truecrypt kaputt?!

[bigvic]

Haben die Amis jetzt ernsthaft Truecrypt kaputt gemacht? Nee oder!?

Warnung auf offizieller Seite: "Truecrypt ist nicht sicher" | heise online

Also als Firma würde ich wenn moeglich keine US Software einsetzen ...

Bearbeitet 29. Mai 2014 von bigvic

[Thanks-and-Goodbye]

Nichts genaues weiss man nicht, die Gerüchte gehen zur Zeit in Richtung "Fall Lavabit".

Aber solange nichts genaues bekannt ist kann man nur spekulieren.

BTW: Golem.de hat die letzte vollfunktionsfähige Programmversion gesichert und stellt sie zur Verfügung.

http://www.golem.de/news/verschluesselung-raetsel-um-das-ende-von-truecrypt-1405-106812.html

[SilentDemise]

Das sieht eher aus wie ein hack - die 7.2 hat auch die signatur der 7.1

[Thanks-and-Goodbye]

http://www.zeit.de/digital/datenschutz/2014-05/truecrypt-sicherheit-datenschutz/komplettansicht

Auch die heutigen Informationen lassen vieles im Unklaren... vor allem stellt sich mir die Frage, wie ein Nutzer einen "kleinen" Win7 Version Bitlocker nutzen soll... Bitlocker geht nur unter Ultimate oder Enterprise.

[SilentDemise]

WEr nicht genau weiß was er tut, sollte auch die Finger von Bitlocker lassen. Ist eine nicht ganz unproblematische Technologie.

[Guybrush Threepwood]

Hmm das ist ja sehr suspekt :\

Wie gut das ich noch ne Uralt Version 7.1a von Anfang 2012 hab, aber obs das wirklich besser macht?

[pr0gg3r]

Auch die heutigen Informationen lassen vieles im Unklaren... vor allem stellt sich mir die Frage, wie ein Nutzer einen "kleinen" Win7 Version Bitlocker nutzen soll... Bitlocker geht nur unter Ultimate oder Enterprise.

Es ist doch auch eine Vertrauensfrage... Ich fühle mich nicht gut dabei, Bitlocker das selbe Vertrauen entgegen zu bringen wie TC (bisher).

B2T:

Sehr suspektes Thema mit vielen Verschwörungstheorien... Bleibt wohl nichts anderes übrig, als abzuwarten ob man von offizieller Stelle noch etwas hört. Und selbst wenn, dann ob das glaubwürdig ist. Ich bilde mir zumindest erst einmal keine Meinung, da einfach zu wenig Fakten vorliegen.

[Crash2001]

Scheint wohl so, als ob sie das Projekt einstampfen würden. Ob sich jemand findet, der es evtl als Open Source weiterführt mit den Verbindlichkeiten, oder ob vielleicht ein neues Projekt dafür in die Wege geleitet wird... wer weiß das schon.

Es wurden jedenfalls anscheinend bisher keine Backdoors für NSA und Konsorten gefunden, sondern nur ein par kleinere Bugs / Programmierfehler.

[SilentDemise]

Scheint wohl so, als ob sie das Projekt einstampfen würden. Ob sich jemand findet, der es evtl als Open Source weiterführt mit den Verbindlichkeiten, oder ob vielleicht ein neues Projekt dafür in die Wege geleitet wird... wer weiß das schon.

Es wurden jedenfalls anscheinend bisher keine Backdoors für NSA und Konsorten gefunden, sondern nur ein par kleinere Bugs / Programmierfehler.

Das mit dem weiterführen ist nicht so einfach, da truecrypt kein Open Source ist, es müsste also erst jemand die Urheber finden bzw. die müssten das Projekt freigeben.

[bigvic]

Ich halte 2 Möglichkeiten für am Wahrscheinlichsten ...

1) NSL oder ähnliches

2) übler Bug der im ersten Audit noch nicht aufgefallen ist und ggf. bald raus kommt und nicht ohne Riesenaufwand zu fixen ist.

Was gegen alles ausser 1) spricht ist die Art und Weise und die komplett absurde Empfehlung auf bitlocker.

Seit Lavabit und Snowden (der auch auf truecrypt gesetzt hat) muss der erste Gedanke sein, dass die USA damit zu haben ...

If my experience serves any purpose, it is to illustrate what most already know: our courts must not be allowed to consider matters of great importance in secret, lest we find ourselves summarily deprived of meaningful due process. If we allow our government to continue operating in secret, it is only a matter of time before you or a loved one find yourself in a position like I was – standing in a secret courtroom, alone, and without any of the unalienable rights that are supposed to protect us from an abuse of the state’s authority.

[pr0gg3r]

Seit Lavabit und Snowden (der auch auf truecrypt gesetzt hat) muss der erste Gedanke sein, dass die USA damit zu haben ...

Das liegt zwar nahe, ist aber leider nicht belegbar. Tatsache ist, dass TC 7.2 gültig signiert ist. Wer, wie und weshalb das gemacht wurde, kann man leider nicht sagen. Den Amis ist aber alles zuzutrauen. Aber es gibt auch Gerüchte, dass osteuropäische Geheimdienste hinter TC stecken...

[Guybrush Threepwood]

Truecrypt ist unsicher - und jetzt? | heise Security

[bigvic]

Das liegt zwar nahe, ist aber leider nicht belegbar.

Der Sinn und Zweck eines NSL ist ja das es nicht belegbar ist

Ich bleib jetzt auch erstmal bei TC für meine Verschlüsselung und warte ab.

Aber es dauert leider Jahre bis jemand wieder so etwas als open source entwickelt und etabliert hat

Bearbeitet 2. Juni 2014 von bigvic

[Guybrush Threepwood]

Die Frage ist doch auch was man überhaupt damit erreichen will. Mir geht es zum Beispiel darum das wenn jemand mein Notebook oder eine USB Festplatte klaut, er nicht an die Daten rankommt. Aber ich hab zum Beispiel meinen Heim PC nicht verschlüsselt weil ich darin keinen wirklichen Nutzen sehe.

Dafür habe ich True Crypt verwendet und in der ganzen Zeit nie Grund gehabt daran zu zweifeln, auch wenn ich nicht wirklich beurteilen kann wie sicher das ist. Wie oben schon geschrieben nutze ich dafür eine alte Version von Anfang 2012 und manche Container sind wahrscheinlich noch älter.

Ich denke mal das ich mein Ziel damit erreichen kann ohne mir jetzt plötzlich große Sorgen machen zu müssen.

Wenn aber jemand damit verhindern will das irgendwelche Geheimdienste die (warum auch immer) an seine Daten kommen wollen dann hat er sich imho da auch vorher schon was vor gemacht. Denn wenn die wirklich Interesse daran hätten an solche Daten von jemanden zu kommen hätte der ganz andere Probleme als ob TC 100% sicher ist.

EDIT: Wobei was anderes wäre es jetzt wieder für Leute die ihre privaten Daten auf Onlinespeichern in einem True Crypt Container abgelegt haben, in der Hoffnung das so ja niemand anderes an sie ran kommt. Da könnte ich mir wiederum schon eher vorstellen das das Thema eine Rolle spielt.

[bigvic]

Also ich will meine Daten vor jeglichem Zugriff schützen. Ob das nun der Diebstahl des Laptops oder der Zugriff der Staatsmacht ist.

Das ein Geheimdienst meine Daten abschnorchelt glaub ich zwar auch nicht, aber das ein Durchsuchungsbeschluss durchgeführt wird wegen einer vermeintlichen Beleidigung, vermeintlichen Urheberrechtsverletzung, vermeintlicher <you name it> und all deine elektronischen Medien mitgenommen werden ist inzwischen schlicht Alltag in Deutschland (einfach mal googlen).

Bearbeitet 2. Juni 2014 von bigvic

[Guybrush Threepwood]

Naja sagen wirs mal so wenn du in einem Fall wie dem Verlinkten wo die Polizei dann nur wieder mit den entsprechenden Daten abgerückt sind, die Rechner verschlüsselt hättest, hätten sie wahrscheinlich die ganze Kiste(n) mitgenommen und ich wär mir nicht sicher ob du die dann nochmal wieder siehst.

[bigvic]

Naja sagen wirs mal so wenn du in einem Fall wie dem Verlinkten wo die Polizei dann nur wieder mit den entsprechenden Daten abgerückt sind, die Rechner verschlüsselt hättest, hätten sie wahrscheinlich die ganze Kiste(n) mitgenommen und ich wär mir nicht sicher ob du die dann nochmal wieder siehst.

Ich denke man sieht die Kisten wenn überhaupt erst nach Jahren wieder. Aber manchmal will man lieber einen Datenverlust als das die Daten jemand Drittes bekommt. Ausserdem hat man ja heutzutage sowieso ein externes Backup - dann ist nur die Hardware weg

[pr0gg3r]

Ich denk mal, wenn man nicht gerade kriminell tätig ist, wird die Polizei wohl eher nicht kommen. Dennoch hat man natürlich das Recht darauf, seine Daten zu verschlüsseln und wenns nur die Urlaubsbilder sind. Ich verschlüssel zB alles, bevor es in die Cloud kommt. Und das auch nicht, weil das irgendwas illegales sein sollte, sondern nur, weil ich nicht möchte, dass zB Fotos gescannt werden. Was sonst lokal aufm Rechner ist, habe ich nicht zu verstecken und ich sowieso nicht davon ausgehe, dass die Polizei mit einem Durchsuchungsbefehl vor der Tür steht (warum auch).

Aber ist ja eigentlich auch egal, wenn wirklich eine Staatliche Organisation der Amis oder sonst wem hinter dem Aus steckt, dann heißt es doch, dass TC recht sicher ist und sie "Angst" davor haben Ich finde es dennoch extrem schwach von den Entwicklern, sich einfach so ohne Statement von der Bühne zu verdrücken. So viele "Kunden" vertrauen darauf und haben eine bessere Behandlung verdient. Auf der anderen Seite haben die Entwickler bereits Erhebliches geleistet, wofür ich nach wie vor dankbar bin.

[SilentDemise]

Ich finde es dennoch extrem schwach von den Entwicklern, sich einfach so ohne Statement von der Bühne zu verdrücken.

Das ist leicht gesagt, die Frage ist, wo sich die Entwickler aufhalten. Sollten es Amerikaner sein, wäre ein NSL naheliegend und dann ist nunmal nichts mit Statement.

[Crush]

Ich habe schon selber mir eine spezielle Truecrypt Version gebaut und dabei auch ausgiebig den Sourcecode angeschaut. Insbesondere habe ich nach versteckten Backdoors geschaut, bzw. ob das Passwort irgendwo mit gespeichert oder anderweitig durch die Gegend "gefunkt" wird und nichts Verdächtiges gefunden. Ich glaube bisher ist Truecrypt die sicherste Verschlüsselungssoftware (jedenfalls mit Twofish, Whirlpool und am besten kaskadierend noch Serpent in versteckten Containern anstatt den anderen "Standard"-Algorithmen) und da hat einfach jemand aus persönlichem Interesse mit entsprechendem Druck nach geholfen, damit das Projekt eingestellt wird.

Bearbeitet 15. Juni 2014 von Crush