TrueCrypt-Aus: Gerüchte um Fremdverschulden wohl nicht haltbar

Die Hinweise verdichten sich, dass das Verschlüsselungs-Projekt TrueCrypt tatsächlich von seinen Entwicklern eingestellt wurde. Diese hätten schlicht das Interesse an der Sache verloren, hieß es in einer E-Mail, die Steven Barnhart erhalten hat. mehr... Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr Verschlüsselung, Kryptographie, Truecrypt Verschlüsselung, Kryptographie, Truecrypt

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Die Überschrift finde ich arg übereilt und "endgültig"
 
@0711: Vor allem bestätigt im Artikel selbst nichts die Aussage der Überschrift.
 
@Sonnyboy: OH, jetzt wurde die Überschrift geändert
 
@Sonnyboy: Immerhin, auch wenn ich solche "still heimlich" Änderungen nicht ganz so mag :)
 
Die Überschift wurde mittlerweile geändert. Schaut mal was ich gefunden habe: http://truecrypt.ch/ Scheint ein Entwickler-Team aus der Schweiz zu sein, das TrueCrypt weiter am Leben erhalten will und die saubere Version 7.1a (und älter) anbietet. Da steht auch, dass sie auch zukünftige Initiativen von anderen Entwicklern unterstützen wollen. EDIT: Sind wohl schweizer Piraten. Es gibt Hoffnung.
 
@w4n: Der Optimismus ist verfrüht. Um sichere Kryptosoftware zu schreiben muss man mehr als nur programmieren können. Trotz abgeschlossenem Informatikstudium würde ich mir selbst nicht zutrauen Truecrypt weiterzuentwickeln. Es gibt wohl nur ein paar Hundert Leute weltweit die dazu in der Lage sind.
 
Bei proprietärer Verschlüsselungssoftware muss man immer annehmen (bzw. vom schlimmsten ausgehen), daß die Verschlüsselung nicht sicher ist. Computersicherheit baut immer auf dem Konzept, daß das gesamte System sicher ist.
Aus diesem einfachen Grund ist nicht nur BitLocker eine schlechte Wahl (da proprietär und bekannt ist, daß Microsoft sehr eng mit der NSA zusammenarbeitet), sondern generell Windows für Datensicherheit.
Denn wer kann schon versichern, daß nicht Microsoft im Hintergrund einfach über den Kernel die Schlüssel ausliest oder schon seit Jahren von hinten TrueCrypt untergräbt?

Es wundert mich schwer, warum Sicherheitsexperten wie die Leute im TrueCrypt-Team genau diese schlechte Wahl empfehlen ohne auch nur auf freie Alternativen und generell freie Systeme hinzuweisen, die überhaupt als einzige die _Voraussetzungen_ für Datensicherheit bieten.
 
@Tenzing: MS arbeitet nicht näher mit der NSA, als es der Patriot Act von jedem anderen US Unternehmen erfordert; jedenfalls gibt es für die ganzen MS-Spy-Vorwürfe bis heute keinen Beweis. Selbst die EU-Fachleute, die in den Code schauen durften und via Hashsummen auch deren Verifikation durchführen konnten haben nichts dergleichen gefunden. Ich bezweifle, dass Bitlocker einen Generalschlüssel hat. Einfach aus dem Grund, dass 70% der Top500 Unternehmen Bitlocker vertraut. Wenn rauskommen würde, dass 70% der Unternehmen von MS belogen wurde, und die Unternehmenssparte bei MS immerhin 85% des Gewinns ausmacht, wäre das relativ fatal für den weiteren Geschäftszweig.
 
@TurboV6: Aufpassen: Ich habe dies Microsoft nicht vorgeworfen, sondern nur meine Bedenken dazu geäußert und warum bei mir nicht auch nur einmal ein verschlüsseltes Medium mit Windows ausgelesen wird.
Auch nehme ich nicht an, daß ein Generalschlüssel eingebaut werden würde (siehe NSAKEY), sondern eher in den Algorithmen bewusst Schwachstellen placiert werden, die eben einen Audit erfordern, um überhaupt entdeckt zu werden.
Die Quelleinsicht der EU-Experten war eine Farce! In wenigen Tagen kann man nicht eine Software dieser Komplexität untersuchen.
 
@Tenzing: MS hat doch die TC Entwickler "Eingekauft" dehalb die Anleitung für einen wechsel auf BL :)
 
@TurboV6: Allerdings haben MS wie auch alle anderen großen Konzerne ein wirtschaftliches Interessse daran, sich mit den jeweiligen Regierungen gut zu stellen, um an Aufträge im öffentlichen Sektor zu kommen. Dieses Bestreben haben Entwickler von kostenlosen, offenen Tools nicht.
 
@heidenf: und was ändert das jetzt? Tausende von MS Angestellte gab es bisher; und nicht einen Leak von einer gezielten, unerlaubten Zusammenarbeit. Merkste was?
 
@TurboV6: Es sagt was über die Motivation und Wahrscheinlichkeit aus, wie schnell man bereit ist, mit staatlichen Überwachungsorganen zusammenzuarbeiten. Sobald Geld im Spiel ist, besteht ein Interessenskonflikt, merkste was?
 
@heidenf: Und eine noch viel groesseres Interesse haben sie daran, sich mit ihren Geschaeftskunden gut zu stellen
 
@ryzion: Habe ich das nicht gerade gesagt?!
 
@TurboV6: Microsoft hat absichtlich NSA Lücken in ihr OS gebaut und Skype aufgeweicht - deshalb glaube ich nicht, dass das jedes andere US Unternehmen auch so macht
 
@balini: Beweise?
 
@TurboV6: da fragst du echt noch bei so einer "Aussage" ;)
 
@M. Rhein: um ihn in die Ecke zu drängen.
 
@TurboV6: Hier ist einer: http://www.h-online.com/security/features/Skype-s-ominous-link-checking-Facts-and-speculation-1865629.html
 
@noneofthem: das ist doch kein Beweis?! Das macht doch jeder Messenger heut zu tage. Selbst die sozialen Netzwerke machen das. Und das ist ja leider auch notwendig.
 
@Tenzing: Und bei OOS Verschlüsselungssoftware muss ich das nicht immer annehmen?
 
Ich hab mir TrueCrypt 7.1 noch schnell gesichert.

Ich traue dem Käse nicht.

https://www.youtube.com/watch?v=TtMILYcwrCM
 
Hat da etwa das TC-Entwicklerteam einen NSL bekommen?
 
@Sturmovik82: Using TrueCrypt is _N_ot _S_ecure _A_s it may contain unfixed security issues -> NSA.

Viele stempeln das als Verschwörungstheorie ab, aber ich sehe darin einen versteckten Hinweis. Niemand würde diesen Satz so umständlich formulieren.
 
@Tenzing: Mal abgesehen davon, dass keine Verschlüsselung wirklich sicher ist, sehe ich diese Nachricht als Aufforderung vorerst TC7.1 weiter zu nutzen.
 
@Sturmovik82: Natürlich ist keine Verschlüsselung 100% sicher. Aber wenn Geheimdienste eine Verschlüsselung spielend umgehen können dann ist dies schon ein anderer Faktor von Unsicherheit als wenn eine rein mathematische Knackbarkeit vorliegt.
AES-256 bspw. ist zwar angreifbar (in 2^254,4 Schritten, vgl: 2^256 für bruteforce), aber dies ist irrelevant für Realanwendungen.
BitLocker arbeitet zwar auch mit AES, aber ich vermute Hintertüren im IV-Generator oder Block-Cipher, die es nicht offenkundig machen, daß eine Verschlüsselung knackbar ist, aber für den, der die Lücke kennt (-> NSA/Geheimdienste/...), einen Zugang drastisch vereinfacht.

Warum siehst du die Nachricht als Aufforderung, TC7.1 weiter zu benutzen?
 
@Tenzing: Ob es derartige Hintertüren nicht auch in Truecrypt gibt, ist derzeit unbekannt. Letztes Jahr gab es ja derartige Gerüchte bezüglich der fertig kompilierten Version, die mit einer selbstkompilierten nicht identisch war.

Da die 7.2 kein neuerstellen von containern mehr zulässt, wie ich auf heise.de lesen durfte, und ich derzeit keine brauchbare alternative sehe, bleibe ich vorerst bei der alten Version, die anscheinend _relativ_ sicher ist. Mal sehn, was das Code-Audit in der nächsten Phase ans Tageslicht bringt.

Wenn ich mal die Zeit finde, nach brauchbaren Alternativen zu suchen, werde ich eventuell auf diese umsteigen.
 
@Tenzing: mal im Ernst. Wenn da ein NSA Türchen geben würde, das wäre mit Sicherheit viel einfacher als über IV oder den Cipher-Elementen. Hier malen ganz schön viele den schwarzen Peter an die Wand.
 
@TurboV6: Klar ginge das einfacher, aber Hintertüren müssen bei den heutigen Möglichkeiten auch möglichst gut verborgen sein.
 
@Sturmovik82: Nun, deshalb läuft ja momentan für TC ein Audit. Weil das gesamte Entwicklungsmodell dieser Software relativ intransparent ist, nutze ich andere Verschlüsselungssoftware, bei der man auch die Verschlüsselung abstreiten kann.
TC und LUKS haben eben ihre Stärke auch durch ihre Header für mehr Komfort eingebüßt.
 
@Tenzing: darum geht es nicht. Das, was die NSA an Massen auswerten muss; wenn das über IV und Cipher gehen würde, dann reichen die Ressourcen der weltweit verfügbaren Rechner gar nicht aus. Ergo muss es anders gesehen... Man sollte technisch schon ein wenig davon mehr wissen, damit mal solch einen Stuss glaubwürdig und nicht als Verschwörungstheorie kundtun kann.
 
@Tenzing: Was empfindest Du an dem Satz als umständlich formuliert?
 
@Tenzing: dir ist klar, dass der Satz so die korrekte, förmliche, englische Schreibweise darstellt? Oder reicht Dein Englisch-Level hier nicht?
 
@TurboV6: Als Muttersprachler reicht mein Englischniveau sehr wohl dazu aus. Der Satz ist so nicht falsch, aber die Satzstellung ist ungewöhnlich.
 
@Tenzing: Wie hättest du ihn formuliert?
 
@Tenzing: Ähm.. dann hast Du wirklich eine schlechte Muttersprache ;-) (Qualitativ gesehen)
 
@heidenf: "TrueCrypt is not secure it can't contain fixed security issues."
or "Using TrueCrypt is not secure, because unfixed security issues may be present."
 
@rOOts: Die sind ja wohl beide deutlich schlechter formuliert, v.a. die erste Variante.
 
@Tenzing: "Niemand würde diese_nSa_tz so umständlich formulieren." Du also auch ;D
 
@Tenzing: ich finde die Formulierung recht normal...könntest du mal eine sinngleiche alternative geben die weniger umständlich formuliert ist?
 
@Tenzing: :D mit der gleiche Begruendung wurde mal ein Mitbewohner, der ein NYPD Pulli anhatte von unseren Nachbarn als Nazi abgestempelt. Denn wenn man das Y weglaesst ...
 
@Tenzing: Using TrueCrypt is not secure as it _M_ay _C_ontain _U_nfixed security issues -> MCU (Marvel Cinematic Universe)

Viele stempeln das als Verschwörungstheorie ab, aber ich sehe darin einen versteckten Hinweis. Niemand würde diesen Satz so umständlich formulieren. Die Avengers haben Schuld!
 
@Tenzing: Jetzt aber mal zurück ins echte Leben: *Sollte* es eine Backdoor für die NSA geben, was interessiert mich das? Ich verschlüssele z. B. externe Medien, die ich mit mir rumschleppe, damit irgendwelche Trollos, die mir z. B. meinen Rucksack klauen, da nix mit anfangen können. Dass diese Datenträger jemals in den Zugriff der NSA gelangen, halte ich für mehr oder minder völlig ausgeschlossen, von daher betrachte ich das für meinen stinknormalen Privateinsatz als absolut sicher. Auch wenn da viel Scheiße passiert ist in jüngster Vergangenheit, kann man's mit der Paranoia auch übertreiben.
 
@DON666: Ja, da hast du Recht. Selbst bei Hausdurchsuchungen konfiszierte verschlüsselte Medien sind mit TrueCrypt relativ sicher verschlüsselt.
Aber als Linuxnutzer habe ich halt die Möglichkeit, meine Medien 100% intransparent zu verschlüsseln. Die glaubhafte Abstreitbarkeit ist mit Windows generell nicht möglich.
Wenn man bspw. einfach in die USA reisen will, muss man verschlüsselte Medien für die Behörden entschlüsseln (also doch nicht so unwahrscheinlich, Kollege!).
Wenn dem schon nicht genug ist, muss man auch eine komplette Datenkopie über sich ergehen lassen, wenn man auf einer Terrorliste steht (und du weißt gar nicht, wie schnell man darauf landet. Ich bin übrigens auch drauf, was ich bei meinem letzten Englandbesuch feststellen musste).
Der einzige Weg, um dem zu entgehen, ist eben mit glaubhaft abstreitbaren Verschlüsselungstechniken (siehe http://de.wikipedia.org/wiki/Glaubhafte_Abstreitbarkeit).

Das ist bei weitem keine Paranoia, sondern nur eine Schlinge, die von Schurkenstaaten wie den USA und England immer enger gezogen wird.
 
@Tenzing: Würde ich in die USA einreisen, dann aus Urlaubsgründen, und das hieße für mich: warum soll ich da irgendwelches Computerequipment mit hinschleppen? Hab da jeden Tag mit zu tun, im Urlaub brauche ich das nicht auch noch, insofern...
 
@Sturmovik82: ... und zeitgleich ein MS-Jobangebot, dass man nicht abschlagen kann.
 
Und wenn sie es wegen akuter Unlust einstellen, warum schreiben sie dann, dass es unsicher wäre?

Auch wenn alle auf die NSA zeigen, die TC Entwickler sind m.W. anonym und niemand weiß genau, ob diese nun in den USA sitzen. Es gibt auch noch andere Geheimdienste auf der Welt, die Leute unter Druck setzen können...
 
@der_ingo: Der Grund dürfte der gleiche sein wie bei Win XP: Es wird nicht mehr weiterentwickelt und damit steigt jeden Tag die Gefahr, dass eine Sicherheitslücke gefunden wird die nicht mehr behoben wird.
 
@Valfar: Aber dann genügt es doch wenn ich einfach eine Warnung auf truecrypt.org schreibe. Microsoft macht auch kein neues XP ServicePack 4 mit dem nur nur abgespeckt alles läuft um auf Windows 7 umzusteigen. Weil es ein Aufwand ist der nichts bringt. Warum sollte der/die TrueCrypt-Entwickler eine neue Version machen (7.2) und massiven Aufwand betreiben wenn er ohnehin keine Lust mehr hat?
 
@wischi: und warum sollen sie selbst eine 7.2 Version machen, um den Leuten zu schaden? Ich vermute immer noch eine Unterwanderung; bezweifle aber, dass die NSA da im Spiel ist. Das wäre aktuell viel zu offenkundig. @der_ingo sagt genau das richtige: die Macher sind bis heute anonym. Keiner weiß, ob das nicht eher Russen oder Chinesen sind, die das entwickelt haben. Keiner.
 
@wischi: Weil so eine Warnung meistens nicht ausreicht. Falls eine schwere Lücke bekannt wird, dann heißt das nicht, das jeder Benutzer das auch automatisch mitbekommt.
 
Bitlocker will ich auf keinen Fall nutzen! Ich teste grad mal von Hand ein virtuelles Laufwerk unter Win8 (.vhdx) in Kombination mit Diskcryptor. Leider nicht so komfortabel wie TC, aber als Notlösung durchaus nutzbar. Welche Alternativen habt ihr noch so?
 
@Der General: Gestern habe ich mal VeraCrypt aufgeschnappt
 
@Sonnyboy: Jo, das hab ich auch gesehen. Ist ein Fork von TC. Werde ich dann auch mal probieren.
 
@Der General: Bleibt nur die Frage ob es damit weitergehen kann, wenn TC als Basis nicht mehr weiterentwickelt wird.
 
@Sonnyboy: Auch ein Fork der schon ein paar untersützer hat ist truecrypt.ch. Die sind gerade am "aufbauen"
 
@Der General: Wie wärs mit Diskcryptor?
 
@humpix: Äh??? Hast Du meinen Beitrag gelesen? :D
 
@Der General: Was meinst du mit nicht so komfortabel?
 
@lutschboy: Z.b. muss ich zuerst das vhdx mounten, danach noch mal mit Diskcryptor mounten. Ich muss noch mal schaun, wie ich das scripten kann. TC hatte da insgesamt schon viel mehr Möglichkeiten.
 
Das ist schon skurril und gleichzeitig verwirrend, wenn man jetzt auf BitLocker von Windows verweist. Ich kann mich noch gut im dunklen daran erinnern, das auch Microsoft mit der NSA zusammen gearbeitet hat.Wer also setzt dann noch auf das Pferd "BitLocker" von Windows???
Ohne mich weit aus dem Fenster lehnen zu wollen, aber nach Veröffentlichung des NSA-Skandals sind viele auf TrueCrypt umgestiegen.Nun soll es angeblich kein Bedarf mehr geben???Ich habe da eher den Verdacht, das hier der lange Arm einer Behörde Made in USA sein Werk getan hat, anders ist das nicht zu erklären.
 
@Fanta2204: vielleicht haben die Entwickler einfach erkannt, dass defakto Nichts sicher ist. Z.B. wurde auch TrueCrypt durch das StonedBootkit von Peter Kleissner ausgehebelt. Wenn jemand an Deine Daten ran "muß", dann schafft man das mit oder ohne Verschlüsselung, wie die Erfahrung zeigt.
 
@dynamind: Ja, da haste wohl recht.Sicher ist wohl nix mehr heut zu Tage.Deshalb mach ich auch immer noch ein großen Bogen um Cloud-Dienste. Auch wenn solche Dienste sehr praktisch sind, die Gefahr ist mir aber immer noch zu groß.Vermeiden kann man allerdings Cloud-Dienste auch nicht, da sie nun mal komplett nicht vermeidbar sind.Allerdings, meine wichtigen Daten bleiben weiterhin definitiv auf meiner externen Festplatte und da sind sie auch gut aufgehoben.Wie man so sagt, ist die klassische Variante immer noch die beste.
 
@Fanta2204: Ich denke schon, das es noch Bedarf gibt. Allerdings haben die Entwickler vielleicht einfach keine Lust/Zeit mehr, das ganze an aktuelle Windows Versionen anzupassen. Alleine die Anpassung an UEFI und GPT dürfte viel Arbeit kosten, und im Enterprise-Sektor wird eh nur Bitlocker eingesetzt...
 
Nennt mich paranoid, aber davon glaube ich nicht ein Wort... Keine Lust mehr auf den Kram zu haben ist eine Sache, das will ich nicht in Frage stellen, aber ein Rückzug vom Projekt sieht doch anders aus. Warum dieser Paukenschlag?

a) Man hätte es einfach verwaisen lassen können, sonderlich aktiv waren sie ja eh nicht
b) Übergabe an ein anderes Team wäre eine gute und naheliegende Option
c) Warum die "Panikmache" zur Sicherheit, wenn das Audit positiv ausgefallen ist?
d) Die alten Versionen zu löschen und durch eine Verstümmelte zu ersetzen ist schlicht Unfug

Kann mir nicht helfen, aber das sieht doch mehr nach dem Versuch aus, das Projekt nachhaltig im Rahmen der Möglichkeiten zu zerstören und somit die User zu anderen Lösungen zu drängen, weil da eben etwas im Busch ist...

So, nun gehe ich essen und falte nebenbei Aluhüte :-)
 
@Vollbluthonk: Die Art und Weise dieses Abgangs ist äußerst unseriös.
Repository gelöscht, Keys geändert, und dann diese Aussage. Das stinkt zum Himmel.
Die Sourcen gibts auch nicht mehr auf SF, sondern nur noch auf github.

Ich wünsche guten Appetit. Sag bescheid, wenn du Hilfe beim falten brauchst.
 
@Vollbluthonk: Meine Vermutungen:
a) Das wäre nicht sinnvoll, falls eine Lücke bekannt wird, hätten viele nicht gemerkt, das TrueCrypt unsicher wäre
b) Der Code ist nicht sonderlich wartungsfreundlich, und die Entwickler waren schon immer sehr eigen
c) Das Audit ist noch nicht abgeschlossen, es wurden bisher nur Teile von TC untersucht.
 
Ich erlaub mir mal noch ein e) zu ergänzen: Wenn TrueCrypt Fokus auf XP hatte, warum wurde dann Support für Vista und 7 implementiert, was nicht grad ohne war? 8 ist immerhin mehr 7 als Vista XP.
 
@lutschboy: Ich finde die Argumentation mit der Bindung an das Supportende von XP sowieso etwas befremdlich, ebenso die Empfehlung jetzt BitLocker zu nutzen. Ich will BitLocker keinesfalls schlecht reden, für den Großteil der Nutzer ist es wirklich ausreichend, verfolgt aber einen ganz anderen Ansatz als TrueCrypt. Äpfel und Birnen... Es ist nicht allgemein, platformübergreifend, für jedermann verfügbar (bei Windows 7 nur in der Ultimate und Enterprise Version, welche wohl nur einen Bruchteil der Lizenzen ausmachen), mal eben sensible Daten transportieren fällt also flach. BitLocker ist nicht schlecht, aber als Alternative zu TrueCrypt die schlechteste Empfehlung.

Etwas OT: Wenn Microsoft clever ist, dann bieten sie jetzt zeitnah BitLocker für alle aktuellen Windows-Versionen an...
 
"Tatsächlich ist es nicht gerade einfach, sich neu in einen derart komplexen Code einzuarbeiten"
Das mag sein, aber unmöglich ist es sicher nicht. Jeder ist ersetzbar.
 
@HerrAnleiter: TrueCrypt ist aber ein besonderer Fall. Der Quellcode ist sehr komplex und bisher konnte niemand aus dem Quellcode ein Programm erstellen, dass komplett identisch mit der Version der Truecrypt-Entwickler ist.
 
@Valfar: Das ist nicht ganz richtig. Für das Audit wurde aus dem Code schonmal das Programm ident gebuildet. Es war Voraussetzung für das Audit welches gerade in der zweiten Phase ist. Es ist aber ziemlich grauslich mit uralt-compilern usw.
 
@Valfar: https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/
 
@Shadow27374: Danke, mein letzter Stand war, dass man die Binaries nur fast rekonstruieren konnte
 
@HerrAnleiter: hmm das is doch normaler C-Code? Was soll denn daran so komplex sein?
 
Hab ich was nicht mitbekommen oder gibt es Bitlocker nicht eigentlich nur für Ultimate und Enterprise Versionen bei Windows Vista bis 8? Mag ja sein, dass es "gut genug" ist. Aber wenn man eine Win7 Home oder Pro Version besitzt, ist "gut genug" immer noch "nicht vorhanden" ...
 
@bAssI: Nope, die Win8 Pro hat Bitlocker dabei: http://windows.microsoft.com/de-AT/windows/compare - musste aber auch mal googlen :)
 
@humpix: Aber Windows 7 nicht
 
@humpix: Nur dass man Win7 Pro nicht mal annähernd mit Win8 Pro vergleichen kann, bzgl Funktionsumfang.
 
Wenn er wirkliche keine Motivation mehr gehabt hätte, dann wäre ein Statement ausreichend gewesen. Finde die Aktion sehr überstürzt und dubios. Zu dem erklärt das nicht, warum ältere Programmversionen vom Netz genommen wurden und/oder man nicht versuchte nach dem Audit (welches bisher das Vertrauen in das Programm steigerte) um ein paar Dollar zu bitten.
 
@RobCole: Die ganze Geschichte um Truecrypt ist dubios. Niemand weiß wer die Entwickler sind oder wie viele es sind und niemand weiß genau, wie die den Quellcode kompilieren. Truecrypt war schon immer sehr intransparent und deshalb passt auch so ein Abschied ins Bild.
 
@Valfar: es könnte auch sein, dass es ein jahreranger, gut geplanter Schachzug von (US/RUS/GB/CN) Geheimdiensten war, ein Produkt weit zu verbreiten.
 
Das ist zu 99% nicht einfach aufgegeben worden. Jeder "normale" Mensch hätte einfach auf truecrypt.org ein Hinweis geschrieben, dass man es auf eigenes Risiko einsetzt und es nicht mehr gewartet wird. Fertig! Der Entwickler hat "keine Lust mehr" betreibt aber enormen Aufwand um eine abgespeckte 7.2 zu machen den ganzen Text für die Umstiegsanleitungen zu machen. Wenn ich keine Lust mehr habe dann werd ich zum Schluss nicht noch soviel Zeit/Aufwand/Geld reinstecken!?
 
Die frage nach Sicherheit in der digitalen Welt ist nicht ein frage der Technik sondern eine Frage des Geldes. Absolute sicherheit gibt es nicht. Sicherheit ist eine frage der Ökonomie; welche Seite ist bereit wie viel für was zu investieren. Den Ansatz von meiner Seite aus so viel wie möglich für Sicherheit zu investieren ist sicherlich nicht verkehrt, aber trozdem ist alles knackbar...
 
Wer weiß....vlt ganbs ja nen verschwiegenheitsklausel seitens der US Regierung. Aber nur ne Theorie......
 
Vielleicht wurde Truecrypt von vorne herein von der NSA entwickelt und nun hat man Schiss das es auffliegt. Den Code und Binarys sollen ja nicht übereinstimmen.
 
@knirps: Doch, Code und Binaries stimmen überein.
 
@Overflow: Laut Sampervideo nicht.
 
@knirps: Wer oder was ist denn Sampervideo? https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/
Daraus: "According to my analysis, the binaries of v7.2 for Windows match the available sources."
 
@Overflow: Und wer oder was sind die?
 
@knirps: Eine Universität. Außerdem ist dort logisch und nachvollziehbar beschrieben, wie es zu diesem Ergebnis kommt.
 
@knirps: Und was sollte das ändern? Der Source wird doch trotzdem noch begutachtet. Es wurden ja nicht alle Kopien auf der ganzen Welt per Telekinese vernichtet... . Wenn es also so wäre wie du sagst wäre das ein Eigentor weil durch den Verweis auf BitLocker dieses sofort auch ans NSA-Software gebrandtmarkt wäre. Ziemliche nonsens-Theorie, wie gestern schon von iPeople.
 
@lutschboy: Also wenn ich mir die Kommentare so durchlese, ist doch Bitlocker bereits als NSA-Software enttarnt ;)
 
@knirps: Auch wen deine Aussage nur eine Theorie ist, ist dennoch bekannt und wird auch sehr wahrscheinlich angenommen, dass viele Projekte von den Geheimdiensten gesponsert werden. Oder sie wurden gänzlich von solchen Institutionen ins Leben gerufen. Der Grund liegt auf der Hand, je mehr Leute so etwas nutzen und sich in Sicherheit wiegen, desto einfacher kann man sie überwachen. Hört sich etwas paranoid an, aber wäre ich ein Geheimdienstmitarbeiter, würde ich es auch genau so machen.
 
@Rumulus: Bei dem Aufwand den man sich gemacht hat um TC aus dem Netz zu verbannen (genau das wurde ja getan), löschen aus Googles Cache (sowie viele Pendants dazu), finde ich meine Theorie sogar am wahrscheinlichsten. Die NSA will nicht nur etwas los werden, sie wollen etwas nicht nachvollziehbar machen. Ich glaube hier steckt mehr dahinter als das bloße Geschwafel von wegen nur weil sie es nicht knacken können. Ich könnte mir vorstellen das TC einen Backdoor hat und den vll. sogar jemand gefunden hat. Vll. wurde die NSA sogar erpresst. Hier musste ganz schnell etwas verschwinden was auf gar keinen Fall in die Öffentlichkeit gelangen darf. So gravierend das eine harmlose Webseite nicht mehr auffindbar sein darf.
 
Einige glauben hier und anderswo dem Dementi, dass truecrypt von der NSA aufgefordert wurde Hintertüren einzubauen o.ä. , verweisen gleichzeitig auf den Vorteil von OpenSource vs. ClosedSource und das der Windows Bitlocker Schutz nicht funktioniert, da Daten an die NSA übermittelt werden müssen ?¿? Eines zeigt mir das mit truecrypt auf jeden Fall, dank der NSA Geschichte steigt der Absurditäts-Level des Themas Verschlüsselung stark an.
 
@Lastwebpage: Allerdings auch die allgemeine Sensibilisierung für Datensicherheit und Privatsphäre. Zumindest ein wenig :-)
 
@Lastwebpage: Den Grund weshalbt jemand etwas Verschlüsselt ist doch die Angst das jemand unbefugtes Zugriff auf die Verschlüsselten Daten hat. Grundlegend ist also die Angst der Motivator, da kann nur Absurdes Verhalten aus den Menschen sprudeln. :D
 
Die Einträge im Google-Cache so wie dem Internetarchive WayBackMachine sind auch gelöscht worden. Nicht gerade ein übliches Verfahren, nur weil die Betreiber keine Lust mehr haben.
 
Ich glaube immer noch nicht daran das sie "schlicht ihr Interesse verloren" haben. Es hätte gereicht wenn Sie eine News dazu verfassen um das Projekt einzustellen. Und ich glaube kaum das sie nur deswegen extra eine truecrypt 7.2 Version herausbringen in dem alle Funktionen deaktiviert sind.
Das ist einfach nicht Logisch. Des weiteren, warum wurden denn die Comments im Sourcecode auch nochmal verändert?
Freiwillig würden die niemals Bitlocker empfehlen, es gibt etliche andere FREIE cryptos die an dieser stelle zu empfehlen gewesen wären.

Beispiel aus dem Sourcecode:

-// English (U.S.) resources
+// English (United States) resources

https://github.com/warewolf/truecrypt/compare/master...7.2

Das ist doch ein versteckter Hinweis das die Behörden ihm im Nacken sitzen.

Oder hier noch mal eine Nette Theorie dazu:

"schaut euch mal den satz "Using TrueCrypt is not secure as it may contain unfixed security issues" an. nimmt man jeweils die anfangsbuchstaben hat man:

"uti nsa im cu si"

das jetzt in den google translator latein --> englisch eingeben, rauskommen tut:

"If I wish to use the NSA"
 
@McMOK: Naja, man sieht ja an Windows XP wie viele Leute solche Hinweise ignorieren, und dann einfach eine Software weiternutzen, die keinerlei Support mehr hat. Vor allem bei Verschlüsselung ist das dann schon etwas fragwürdig.
Die comments im Source-Code können auch daher kommen, das in den 2 Jahren seit dem letzten Release sicherlich noch einige kleine Änderungen vorgenommen wurden. Damit die NSA-Theorie funktioniert, müssten die Entwickler erstmal in den USA sitzen, das ist aber alles andere als sicher, vor allem, da es eher einige Hinweise auf Tschechien gibt. Und dazu kommt, was könnten die Entwickler von TrueCrypt der NSA verraten, was nicht sowieso schon in den Quellen steht? Hier gibt es im Gegensatz zu Lavabit keinen Schlüssel, der der NSA Zugang zu allen Truecrypt-Verschlüsselungen erlaubt.
 
@Overflow: Genau darum geht es ja. Die NSA weiß ganz genau das sie truecrypt nicht knacken können und deshalb wurde das ganze Spektakel inszeniert. Microsoft hat Masterkeys für Bitlocker und wird sogar als Premium Dienst bei der NSA gelistet.

Die Entwickler von Truecrypt haben sich Jahre lang für eine Sichere Methode eingesetzt.
Freiwillig würden die niemals Bitlocker als alternative erwähnen, das ist Fakt.
 
@McMOK: Und was bringt der NSA das Ganze jetzt? Die Leute dich sich auskennen, werden auch weiterhin "sichere" Alternativen finden.
Die Entwickler haben eine gute Software entwickelt, mir ist dabei aber nie aufgefallen, das sie es aus der Motivation heraus taten, kein Bitlocker o.ä. einsetzen zu müssen, sondern weil es etwas Vergleichbares unter XP gar nicht gab. U.S. -> United States kommt von Visual Studio...
 
@Overflow: Was der NSA das bringt? Seit Snowden wissen wir, dass Microsoft mit der NSA zusammenarbeitet und man muss davon ausgehen, dass in Bitlocker eine Backdoor für Behörden eingebaut ist.
 
@ElLun3s: Aber was hat die NSA davon jetzt Truecrypt auszuschalten? Die Leute, die bisher Truecrypt verwendet haben, werden es auch weiterhin tun. Außerdem führen alle Spuren der Entwickler bisher in die Tschechische Republik, da dürfte die NSA kaum so etwas erreichen können.
 
@McMOK: Finde deine Ideen witzig, dafür gibt's ein + :D. Bestimmt findet man auch im Bibelcode einen Hinweis, dass Truecrypt von der NSA programmiert wurde.
 
@Valfar: Ich hab gehört wenn man "Migrating from TrueCrypt to BitLocker" in TrueCrypt eingibt, und bei Vollmond 4x Enter, gefolgt von N, S, und A drückt, erscheint ein Video von Dan Brown, der einem erklärt, wo man den heiligen Gral findet ;D
 
@Overflow: TrueCrypt ist doch der heilige Gral! :)
 
@McMOK: wow. warste bei den 9/11 Verschwörungen auch so kreativ?
 
Da der Quellcode vorliegt und hier >>https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/ << sogar haarklein beschrieben ist, wie man zu denselben binaries kommt, kann sich nun jeder seine eigene, modifizierte TrueCrypt-Version basteln und diese dann kompilieren.

Das habe ich schon vor Jahren gemacht, so das man mit einer TrueCrypt-Version "von der Stange" nicht einmal an meine Daten kommt, wenn man Passwort und Keyfile hat. Ohne Wissen darüber, was ich verändert habe, kommt man noch nicht einmal mit meiner eigenen Version an meine Daten und es sind zusätzlich noch ein paar kleine Fallen für Leute eingebaut, die versuchen mit meiner TrueCrypt-Version meine Daten zu entschlüsseln. Die sollten ihren Rechner besser nicht am Internet hängen und auch besser kein wichtigen Dateien darauf haben.
 
@nOOwin: "kann sich nun jeder seine eigene, modifizierte TrueCrypt-Version basteln und diese dann kompilieren. " Jeder sicher nicht. Ohne Programmier-und Kryptopgrafiekenntnisse wird man da nicht viel modifizieren können.
 
@nOOwin: Sicher... ROFL
 
@nOOwin: hmm tja...evt. könntest du dafür mal ein Tutorial erstellen, denn zumindest das kompilieren selber dürfte wohl für jeden machbar sein. Glaube auch kaum das ne NSA-backdoor enthalten ist die sie dann auch aktiv ausnutzen und vor Gericht verwenden. Das wäre schnell gefixt! Wie gesagt interessiert mich n wenig. Erklär mal wie man es kompiliert...
 
Ich kann mir nicht vorstellen, dass es einen Hacker interessiert, welche Daten auf meinem Server oder PC vorhanden sind.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles