TrueCrypt soll professionelles Security-Audit erhalten

Das Verschlüsselungs-Werkzeug TrueCrypt ist seit vielen Jahren eines der beliebtesten Tools bei sicherheitsbewussten Anwendern - doch bisher hat noch niemand umfassend überprüft, ob das Vertrauen gerechtfertigt ist. Das soll sich nun ändern. mehr...

Verschlüsselung, Kryptographie, Truecrypt

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++21 --

Längst überfällig. Finde das sehr begrüßenswert!

[o2] am ++--1

"Weiterhin will man ein sicheres Build-Verfahren implementieren, wie es beispielsweise auch beim Anonymisierungs-Netz Tor zum Einsatz kommt." - Wie bauen die denn? Wäre mal interessant zu wissen. Ich hätte jetzt gehofft, dass sie einfach einen sehr gut abgeschotteten Build-Server nutzen.

[re:1] am ++--1

@HeadCrash: Es geht nicht um die Build-Server an sich. Es geht darum, dass die Builds auf allen Plattformen exakt das gleiche Produzieren. Also wirklich bis aufs letzte Bit. Dadurch wird eine Checksummenprüfung wesentlich einfacher. Da jeder es zuhause selbst checken kann ohne Plattform, Architektur, ... Unterscheide zu haben. So etwas nennt sich "Deterministic Builds".

Bearbeitet am 17.10.13 um 16:10 Uhr.

[re:1] am ++--1

@Sam Fisher: Jeder Build sollte deterministisch sein, sonst hat man im Build was falsch gemacht :) Ich war nur interessiert an dem, was Tor da macht. Ich persönlich wage ja zu bezweifeln, dass man das mit der von Dir beschriebenen Binärkompatibilität auf allen Plattformen und Architekturen nicht hinbekommt. Sonst könnte ja nicht mehr auf eine Plattform optimiert werden.

[re:1] am ++1 --

@HeadCrash: https://blog.torproject.org/blog/deterministic-builds-part-two-technical-details

[re:1] am ++--

@pansensen: Danke für den Link. Liest sich sehr interessant und bestätigt zumindest mal meine Aussage zur exakten Gleichheit der Binaries bezogen auf unterschiedliche Architekturen/Plattformen. Dass sie hier "so" deterministisch sein wollen, dass sie tatsächlich z.B. Zeitstempel Fakten, war mir nicht bewusst. Ich meinte mit meiner Aussage, dass jeder gute Buildprozess tatsächlich die immer selben Schritte durchlaufen und bei gleicher Eingabe die "gleiche" Ausgabe ergeben muss (abgesehen von Zeitstempeln, die ein Compiler nun mal in ein Binary injiziert). Das ist das, was in dem Artikel als "reproduzierbarer Build" bezeichnet wird. In meinen Augen ist aber ein nicht reproduzierbarer Build gar kein Build.

[o3] am ++6 --

Ist halt jetzt die Frage, was passiert, wenn die Firma, die das für 25.000 Dollar überprüfen soll, einen Brief von der NSA (oder dem zuständigen Geheimdienst) und oben drauf nochmal ordentlich Knete bekommt.

[re:1] am ++--1

@gutenmorgen1: Also eigentlich willst du damit sagen, dass jeder mensch bestechlich ist und ein unternehmen welches Security Audits macht nichts bringt. Wofuer hab ich eigentlich nen abschluss gemacht. Kann ja jeder kommen und sich einfach einen kaufen

[re:1] am ++1 --

@-adrian-: Nein, das wollte ich damit nicht sagen. Aber jeder Mensch vermeidet gerne den Knast (Stichwort: "Brief von der NSA"). Warum haben wohl Google, MS, Apple, Yahoo ect. so "liebend gerne" bei der ganzen Sache mitgemacht?

[re:2] am ++--1

@gutenmorgen1: Was sollen sie denn machen? Wenn sie feststellen, dass TrueCrypt sauber ist, die Entwickler darum bitten Sicherheitslücken einzubauen?

[re:1] am ++--

@Ulti: Bei meiner Frage gehe ich davon aus, dass es bereits eine Hintertür in Truecrypt gibt, die durch die Security-Firma nicht entdeckt werden soll.

[re:2] am ++--2

@gutenmorgen1: Halte ich doch für etwas abwegig. Auch die NSA kann nicht einfach so jedermann dazu zwingen in ihrem Interesse zu handeln oder sie anonsten einsperren zu lassen. Außerdem würden die Leute hier wohl eher ihr Vorhaben mit dem Security-Audit aufgeben, statt mit der NSA zu kooperieren.

[re:1] am ++1 --

@Ulti: Leider hat gutenmorgen1 hier definitiv recht. Es ist mehrfach vorgekommen, dass Firmen Eingriffe durch Geheimdienste zulassen mussten und nicht darüber sprechen durften. Dagegen klagen einige Firmen wie Yahoo, Microsoft und Google. Grundlage dafür ist ein Geheimgericht (FISC), dessen Verfahren geheim und dessen Urteile geheim sind. Das bedeutet, dass niemand darüber sprechen darf, dass es überhaupt so etwas gab. Bei Verstoß riskiert man Gefängnis. Siehe als Beispiel die Artikel zu Lavabit. Ob jetzt die NSA jemanden zwingen kann Lücken einzubauen, kann ich nicht beurteilen. Aber jemanden zwingen über Lücken zu schweigen, kann sie definitiv. Gefährdet ja die nationale Sicherheit. (Totschlagargument gegen alles). Außerdem hat die NSA selber in vielen Projekten Code beigesteuert. Beispiel: Selinux, welches Du in den üblichen Linux-Distributionen und auch Android findest. Das heißt aber natürlich nicht, dass da jetzt Hintertüren sein müssen...aber wenn, dann schweigen wir darüber. Und, ob in anderen Systemen wie OSX oder Windows Hintertüren der NSA sind, da scheigen wir auch drüber. Müssen wir.

[re:2] am ++--

@Nunk-Junge: "Siehe als Beispiel die Artikel zu Lavabit." Lavabit hat aber den Service eingestellt und offen darüber gesprochen, statt sich zu beugen und es stillschweigend hinzunehmen. Und die gleiche Option haben andere genauso. Dass man eine Firma, die in den USA ansässig ist, dazu zwingen kann zu kooperieren, ist logisch, aber wie will die NSA bitte unabhängige und internationale Entwickler zu etwas zwingen?

[re:3] am ++--

@Tr1mb: Lavabit hat seinen Dienst eingestellt. Aber sie haben über die Gründe nicht gesprochen. Sie haben nur gesagt, dass sie nicht darüber sprechen dürfen. Selbstverständlich steht es jedem frei, seine Firma einzustampfen, aber glaubst Du das ist im Falle Google oder Microsoft realistisch?

[re:4] am ++--

@Nunk-Junge: Um Google und Microsoft geht es doch auch gar nicht, sondern um einen Security-Audit und die Entwickler von Truecrypt.

[re:5] am ++--

@Zimbo: Glaubst Du, dass die Audit-Firma oder Truecrypt ihren Laden dicht machen, wenn sie nicht über gefundene Lücken berichten dürfen?

[re:6] am ++--

@Nunk-Junge: Der Audit ist aber keine Firma, sondern ein Projekt von Privatleuten mit dem Ziel TrueCrypt auf die Sicherheit hin zu überprüfen. Wenn die NSA sich einmischt, würde dieser Audit keinen Sinn mehr machen und in so einem Fall wohl eher verworfen werden. Die TrueCrypt Foundation entwickelt im Gegensatz zu Micorosft kostenlose Software und bezieht ihre Mittel lediglich aus Spenden, um die Entwicklung zu finanzieren. Beide Gruppen sind mit ihren Projekten (im Vergleich zu Microsoft und Co) also nicht auf wirtschaftlichen Erfolg aus und hätten deshalb auch kein Problem damit ihre Arbeit jederzeit einzustellen, wenn diese nicht mehr ihren Idealen entsprechen würde.

Bearbeitet am 18.10.13 um 11:01 Uhr.

[re:7] am ++--

@Tripot: Ein richtiges Audit kannst Du aber nicht von irgendwelchen Privatleuten durchführen lassen. Gute Programmierer zu finden ist schon extrem schwer, aber selbst davon dürften die wenigsten in der Lage sein ein professionelles Audit durchzuführen. Dazu brauchst Du Experten. Und diesen kann natürlich die NSA einen Maulkorb verpassen. Und ob diese Experten oder TrueCrypt selbst kein Problem damit hätten ihre Arbeit auf den Müll zu werfen, das kannst Du wohl keinesfalls beurteilen.

[re:8] am ++--

@Nunk-Junge: Wenn diese Arbeit aber darin besteht, festzustellen, wie sicher eine TrueCrypt-Verschlüsselung im Hinblick auf Geheimdienste ist, aber dann genau diese vorschreiben würden, dass die Leute vom Audit genau das Gegenteil machen sollen, worin liegt dann noch genau der Sinn ihrer Arbeit?? Dann kann man es auch gleich bleiben lassen. Und da der Audit von Spenden finanziert wird, hätten die Leute doch eh nichts verloren, wenn sie das Projekt dann einfach wieder aufgeben und ggf. sogar das Geld zurückgeben. Wer würde denn bitte weiter arbeiten, wenn der Sinn der eigenen Arbeit genau ins Gegenteil verkehrt wurde? Doch wohl nur ein skrupelloser Schwachkopf oder?

[re:3] am ++1 --

@gutenmorgen1: Google ist Dein Freund und Unwissen ist nicht so tragisch, dafür sind wir ja da ;-)

https://de.wikipedia.org/wiki/TrueCrypt
und
https://de.wikipedia.org/wiki/TrueCrypt#Lizenz

Bearbeitet am 17.10.13 um 14:43 Uhr.

[re:3] am ++--

@gutenmorgen1: kurz: Es gibt nichts, was man nicht verhandeln hast. Aber muss man jetzt so paranoid und misstrauisch jedem gegenüber sein?

[re:1] am ++--

@s3m1h-44: Aber er hat doch recht. Was weißt du über die, die das Audit vornehmen wollen? Nichts. Ist insofern schon irgendwo blindes Vertrauen erstmal, außer man kennt die die hinter dem Projekt stehen persönlich oder so.

[re:4] am ++--

@gutenmorgen1: Ja, ist nun die Frage, wer das untersucht. Also ich würde das ja an einen Informatik-Lehrstuhl geben.

[re:5] am ++--

@gutenmorgen1: dann bezahlt man halt die russen dafür die werdne sich von der NSA nicht viel sagen lassen :P

[o4] am ++1 --1

MS Visual Studio könnte beim kompilieren auch einen Keylogger mit rein kompilieren und die abgefangenen Passwörter dann in die MS Cloud schicken. Würde man das merken?

[re:1] am ++--1

@Marathon: Jap würde man merken, denn CIL (früher MSIL) ist offen Dokumentiert (http://www.ecma-international.org/publications/files/ECMA-ST/ECMA-335.pdf) (so funktioniert auch z.b. Mono) und kann nach dem kompilieren mit Tools wie ILSpy noch angesehen werden. So etwas offensichtliches baut niemand ein!

[re:1] am ++--1

@wischi: Ist nur blöd, dass TrueCrypt nicht auf dem .NET-Framework aufsetzt und somit mit CIL bzw. MSIL rein gar nichts zu tun hat.

[re:1] am ++--

@TiKu: Das hat weder Marathon noch ich behauptet

[re:1] am ++--

@wischi: Naja, hier geht es um TrueCrypt, da darf man eure Aussagen wohl mit dieser Software in Verbindung bringen, oder? Davon abgesehen kann man mit Visual Studio auch native Software entwickeln, d.h. deine Aussage, dass man einen automatisch einkompilierten Keylogger in jedem Fall aufgrund der CIL merken würde, ist falsch.

[o5] am ++--

hmm und was soll dabei rauskommen? Eine Hintertür hat es doch nun (hoffentlich) nicht, oder? Soll also heißen weder die deutsche Polizei, noch das FBI, noch die NSA können einen ordentliches verschlüsseltes Truecryptvolume knacken? oder?