TrueCrypt: Team des Security-Audits bietet geprüften Download an

Von vertrauenswürdiger Seite aus wird die populäre Verschlüsselungs-Software TrueCrypt nun im Rahmen eines geprüften Archives zum Download bereitgestellt. Damit sollen Anwender nach den jüngsten Ereignissen eine sichere Anlaufstelle bekommen. mehr... Verschlüsselung, Kryptographie, Buch, Truecrypt, Schlüssel Bildquelle: Moxylyn Verschlüsselung, Kryptographie, Buch, Truecrypt, Schlüssel Verschlüsselung, Kryptographie, Buch, Truecrypt, Schlüssel Moxylyn

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich würde trotzdem nicht mehr auf die Verwendung dieses DLs setzten - alleine schon, weil es nicht mehr weiterentwickelt wird. Aber zum Entschlüsseln und so besser als die 7.2er
 
@notepad.exe: Die Software wurde sein 2012 nicht mehr weiterentwickelt. Funktioniert trotzdem noch solange bis es Alternativen geben wird. Software wird ja nicht plötzlich schlecht.
 
@H4ndy: doch wurde sie. nur kein stable release
 
@H4ndy: Setzt du beim Entwickeln in neuen Projekten auch noch als deprecated markierte Funktionen ein?
 
@notepad.exe: Das ist doch was anderes. Wenn beim Entwickeln plötzlich ne Funktion als deprecated markiert ist, dann wurde wohl die dahinterliegende API, die diese Funktion bereitstellt, überarbeitet. Die Funktion entscheidet sich ja nicht mal eben so, jetzt nicht mehr so angesagt zu sein. Wenn du aber einen definierten Entwicklungsstand einer Software auf einem System hast, dann werden deren Funktionen die gestern noch funktionierten auch morgen noch genauso funktionieren, wenn niemand was an dem System oder der Umgebung ändert. Darum geht es doch. Wenn TC seit 2012 nicht mehr weiterentwickelt wird, dann funktionieren auf dem gleichen System alle TC-Funktionen noch genauso wie vor 2 Jahren. Und wenn damals schon Sicherheitslücken drin waren, sind die heute auch noch drin, auch wenn sie damals eventuell noch nicht bekannt waren. Es verändert sich aber nix, es kommen keine plötzlichen Fehler hinzu oder so.

Auch wenn ich selber immer gerne die neusten Versionen von allem habe und alles sofort update muss ich doch immer etwas schmunzeln, wenn andere solche Updates unbedingt brauchen, weil die alte Version, die 2 Jahre gut lief, mit Erscheinen der neuen Version plötzlich schlecht, langsam und fehlerhaft sei ;)
 
Die Software enthält auf jeden Fall Sicherheitslücken. Das Audit hat 11 Lücken gefunden, wenn auch nur mittelschwere. Einige zentrale Teile von Truecrypt wurden aber noch gar nicht geprüft. Man sollte sich des Risikos bewusst sein, wenn man Truecrypt einsetzt. Ob andere besser sind, kann ich aber auch nicht sagen.
 
@Nunk-Junge: Gewissheit wirst du bei keiner Software haben.
 
@Nunk-Junge: Bitlocker ist absolut lückenfrei und garantiert ohne Hintertürchen ;)
 
@dodnet: Ironie am Morgen..... gewagt ;)
 
@dodnet: lese ich da ein wenig Sarkasmus raus??
 
Ist nicht im Patriot act eindeutig geregelt, dass Tochterunternehmen von US-Unternehmen ihre Daten rausgeben müssen?

Praktisch wäre natürlich für die Anbieter, wenn sie ihre daten einfach mal über den Atlantik schieben könnten, um Auskünfte zu vermeiden xD
 
@Nunk-Junge: Es wurden nicht 11 mittelschwere Lücken gefunden, sondern es wurden 11 Codestellen kritisiert, und die höchste Einstufung war "mittelschwer". Soweit ich mich erinnere, waren nur 1, 2 oder 3 kritisierte Codestellen so hoch eingestuft, die anderen waren niedriger eingestuft und teilweise wurde sogar die Empfehlung gegeben, mit dem Risiko zu leben und den Code so zu lassen.
Überhaupt las sich das PDF nicht so, als müsse die gesamte Software umgebaut werden. Gerade die höher eingestuften Probleme können dem PDF zufolge mit geringem Aufwand behoben werden.
 
@TiKu: Stimmt, nur die schwersten der 11 Lücken waren als mittelschwer eingestuft. War vielleicht unsauber formuliert. Aber Fakt bleibt, dass die Lücken nicht geschlossen werden, dass wichtige Teile noch gar nicht reviewed wurden, dass Truecrypt nicht frei ist und der Code von den Entwicklern auch nicht freigegeben werden soll. Eine Weiterentwicklung ist daher unwahrscheinlich.
 
@Nunk-Junge: http://truecrypt.ch/
Truecrypt kann aber jederzeit geforkt werden, wieso sollte eine Weiterentwicklung unwahrscheinlich sein? Die gefundenen Lücken werden sicher in nächster Zeit gefixt.
 
@theBlizz: FALSCH!!! Schau Dir die Lizenz von Truecrypt an. Zwar wird der Source-Code mitgeliefert, aber trotzdem darfst Du nicht einfach einen Fork machen!
 
@Nunk-Junge: Was genau verbietet mir in der 3.0er Lizenz einen Fork? Außerdem wo kein Kläger... Die Wahrscheinlichkeit von den Truecrypt-Entwicklern verklagt zu werden ist wohl gleich 0, vor allem nach der Aktion. Ein Beispiel für einen funktionierenden Fork wäre Veracrypt.
 
Wer auch immer das Repo erstellt hat, hat keine Ahnung von Github. Die Option selbst finde ich klasse :)
 
Leider ist die Methode, "hashes" von download Dateien auf einer Homepage zu veröffentlichen in meinen Augen ziemlich sinnlos. Es wäre für einen "man in the middle" oder einem einfachen Java garkein problem den Inhalt einer Seite on the fly zu injecten. Sprich der originale Hash wird einfach ausgetauscht, gegen den neu generierten einer kompromitierten Truecrypt Version.
 
@DOMin8or: Ich glaube in Java wär das schon schwierig ;)
 
@Knerd: schwierig heißt nicht unmöglich. in php benutze ich dafür einen ereg_replace(). in java ist so etwas sicher auch möglich. es gab damals für den firefox ein plugin (grease monkey? oder fire bug?), mit dem man jegliche webseite ohne probleme, on the fly, injecten konnte. eine man in the middle attacke ist sicher auch nicht einfach. aber machbar. siehe ssl news, nach dem heartbleed bug. :-)
 
@DOMin8or: Das geht mit Java nur, wenn die Java Runtime auf dem Rechner installiert ist, das Applet vom Nutzer selbst gestartet und Berechtigungen erteilt werden. Das ist in Java so gut wie unmöglich ;)
 
@DOMin8or: Weder Grease Monkey noch Firebug können Java.
 
@Knerd: aber sie können textinhalte on the fly austauschen. zumindest habe ich das mal mit irgend einem tool gemacht. wie auch immer es gemacht wird, es wird gemacht. nicht umsonst kommen für java alle paar tage sicherheitsupdates raus. vor ein paar jahren las ich einen artikel darüber wie das BKA im notfall rechner von verbrechern infiziert. das lief im prinzip so ab wie beschrieben. da ich kein hacker bin, kenne ich die exakten details nicht. noch ein zitat zu firebug: then Firebug is for you. Firebug allows you to modify the content of a page (HTML or Javascript) on the fly. (in welcher sprache mag firebug wohl geschrieben sein? java? ^^)
 
@DOMin8or: Ich würde vermuten JavaScript :) Ich kann firebug ohne jre oder jdk installieren und nutzen ;)

Der Link ist klasse: http://stackoverflow.com/questions/245062/whats-the-difference-between-javascript-and-java/245073#245073
 
@DOMin8or: Wo soll man sie sonst anbieten? Wenn eine Webseite gehackt wurde, ist es eh wurscht, weil man dann alles unterjubeln kann.
 
es geht nicht um gehackte seiten. es geht darum das z.b. dein internetprovider bei nicht verschlüsselter verbindung einfach das download file austauscht und den textinhalt des hashtags im http stream on the fly replaced. oder ein script, welches in einer toolbar versteckt ist... das wartet den ganzen tag nur darauf das jemand truecrypt lädt. in dem fall wird der hashtag gefaked und das file wird von woanders geladen, oder mit einem 4kb kleinen trojaner gemerged. ein anderes szenario könnte stattfinden wenn jemand deinen router gehackt hat. dann kann jeglicher datentransfer über seinen rechner geleitet werden und er kann den stream injecten. man munkelt das router auch so viele hintertüren direkt ab werk haben... ^^ kurz erwähnt: Port 32764 und da gibts noch ein paar andere z.B. univeralpasswörter, versteckte links zu adminoberflächen und und und
 
@DOMin8or: Die Hacker warten dann monatelang vor meiner Tür bis ich endlich Truecrypt herunterlade, damit sie die Dateien austauschen können oder was? Wieso sollte ein Plugin, dass einfach mal Dateien von mir bearbeiten kann darauf warten, dass ich Truecrypt herunterlade? Das kann sich dann ja in jede .exe injecten... Wenn der Internetprovider das regelmäßig macht wird das auch bemerkt werden und wenn sowas rauskommt wird wohl der ein oder andere Kunde sich einen anderen Provider suchen.
 
und?... wurden sie auch schon von der NSA unterwandert bzw. haben einen NSL erhalten, so das sie die Bevölkerung schön in dem Glauben lassen sollen? Ich meine kann doch sein!
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte