthüllungen überhaupt mal auf die Idee, den gesamten Source-Code und den Build-Prozess mal genauer unter die Lupe zu nehmen.

Ich habe vor Jahren mehrere Monate darauf verwendet grosse Teile des Sourcecodes von TrueCrypt durchzusehen und mir durch Veränderungen des Quellcodes eine eigene Version zu kompilieren, die schon aufgrund ihrer hinzugekommenen/geänderten Funktionen schlechter zu knacken ist als die Version von der Stange.

Die Mühe machen sich nicht viele Leute und wenn, dann eher um Schwachstellen und Fehler in TrueCrypt zu finden, die man geheimhalten und dann zu Geld machen kann und nicht um die TrueCrypt-Verschlüsselung sicherer zu machen.

Viele der bisher gefixten Sicherheitlücken in Windows kann man durchaus als Backdoors bezeichnen. Insofern ist die Frage ob es Backdoors in Windows gibt seit Jahrzehnten ganz klar mit "Ja" zu beantworten.
 
@knirps: Ich widerspreche damit, wiederholt, der These das Opensource zwangsläufig immer besser ist als Closedsource. ;)
 
@Lastwebpage: Was sowas angehe ist closedsource nicht zu vertrauen.
 
@knirps: Und Open Source offenbar auch nicht, siehe OpenSSL.
 
@knirps: weder open noch closed source schafft vertrauen sondern nur die Urheber...alles andere ist Wunschdenken einiger Romantiker.
 
@0711: Nachvollziehbarkeit schaft Vertrauen. Das schafft Closedsource aus Prinzip nicht.
 
@Lastwebpage: Was ein Unfug. Closed Source Software kann man weder praktisch noch theoretisch vertrauen. Man kann höchstens "hoffen", dass die Software so funktioniert wie beschrieben.
Das OpenSource nicht per se sicher ist dürfte auch klar sein, aber hier besteht überhaupt erst die Chanche das gewünschte Ziel zu erreichen.
 
@main: reines Wunschdenken, siehe underhanded c contest. Man vertraut entweder dem Urheber/maintainer oder nicht...simpel
 
@0711: Sehe ich anders: http://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip Abgesehen davon fällt mir keine Closed Source Software ein, wo man dem Urheber (USA -> Patriot Act) auch nur in irgendeiner Form trauen sollte.
Übrigens schafft OpenSource überhaupt erst vertrauen, oder traust du etwa jemandem über den Weg der die ne crypt.exe schickt und behauptet alles ist ganz dolle per AES verschlüsselt?
Wohl nicht.
 
@main: Kerckhoff spricht weder für open noch für closed source. Aufs erste ist crypt.exe nicht weniger vertrauenswürdig als crypt.source....dass die meisten lücken nicht mehr durch Reviews sondern durch tests von "aussen" gefunden werden spricht schon für sich selbst
 
@0711: Wie kann crypt.exe vertrauenswürdig sein, wenn ich in keiner Weise nachvollziehen kann, was crypt.exe macht? Bei crypt.source kann ich das und wenn ich mir crypt.source kompiliere, weiß ich auch was in crypt.exe drin ist.Das es in beiden Modellen Sicherheitslücken gibt steht ausser Frage. OpenSource bedeutet ja nicht fehlerfrei. Aber Vertrauen schaffe ich nur wenn ich die Karten auf den Tisch lege. Bzgl. Kerckhoff wüsste ich nicht wie Closed Source Software das leisten soll, aber da kannst du mich ja bestimmt aufklären.
 
@main: er spricht nur vom Algorithmus, nicht von der Implementierung/Umsetzung. Wie schon oben geschrieben beweist der underhanded c contest regelmässig dass codeeinsicht keinen ernsthaften Vorteil bringt sollte jemand böswillig Funktionen unterschieben wollen.
 
@main: z.B. Japanische Filesharing Programme sind weitestgehend alle Closed Source. Gerade wenn das Gespenst NSA bzw. "der Staat "durch die Reihen wandert, einige auf WF scheinen das Thema ja extrem zu lieben, kann das mit Open Source evtl. auch zum Bumerang werden.
 
@Lastwebpage: Ich stimme dir zu, aber die Chance, das sich in Bitlocker eine politisch eingebaute Hintertür befindet, ist wohl wirklich ungleich höher!
 
@LivingLegend: ist bei opensource Software kein stück geringer - wenn man böse sein will ist es hier sogar einfacher weil man niemanden überzeugen es zu tun. Open oder closed source schafft in diesem Bereich rein Garnichts....es ist zwar eine romantische Vorstellung dass es so wäre
 
@0711: Wenn was romantisch ist, dann die Vorstellung, dass Closed Source Software was im Sicherheitsbereich zu suchen hat.
 
@main: willkommen in der realität
 
@0711: Das die Realität anders aus sieht ist mir bewusst, falls du darauf hinaus willst. Aber holt uns nicht genau diese gerade ein?
 
@main: In der Realität ist closed source sogar oft Anforderung für den Hochsicherheitsbereich ;). Natürlich lässt uns veränderte Bedingungen dinge in einem anderen licht betrachten...wobei ich hier - verschlüsselung/Vertrauenswürdigkeit von Daten - bisher keinen anderen blick habe wie zuvor, vertraue ich dem Urheber nicht, kann ich damit keine vertrauenswürdige lösung für mich schaffen.

Mit etwas abstand betrachtet finde ich das einstampfen von truecrypt gar nicht mal schlecht, der verein war schon seit jeher eher etwas suspekt.
 
@knirps: Microsoft gibt schon seit vielen Jahren Source-Code an Forschungseinrichtungen und Regierungen raus. Die können den Code prüfen. Aber natürlich ist es deswegen noch keine Open Source Software. Andererseits genügt auch Truecrypt nicht den Definitionen von Freeware oder Open Source. Vorher hätte ich auch eher zu Truecrypt gegriffen, aber wenn die Macher jetzt selber davor warnen und Bitlocker empfehlen, dann folge ich lieber denen. Auch wenn Leute wie Du dagegen trollen.
 
Ich vermute mal Truecrypt ist relativ sicher und diese ganze Aktion soll nur eine Verunsicherung schaffen, um Leute zum Umstieg auf Bitlocker zu bewegen. Wer auch immer, hat halt Schwierigkeiten Truecrypt zu knacken und dann muss halt ein anderer Weg gefunden werden, um Truecrypt-Daten zu "entschlüsseln". Das wäre dann den Umstieg auf Bitlocker anzuregen und dann Bitlocker zu knacken. Da MS ja immer schön mit den "Behörden" kooperiert hat, kommt man dann über Bitlocker so an die vorher mit Truecrypt verschlüsselten Daten heran.
 
@drhook: Geheimgericht: "Ihr müsst jetzt eine Version mit 'Sicherheitslücke' veröffentlichen!" - Dev:"Dann mache ich den Laden dicht!" - Gericht: "Dann müssen Sie auf Bitlocker verweisen! Und Sie dürfen den wahren Grund nicht nennen!" - Dev: "Dann nehme ich als Grund 'Sicherheitslücken' wegen des Support-Endes von XP..."
 
@drhook: ..wie jede andere Firma auch die sich leider an den Patriat Act halten müssen. Das hat nichts mit besonderer Behördenfreunschaft zutun.
 
@drhook: Im April wurden die Ergebnisse des Audits veröffentlicht und es wurden 11 Fehler gefunden. Auch wenn sie nur mittelschwer sind, ist das Vorhandensein von Fehlern sicher. Schade, dass man keine Fehler beheben will, sondern statt dessen das Projekt einstellt.
 
Lustig ist auch, dass Bitlocker in China erlaubt, Truecrypt hingegen verboten ist :-) Das sagt Einiges. So oder so ist das Vertrauen in Truecrypt aber angeknackst. Das zeigt auch der aktuelle Stand der Umfrage auf http://www.pupoll.com/de/polls/vertraut-ihr-truecrypt-noch-2014-5-29
 
@Lemming1: wie, du meinst dass aktuell 67% truecrypt vertrauen?
 
@kamp: hmm... mittlerweile hat sich das Bild bei der Umfrage ein bisschen gewandelt. Als ich den Post geschrieben habe war es noch knapp 50/50. Aber scheinbar vertrauen doch noch einige Leute Truecrypt trotz dieser Warnung. Also gemäss dieser Umfrage. Aber mal schauen wie es aussieht, wenn mehr Leute mitgemacht haben...
 
@Lemming1: Man kann doch noch garnicht die Situation beurteilen, wie soll man also sagen ob man TrueCrypt noch traut? Man muss jetzt erstmal auf Statements warten, von den Entwicklern, von SourceForge, einfach schauen ob da jetzt noch was kommt oder ob das wirklich das Ende ist. Wenn letzeres eintritt, ist Vertrauen eh egal, weil man sich dann mittelfristig nach was neuem umschauen muss. Ich hoffe da auf einen Fork falls das die offene TC-Lizenz zulässt.
 
@lutschboy: SourceForge hat bereits ein Statement abgegeben, keine verdächtigen Logins, kein Passwortwechsel, keine verdächtige Aktivität.
 
@Lemming1: Eine wahnsins Umfrage mit einer Beteiligung von 84 Stimmen. Na wenn das nicht representativ ist :D
 
@iPeople: hehe, ja, mit 84 Stimmen kann man definitiv nicht von repräsentativ sprechen (plus andere Faktoren die fehlen). Aber für eine Ersteinschätzung der Meinung finde ich es nicht schlecht. Und es stimmen laufend mehr Leute ab. Ich warte einfach mal ab.
 
@iPeople: Im Fernsehen reichen max. 5 Stimmen aus um repräsentativ zu sein.
 
@RobCole: Eigentlich reichen 3.
 
@iPeople: Bei 3 vs 84 Stimmen sind wir uns doch einig, welche Umfrage repräsentativer ist. ;)
 
@RobCole: sind jetzt über 200 Stimmen (nicht dass es jetzt repräsentativer wäre) aber alleweil besser als die 3 Stimmen beim Fernsehen :-D
 
@Lemming1: Gibts da auch eine Quelle zu das Bitlocker in China erlaubt und Truecrypt verboten ist? Oder ist das wieder so eine Mutmaßung/Eigenerfahrung weil jemand mit einem unangemeldetem Truecrypt nicht eingelassen wurde, jemand mit angemeldetem Bitlocker und hinterlegtem Passwort bei der Regierung schon?
 
@Minty_Insurrect: nur gemäss Forenbeiträge. Was es jeodch in Reiseführern und vergleichbare Blogs heisst ist, dass man keine verschlüsselten Laufwerke etc. verstecken bzw. verheimlichen darf. Könnte jetzt sein, dass Truecrypt daher nicht gerne gesehen ist.
 
@Lemming1: Nunja, in China ist jegliche Verschlüsselungssoftware und -hardware verboten. Sie darf nur nach Anmeldung und Genehmigung durch die Regierung verwendet werden. Ich weiß jetzt nicht genau was erforderlich ist um so eine Genehmigung zu bekommen, außer das jegliche Hardwareverschlüsselung "Made in China" sein muss. Ich glaube nicht das Bitlocker da lieber gesehen ist.
 
@Lemming1: Von wem Bitlocker ist, ist allgemein bekannt; wer hinter Truecrypt steckt, ist weitgehend im Dunklen ;-) Aber wie oben schon gesagt, haben die Chinesen grundsätzlich was gegen die Verschlüsselung - genau wie übrigens die Amerikaner: Wenn Du bei denen einreisen willst und Du rückst Deine Passwörter nicht raus, wirst Dü schnell als Terrorist abgestempelt und darfst bestenfalls umgehend wieder nach Hause fahren.
 
@Lemming1: gähn, Linux ist auch in China erlaubt. Und was sagt uns das? Richtig, nichts. Linux ist deswegen nicht schlechter, nur weil China es erlaubt.
 
Hier mal was für die Liebhaber von Verschwörungstheorien - Post aus dem Golem-Forum:

"Ich vertraue Truecrypt, nur der NSA nicht!
Die offizielle MEldung auf der Website lauet:
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

*not secure as* = NSA

Wenn Truecrypt einen Brief von der NSA erhalten hat sind sie zu stillschweigen verpflichtet! SIe wollen uns so die Wahrheit mitteilen!"

(http://forum.golem.de/kommentare/security/verschluesselung-raetsel-um-das-ende-von-truecrypt/vertraut-ihr-truecrypt-noch/82958,3751644,3751644,read.html#msg-3751644)
 
Das ganze ist wirklich höchst kurios. Auch dass es eine "neue" Version gibt, nämlich die 7.2 (ganz unten zu finden), ist äußerst eigenartig, denn ihre Änderungen scheinen sich darauf zu belaufen, die Erstellung zb von Containern zu verhindern und stattdessen eine Warnmeldung auszugeben. Außerdem ist die Datei mit dem Key der 7.1 signiert. Wenn die Entwickler also wie die von Lavabit zu etwas gezwungen wurden, warum dann nicht die normale Website nutzen für die Bekanntmachung des Endes? Warum die neue Version? Warum die Anleitung für Bitlocker, eine ClosedSource-Anwendung von NSA-Handlanger Microsoft? Warum der Key der alten Version? Und warum die Sperre bei archive.org? Ich denke und hoffe dass es sich um einen Hack handelt, aber auf jedem Fall rächt sich jetzt die Intransparenz darüber, dass keiner eigentlich weiß wer genau hinter TrueCrypt steckt.
 
@lutschboy: Steckt vielleicht die NSA dahinter? Haben die Truecrypt geschaffen? Frag ja nur.
 
@iPeople: Wie, TrueCrypt geschaffen? Warum sollten sie es dann jetzt aufgeben? Wegen dem Audit? Der könnte ja trotz der Einstellung der Entwicklung Hintertüren finden, da der Source ja noch verfügbar ist. Die NSA hätte also garnichts davon. Macht einfach alles keinen Sinn, außer einem Hack von irgendwelchen Trolls meine ich.
 
@lutschboy: Och, nur mal so ein Gedanke ;) Wenn schon Verschwörung, dann aber im großen Stil. Wie wiege ich die ganzen Nerds in Sicherheit? Ich gebe ihnen zum Schein Sicherheit. Also lasse ich als NSA ein Programm als OSS auf die Menschheit los ;)
 
@iPeople: Und gebe es dann, wenn es alle nutzen, einfach wieder auf? Das macht doch absolut keinen Sinn.
 
@lutschboy: Da greift jetzt Verschwörungstheorie 2 : MS ist vollständig involviert, Bitlocker ist in der HAnd der NSA, deswegen der Verweis darauf :D Die Nerds denken sich : Oh, wenn die Macher von Truecrypt auf BL verweisen, scheint es sicher zu sein ;)
 
@iPeople: Aber wenn TrueCrypt schon in der Hand von der NSA ist... macht das immernoch keinen Sinn. Und dass die Nerds eben nicht alle einfach auf BitLocker umsteigen kannst du an den tausenden Kommentaren, Threads, Tweets und sonstwas da draußen sehen. Ne keine Ahnung ob du grad dich über irgendwen lustig zu machen versuchst aber irgendwie redest du nonsens.
 
@lutschboy: Natürlich war das nicht ganz ernst gemeint. Mir geht dieses "Alles was von MS kommt, ist eh mit Backdoor und NSA verseucht" einfach aufn Sack. DAs geistert schon seit 20 Jahren rum, ohne stichhaltige Beweise.
 
@iPeople: so ganz ohne Beweise ist das nicht mehr: http://winfuture.de/news,81717.html, bei einigen Diensten von Microsoft können die Behörden also ganz nach Lust und Laune in den Daten der Nutzer rumschnüffeln. Von daher ist es durchaus berechtigt bei BitLocker Ähnliches zu vermuten, auch wenn für diesen konkreten Fall noch keine Beweise vorliegen, denn gerade bei solchen Tools sollte man sich genau überlegen, wem man lieber vertrauen möchte und da ist Microsoft u.A. aufgrund der von mir genannten News nicht gerade als vertrauenswürdig einzustuffen.
 
@Link: Du verlinkst auf eine Quelle eines WF-Beitrag, welcher schon in der Überschrift mehr auf eine Vermutung schließen lässt, und in derem verlauf Vokabeln wie "offenbar", "nahelegen", "anscheinend" eine gesicherte Erkenntnis weitgehenst ausschließen ;) Danke für diesen Lacher. Und von "nach Lust und Laune in den Daten der Nutzer rumschnüffeln." kann ich beim besten Willen nichts lesen. Du etwa?
 
@iPeople: es ist das, was aus den bisher bekannt gewordenen Snowden-Dokumenten hervorgeht. Nur weil das niemand bisher zweifelsfrei überprüfen konnte, bedeutet nicht, dass man das getrost ignorieren kann. Die werden die Dokumente nicht aus reiner Langeweile verfasst haben.

Und von "nach Lust und Laune in den Daten der Nutzer rumschnüffeln" handelt mehr oder weniger der ganze Artikel, hier z.B. ein Zitat aus dem letzten Absatz "Seit Anfang März 2013 hatten NSA und FBI durch PRISM auch direkten Zugriff auf Microsofts Cloud-Speicher SkyDrive, der heute unter dem Namen OneDrive bekannt ist." Das ist mit "nach Lust und Laune in den Daten der Nutzer rumschnüffeln" gleichzusetzen.
 
@Link: Ignorieren nicht, aber als Beweis heranziehen auch nicht. Was Du "gleichsetzt" , was irgendwo schwammig geschrieben steht, ist irrelevant.
 
@iPeople: was GENAU ist an dem von mir in re:7 zitierten Satz schwammig? Auch an "So spricht eines der Papiere aus dem Fundus von Snowden ausdrücklich davon(...)" sehe ich nichts schwammiges, beachte hier das Wort "ausdrücklich". An dem ganzen Artikel ist nichts schwammig formuliert, sondern es steht schlicht das da, was aus den Dokumenten hervorgeht und "nach Lust und Laune in den Daten der Nutzer rumschnüffeln" tut das im Bezug auf mehrere Dienste.
 
@Link: Du bastelst dir aus Fragmenten ein Weltbild zusammen. Solange ein Bezug auf imaginäre Dokumente genommen wird, zu deren Inhalt Herr Snowden im interview nur ausweichende Antworten parat hatte, er nichts Konkretes wiedergeben könnte, sehe ich nichts als erwiesen an. Hast du diese Dokumente gesehen ? Nein, es gibt nichtmal ansatzweise einen visuellen Beweis dieser Dokumente. Interpretierst du in den Satz "Mein Sohn hatte Zugang zu meinem Auto " auch hinein, dass er nach Lust und Laune damit fahren darf ? Nein, dieser schwammig formulierte Satz sagt gar nichts darüber aus. Tatsächlich war es so, das ich einen Knopf auf der Fernbedienung gedrückt habe, damit er den Kofferraum öffnen und etwas herausholen konnte. Ich hoffe, du verstehst die Analogie.
 
@lutschboy: Ich glaube mittlerweile nicht mehr an einen Hack. Ich denke viele Entwickler haben das Projekt bereits in den letzten Jahren verlassen (oder keine Lust mehr, das Audit-Projekt hat mehr Spenden erhalten, als Truecrypt in den letzten Jahren), denn Truecrypt hat sich in den letzten Jahren kaum weiterentwickelt. Dazu ist Truecrypt nicht voll mit Windows 8 kompatibel, und mit UEFI schon gar nicht. Ich denke 7.2 ist eher eine Mitteilung "hier gibt es keinen Support mehr, es können Sicherheitslücken enthalten sein, bitte nutzt ein Programm das noch Support hat". Die Entwickler waren doch schon immer etwas eigen ;)
 
@Overflow: Also mir wäre das ein bißchen zu eigen, das müßte schon ein echter Vollidiot sein der auf diese Weise das Ende einläutet. Aber naja da kann man jetzt wohl nur abwarten und Tee trinken.
 
@lutschboy: Warum Vollidiot?
 
@Overflow: Na siehe [o9]. Ne neue Version die Features blockiert und mit einem Key einer alten Version signiert ist, eine Umleitung auf eine neue Seite statt das Aus auf der offiziellen bekanntzugeben, und ein Tutorial mit Screenshots zu schreiben für Bitlocker.. das ist doch total plemplem alles. Das wäre mMn nicht mehr eigen sondern idiotisch.
 
@lutschboy: Wieso mit einem Key der alten Version? Der Key ist doch schon seit einer der ersten Versionen der gleiche. Wenn das ein Hack war, müsste man also auch den privaten Key gestohlen haben. Für die Umleitung auf SF hätte ich nur die Erklärung, das man truecrypt.org bald abschaltet. Das man die Version 7.2 beschneidet ist dann der Versuch, die Leute auf eine andere Software zu zwingen. Das mit Bitlocker und FileVault ist natürlich eine sehr merkwürdige Empfehlung...
 
Wenn man einer Firma in Sachen Verschlüsselung nicht trauen kann dann ja wohl Microsoft. MS ist einer der Konzerne die am engsten mit der NSA zusammenarbeiten. Es ist ja mittlerweile erwiesen das MS der NSA direkten Zugriff auf Skype,Skydrive und Outlook.com gibt, auch geben sie Sicherheitslücken zuerst an die NSA weiter. Wenn man seine Daten verschlüsseln will dann würde ich einen weiten Bogen um alles machen was von MS kommt.
 
@stargate2k: Nein, man vertraut lieber jemanden, der irgendwo im Verborgenem eine "Sicherheitssoftware" bastelt. Ist genauso witzig, wie bei Whatsapp: Als kein Schwein wusste, wer oder was dahinter steckt, wurde es genutzt. Als FB das übernommen hat, war der Aufschrei groß. Paradox, finde ich.
 
@stargate2k: Wo genau ist denn das alles erwiesen?
 
@Jas0nK: Bei der Frage nach einer Quelle verlinkst Du auf einen WF-Beitrag, welcher schon in der Überschrift mehr auf eine Vermutung schließen lässt, und in derem verlauf Vokabeln wie "offenbar", "nahelegen", "anscheinend" eine gesicherte Erkenntnis weitgehenst ausschließen ;) Danke für diesen Lacher.
 
@Jas0nK:Jepp, darauf hatte ich gewartet. Die Standard-Anwort: Google ist dein Freund. Finden tut man damit die selben Mutmaßungen und Glaubensbekundungen wie hier im Post von stargate2k. Wogegen ja auch nix zu sagen wäre, wenn stargate2k geschrieben hätte: "Ich glaube, dass... " oder "Ich vermute, dass..."

Stattdessen steht da und an vielen anderen Stellen: Es ist. Ich halte die Unterscheidung "Glauben" und "Wissen" für sehr wichtig, und für die Behauptung "Ich weiss..." sollte man gute und für andere nachvollziehbare Nachweise haben.

Und beim Finden solcher Nachweise ist Google (wie jede andere Suchmaschine auch) eher mein Feind.
 
@stargate2k: naja wenn man schon MS nicht vertraut macht man den fehler weit vor der fde lösung....nämlich beim Wahl des Betriebssystems, setzt man hier auf MS hat man schon grundlegend etwas falsch gemacht in seinem kompletten vorgehen. Vertraut man hingegen MS und damit Windows ist unter Windows bitlocker eine naheliegende wahl
 
Man beachte, dass es hier mitnichten nur um BitLocker geht, sondern auch um die anderen integrierten Verschlüsselungssysteme. Eines kann man jedenfalls sagen. Selbst, wenn die Entwickler jetzt kommen und sagen, dass eine schwere Sicherheitslücke gefunden wurde, die mit der grundlegenden Funktionsweise von TrueCrypt selbst zusammenhängt und nicht behoben werden kann, ohne das ganze System von vorn zu schreiben (wie auch immer eine solche Sicherheitslücke aussehen sollte), selbst wenn es stimmt, man wird es nie ganz glauben können.
 
@adrianghc: durch full disclosure könnte man das durchaus glauben
 
Ich hätte gern eine unter staatlicher Aufsicht erstellte und finanzierte europäische Verschlüsselungstechnologie, die Open Source ist und durch NGOs wie dem CCC und weiteren kritischen Organisationen geprüft wird.

Diese Forderung muss man als Bürger einfach stellen. Wenn unsere Regierung uns angeblich aus Gründen der politischen Beziehungen zu den USA bzgl. NSA nicht schützen möchte, dann ist das eine Sache. Allerdings darf man wohl kaum erwarten, dass Russland, China und andere weniger aktiv sind.

Wenn man nicht gegen die NSA ermitteln möchte, geschenkt! Es geht um die Wettbewerbsfähigkeit Deutschlands und Europa. Da spielen Fragen der politischen Opportunität keine Rolle!

Wenn man uns nicht aktiv mit einer eigenen Technologie schützt, ist dies das direkte Eingeständnis, dass man mit NSA über Bande spielt und die Daten direkt zum BND gehen...
 
@EmilSinclair: Direkt in deinem ersten Satz hat sich eine Sicherheitslücke eingeschlichen. Als ob man dem Staat glauben könnte. Der Staat hat kein Interesse daran die Privatsphäre der Bürger 100% zu schützen. Wenn würde man sowas nur auf die Wirtschaftliche Ebene machen. Der normale Otto soll leider gläsern bleiben.
 
@w4n: Mir ging es eigentlich auch nicht um die Interessenlage der Regierungen sonden um die Finanzierung. Der Staat, Steuerzahler, also wir stellen Mittel zur Verfügung, die in ein europäisches Open Source Sicherheitskonzept gesteckt wird. Die Kontrolle des Quellcodes erfolgt entsprechend öffentlich.

Allerdings ist es mir zu platt gegen "den Staat" zu argumentieren. Hier gibt es unterschiedliche Interessenslagen. Das der BND sicherlich Grenzen überschreitet und überschritten hat erscheint mir klar...

Es ist allerdings eine politische Frage und die muss so häufig diskutiert werden wie nur möglich. Dazu gehört auch die Abschaffung/Neuausrichtung des BND. Auch wenn natürlich bei dem aktuellen politischen Personal und deren untoten Wählern vermutlich wenig Anlaß zu Hoffnung besteht.
 
@EmilSinclair: Ach, der BND hat doch dieselben Interessen, nur vermutlich deutlich begrenztere finanzielle Mittel als die NSA.
 
@EmilSinclair: Vom Staat kommen nur so tolle Ideen wie DE Mail mit super "Verschlüsselung" und "Zertifikation". Die "Verschlüsselung" wird beim Server zum "Virencheck" auf dem Providerserver entschlüsselt und danach wieder neu "verschlüsselt". Mit der Zertifikation soll man feststellen können, wer eine E-Mail verschickt hat, also E-Mail mit Unterschrift sozusagen. Tolle Idee, nur dann keine tolle Idee, wenn der Mail Provider für dich die Unterschrift drunter setzt. Wirkliche Verschlüsselung und Zertifizierung sieht anders aus.
 
@EmilSinclair: Nee anders... "Ich hätte gern eine unter *staatlicher Aufsicht* erstellte und *finanzierte* europäische Verschlüsselungstechnologie". Genau das Gegenteil scheint für mich auch nicht wirklich 100% zu funktionieren.
 
solange in den USA nicht der erste User hingerichtet wird weil seine truecrypt Verschlüsselung von der NSA geknackt wurde sehe ich absolut keinen Grund diese nicht mehr zu nutzen. Da muss man halt abwarten. Ich meine um die Kleingartenkolonie zieht man ja auch Zäune zum Schutz gegen Wildschweine und die Nutzung von truecrypt ist immer noch so ein Zaun.
 
Dubios - von True Crypt auf Bitlocker? Von Microsoft? MUAHAHA - das sind die ärgsten NSA-Kolaborateure! Wäre interessant, was da "wirklich" abgelaufen ist.
 
Bisher ähnelt sich der Ablauf wie bei der Schließung von Lavabit. Am wahrscheinlichsten ist, dass die Entwickler ein National Security Letter erhalten haben und daher nach US Recht nicht über die Gründe der Schließung sprechen dürfen.

Das Truecrypt in China verboten, Microsofts Bitlocker aber in China von der chinesischen Regierung erlaubt ist, sollte einem zu denken geben, wenn man jetzt auf Bitlocker wechseln sollte. Ich für meinen Teil werde weiterhin Truecrypt in Version 7.1 weiter nutzen.
 
@Antitr0ll: Sie hätten das Projekt doch im Ausland fortsetzen können.
 
@knirps: Wenn das nur ein "Hobby" von denen war, wovon ich ausgehe, da sie mit der Software kein Geld verdienten, haben die Entwickler sicherlich noch einen richtigen Job und ein richtiges Leben, ggf. mit Familie. Da zieht es sich nicht mal eben um.
 
das stinkt eindeutig nach Neidern die die Seite geknackt und umgeleitet haben.
 
@Stefan_der_held: Wurde schon überprüft. Die DNS-Werte wurden nicht geändert. Es fand somit keine Umleitung durch Dritte statt. Alles ist original. Die Seite wurde von den offiziellen Entwicklern geändert.
 
@Seth6699: Vor allem wurde wohl auch Code geändert und True Crypt kann jetzt nur noch entschlüsseln, aber nicht mehr verschlüsseln. Wenn man die einzelnen Berichte so ließt wird deutlich, dass da so viel Aufwand dahinter steckt, dass das für einfache Hacker schlicht nicht zu stemmen wäre. Außerdem wäre es ziemlich sinnfrei, da die Änderungen leicht rückgängig zu machen wären. Aufwand und Nutzen stünden in keinerlei Verhältnis.
 
@Seth6699: was nicht ausschließt dass die seite selbst geknackt wurde wobei memfis auf den anderen umstand mit der neuen Version hinwies was schon sehr kurios erscheint wenn es denn geknackt wurde
 
@0711: Die neue Version wurde auch mit einem korrekten, offizielen Schlüssel signiert. Die Entwickler scheinen durch diese ziemlich "hektische" Beschreibung darauf aufmerksam zu machen, dass offensichtlich etwas nicht stimmt. Der Druck muss wohl von außen kommen. Und wie Memfis schon erwähnte, ist die Abschaltung der Verschlüsselung auch noch ein Wink mit dem Zaunpfahl.
 
@Seth6699: allerdings mit einem älteren wie die vorversion
 
lol wtf...1. was hat das mit dem Supportende von XP zu tun und 2. gibt es bisher auch nur einen einzigen Fall in dem eine Regierungsbehörde (BKA, BND, NSA) ein verschlüsseltes Truecrypt Volume erfolgreich geknackt haben und dieses dann auch voll gegen die beschuldigte Person VOR Gericht verwnedet haben? Mal ganz ehrlich davon hätte man aber gehört! Also bleibt Truecrypt zumindest vor der deutschen Polizei/BKA relativ sicher! Meine feste Überzeugung!
 
@legalxpuser: 2 Sachen
- glaubst du die würden es so offensichtlich dann vor gericht anwenden?
- glaubst du die arbeiten im zweifel nicht zusammen?
- das supportende von xp könnte insofern damit zusammenhängen als dass es hier kein on boardmittel für die systemplatte gab

kurios ist es auf jedenfall, die aktuell auf der seite angebotene Version würde ich persönlich auf jedenfall vor erst nicht nutzen
 
"The development of TrueCrypt was ended in 5/2014"...wenn ich mich recht entsinne, kam die letzte Version im Februar 2012 raus. Dass innerhalb von 2 Jahren Fehler und Sicherheitslücken auftauchen, wundert mich an dieser Stelle nicht! Zudem finde ich den Verweis auf Bitlocker recht seltsam, dieses Feature ist auch nicht in jedem Windows integriert....
 
Wirklich äußerst mysteriös... Egal mit welchen Gedankengängen man da rangeht, ob das Projekt tatsächlich von den Betreibern eingestellt wurde, die Seite ganz banal übernommen, oder doch Druck durch Behörden ausgeübt wurde, am Ende bleibt eigentlich immer eine Frage: Warum dann noch zeitgleich eine (offenbar authentische) aktualliesierte Version veröffentlichen?
 
@Vollbluthonk: solange nicht geklärt ist, wer überhaupt hinter Truecrypt steckt werde ich diese Meldungen nicht los dass einige grosse IT-Konzerne ihre Arbeit mit Regierungsorganisationen beenden wollten. War so ca. vor nem halben Jahr. Ein Schelm der böses dabei denkt!
 
Ich vermute auch dass die NSA hier am Werk ist und einen NSL verschickt hat, sodass TrueCrypt sich nicht öffentlich äußern darf. Die "Empfehlung" auf MS Bitlocker zu wechseln, ist mehr als ein Wink mit dem Zaunpfahl. Denn dass man Bitlocker nicht vertrauen kann, ist eh jedem klar. Trotzdem hoffe ich dass bald rauskommt, was es mit dieser TC Warnung auf sich hat.
 
@Jas0nK: hmm die Frage ist ob das die NSA einfach die Befugnis dazu hat, bzw. ob man als US-Bürger angehalten ist sich daran auch zu halten! Ich meine das muss ja in irgendeinem Gesetz stehen. Die DEV's von TC haben schließlich nichts verbrochen, d.h. die NSA muss ja irgendein Druckmittel haben um ihre Forderung durchzusetzen. Was ist wenn sie sich doch äußern? und...hat die Obamaregierung davon Kenntnis und nimmt es einfach so hin?
 
@Jas0nK: Aber kommen die Entwickler von Truecrypt nicht aus Tschechien? Ich glaube nicht, das ein NSL da sonderlich wirksam ist ;)
 
@Jas0nK: die Programmierer sind bisher erfolgreich anonym geblieben. Wem sollte da etwas zugestellt werden?
 
Wenn man einen Truecrypt Container in einem NSA Premium Partner OS mountet ist ehe Hopfen und Malz verloren. ;) SCNR
 
@main: platinum Partner..."premium Partner", wir sind hier doch nicht bei den überteuerten Luxusschlitten aus deutschland
 
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues.
Jetzt müssten die ganzen gewohnheitsmäßigen Dichter und Denker ganz ohne Vorschreiber und ohne Vordenker die Nachricht mal mit dem eigenen Hirn interpretieren, aber es fehlt halt an Übung.
WARNING: Using TrueCrypt is "Not Secure As" it may contain unfixed security issues.
Wofür könnte "Not Secure As" denn stehen, hm? Da fehlt in dem Satz auch noch auffälligerweise ein Komma!
Wenn die einen Security Letter bekommen haben, dann dürfen die nix Konkretes sagen...
Denkt halt mal selber, statt immer nur Vorgeschriebenes nachzudenken.
 
@User27: ich finds an den Haaren herbeigezogen...
 
@User27: Wo soll denn da bitte ein Komma? Zwischen "secure" und "as"? Der Satz ist völlig korrekt so. Wie hätten sie es denn stattdessen deiner Meinung nach formulieren sollen, damit man nicht gleich irgendwelche geheimen Botschaften vermutet?
 
@User27: Da fehlt kein Komma, da fehlen Dir lediglich Kennnisse in Grammatik.
 
@User27: Wenn man ein "N" aus "WARNING" nimmt, dazu das "as" und das "a" von "may", dann wissen wir jetzt, das die NASA dahinter steckt...
 
@User27: Eine Verschwörung Theorie fehlt noch, manche Twitterer meinen das die entwendeten Dokumente von Snowden mit TrueCrypt verschlüsselt wurden. Damit diese unbrauchbar werden wurde die Software eingestellt.
 
"Aktuell kann man nur abwarten. Von einer Neuinstallation des Tools sollte abgeraten werden, falls es tatsächlich Sicherheitslücken gibt oder falls die US-Behörden den Zugriff auf die Schlüssel vor Gericht erzwingen wollen."
Wie meinen? auf welchen schlüssel? Es gibt keinen "zentralen" schlüssel für alles...das einzige wovor ich abraten würde wäre die aktuelle Version.

Viel interessanter finde ich aber - sofern wir bei diesem zustand jetzt bleiben - wie schnell ein so großes projekt quasi im erdboden verschwinden kann ohne jetzt die genauen hintergründe zu kennen
 
@0711: Japp, es ist erschreckend und auch irgendwie peinlich. Denn zumindest unter Windows kenn ich kein weiteres Open-Source-Programm mit dem Full-Disk- und System-Encryption otf möglich wäre. Bei all dem berechtigten Gejaule über Privatsphäre und Datenschutz ist das schon ein Schlag ins Gesicht dass man sich die ganze Zeit auf ein zwar quelloffenes Tool aber ohne bekannten Hintergrund und offensichtlich auch nicht ganz klarer Lizenz verlassen hat... .
 
@lutschboy: diskcryptor wäre soweit mir bekannt ist eine opensource alternative für Windows...da ich allerdings keinen sinn darin sehe wenn ich Windows nutze bitlocker zu misstrauen nutze ich eh jenes.
 
@0711: Oha, DC war mir völlig fremd - werd ich mich mal drüber schlaulesen, danke. Einen Sinn in einer offenen 3rd-Party Software zum encrypten auf Windows sehe ich schon, immerhin muss eine Windows-Backdoor nicht auch ein Einfallstor zur Umgehung der Verschlüsselung bilden, da ist die Wahrscheinlichkeit bei BitLocker doch ne Ecke höher. Aber naja, letztenendes ist alles immer nur blindes Vertrauen und somit wohl wirklich nur Glücksspiel ob man das richtige nutzt.
 
Ein Grund warum ich Drivecrypt von Securstar benutze... genauergesagt DriveCrypt Plus
 
@citrix no.4: Du wusstest, dass das passieren würde? Ansonsten kann das hier kein Grund für dich gewesen sein, Drivecrypt zu benutzen. Oder du hast DC erst heute installiert.
 
@citrix no.4: Also... DriveCrypt ermöglicht mehrere Benutzer mit unterschiedlichen rechten und ein Administrator kann das Passwort eines Benutzers neu festlegen. Außerdem kann der Benutzer sein eigenes Passwort mittels Challenge-Response-Verfahren wiedergewinnen... Für sensible Daten wär mir das schon zu unsicher, besonders das man sein Passwort wiederherstellen kann. Heisst ja das es irgendwo gespeichert sein muss, und zwar so das man es zu Klartext zurückwandeln kann.
 
@Minty_Insurrect: nach meinem Verständnis gewinnt man mit dem challenge Response verfahren nicht das alte Passwort wieder...wobei das jetzt nicht auf drivedcypt gemünzt ist sondern auf sonstige challenge Response verfahren die ich so kenne
 
@0711: Das kommt auf die Implementierung an. Challenge-Response ist eine generische Umschreibung der Authentifizierung. Eine einfache Passwortabfrage fällt ja auch darunter. Bei Diskcrypt steht aber ausdrücklich Passwort-Wiedergewinnung. Bei der Enterprise-Version ist es sogar von einem Server aus möglich DriveCrypt auf Clients zu installieren, die Passworte zu ändern und wiederzugewinnen. Lässt eben darauf schließen das die Passwörter im Klartext oder Entschlüsselbar gespeichert sind.

In den FAQs der Enterprise Version steht auch das ein Administrator nach verlassen eines Mitarbeiters dessen Daten mit dem Admin-Passwort entschlüsseln kann. Das lässt zumindest für die Enterprise-Version darauf schließen das die Entschlüsselung entweder mit einem Key läuft der immer gleich ist und sonst nur der Passwort-Hash des Benutzers geprüft wird, oder dass das Passwort des Benutzers verschlüsselt gespeichert ist und mit dem Admin-Passwort entschlüsselt werden kann, womit dann wiederum der eigentlich zufällig generierte Key entschlüsselt wird und man dann auf die Daten zugreifen kann.
 
@Minty_Insurrect: Bei Enterprise lösungen ist das ja mehr als üblich dass es eine art recovery Methode gibt, dass zumindest dann den zugriff auf die daten im eigenen Bereich zulässt. Sollte man aber tatsächlich das Passwort "wiedergewinnen" können, also das alte...ist die Implementierung mit Sicherheit unsauber.
 
Schon seit Jahren schreibe ich dies hier, denn unter Experten war das schon lange bekannt, dass TrueCrypt nicht sicher ist. Für diese Aussagen wurde diese aber beleidigt und als Lügner tituliert. Nicht dass ich nun Genugtuung verspüre, im Gegenteil, ich finde es traurig, dass User mehr von ihrem Wunschdenken, statt der Sachlogik ihrer Meinungsbildung geleitet werden.
 
@Rumulus: Na aber sicher doch...
 
@Rumulus: Absolut richtig. Dafür gibt es eine der wenigen positiven Bewertungen, die ich bisher in diesem Forum verteilt habe. ;-)
 
"falls die US-Behörden den Zugriff auf die Schlüssel vor Gericht erzwingen wollen. " - ??? die Schlüssel werden von Keyfiles oder Passwörtern abgeleitet, diese entschlüsseln den header welcher einen Zufallsgenerierten Schlüssel enthält, der die Eigentichen Dateien verschlüsselt. Was sollen sie da herausgeben können?!
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles