TrueCrypt - uti nsa im cu si

Hi,

wollt mal wissen was ihr von der Information haltet, dass angeblich in der TrueCrypt Termination Nachricht eine "geheime" Nachricht steckt.

Backstory:
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues.

"uti nsa im cu si" - gibt an sich aus dem Lateinischem übersetzt keinen Sinn, Google übersetzt es jedoch (fälschlicherweise) zu "If I wish to use the NSA" ([Only registered and activated users can see links. Click Here To Register...]).

Anzunehmen ist also, dass die Einstellung der TrueCrypt-Entwicklungen keineswegs freiwillig oder wegen zu hohem Aufwand war, sondern dass dies sehrwohl durch die NSA getrieben war. Speziell bezüglich diesem Vorwurf ist auch "verdächtig", dass gebeten wird von der opensource Software TrueCrypt zu einer closedsource Software BitLocker zu wechseln. In opensource Software Backdoors zu verstecken ist recht schwierig, da ist es noch wahrscheinlicher, dass - sofern eine Schwachstelle vorliegt - tatsächlich der Algorithmus geknackt wurde (um auf "unfixed" security issues hinzuweisen). Was haltet ihr davon?

Ab davon: Sind bereits irgendwelche sinnvollen Alternativen bekannt? :o

übrigens fühlts sich verdammt komisch an, als nicht-mod in meiner ehemaligen Sektion zu posten :(

Quote:

Originally Posted by Che In opensource Software Backdoors zu verstecken ist recht schwierig, da ist es noch wahrscheinlicher, dass - sofern eine Schwachstelle vorliegt - tatsächlich der Algorithmus geknackt wurde (um auf "unfixed" security issues hinzuweisen). Was haltet ihr davon?

Heartbleedbug, muss ich mehr zu open source sagen? Nur weil <theoretisch> viele Augen den Code prüfen können heißt das nicht das dieser sicherer ist als closed source, man geht nur fälschlicherweise davon aus das dem so ist.

Abgesehen davon das man als Windowsnutzer ohnehin M$ vertraut (vertrauen muss), also kann man auch Bitlocker nutzen.

Ich persönlich werde dennoch bei TC bleiben - zumindest solange bis ich einen Beweis dafür sehe das meine Daten nichtmehr sicher verschlüsselt sind - wobei meine Daten nun auch weniger relevant für die NSA und Co. sein dürften und ich TC eher nutze um neugierige Kollegen und Co. abzuhalten.

Quote:

Originally Posted by Kazaaa Ich persönlich werde dennoch bei TC bleiben

Selbiges - ich nutze noch die Version 7.1a, was meines Wissens nach die letzte ordentlich audited Version ist.

OpenSource ist natürlich nicht garantiert die sicherere Variante, aber auffällige Backdoors sind darin deutlich schwerer zu verstecken. Das ist denke ich klar ;o

---

Was mir übrigens gerade auffällt.. [Only registered and activated users can see links. Click Here To Register...] sowohl auf truecrypt.org als auch auf truecrypt.sourceforge.org schmeißt archive.org einen Zugriffsfehler.. wtf?!?

Darum würde wohl auch niemand auffällige Backdoors verstecken... dann könnt er sich das "verstecken" auch sparen.

Nehmen wir an die NSA steckt dahinter, dann wäre M$ und Co. wohl auch längst unterwandert ([Only registered and activated users can see links. Click Here To Register...]) und da TC nur schützt solange der Container verschlüsselt ist dann wären die Daten von vielen - wenn nicht sogar allen TC Nutzern mit Zugang zum Internet - ausgespäht, denn irgendwann muss man ja seinen Container entschlüsseln.

Ich glaube eher die Entwickler hatten keinen Bock mehr oder haben irgend ne gravierende Lücke gefunden und hatten keinen Bock diese zu fixen - oder gar ihr Algorithmus ist unsicher - w/e, haben dann ihre "Spuren" verwischt damit niemand auf die Idee kommt auf deren Projekt aufzubauen und wenn dann alles komplett neu machen muss und so wohl auch auf den Fehler stoßen müsste.

Da aber wohl niemand weis wer TC entwickelt hat (vielleicht die NSA?) werden wir die Wahrheit wohl nie erfahren - denn die Entwickler waren anonym und so könnte zum Beispiel Che oder ich einer der Entwickler sein.

Edit: Archive.org sollte gesperrt sein weil Robots.txt

Solange ihr nicht selber über den Code von TC schaut und es anschließend selber kompiliert, ist es nicht sicherer als die Closed-Source Varianten.

Wow ihr seit 1 Monat zu spät


Ja ich denke das die NSA dahinter steckt

Quote:

Originally Posted by Schlüsselbein Solange ihr nicht selber über den Code von TC schaut und es anschließend selber kompiliert, ist es nicht sicherer als die Closed-Source Varianten.

Doch. Zwar ist man nicht 100%ig sicher, aber sicherer auf jeden Fall.
Schon alleine weil es einen unglaublichen Shitstorm gäbe, wenn wer anders einen Backdoor finden würde.

Quote:

Schon alleine weil es einen unglaublichen Shitstorm gäbe, wenn wer anders einen Backdoor finden würde.

Den würde es immer geben, ob die Software Open Source ist oder nicht.
Was ich mit meinem Post oben sagen will: Man weiß nicht, ob die angebotene Binary wirklich dem Kompilat des zur verfügung gestellten Codes entspricht. Ergo ist es in dem Sinne nicht sicherer als das Closed Source Pendant.

Quote:

Originally Posted by Luckeys Wow ihr seit 1 Monat zu spät [Only registered and activated users can see links. Click Here To Register...] Ja ich denke das die NSA dahinter steckt

[Only registered and activated users can see links. Click Here To Register...]

Nur weil sempervideo das sagt

Für OS X habe ich FileVault, das für den Inhalt meines MacBooks mehr als ausreichend sein dürfte.
Für Windows habe ich bisher noch nichts, würde aber gerne im Zuge einer Neuinstallation auf eine Verschlüsselungssoftware setzen. Was benutze ich da jetzt, ist Bitlocker sicher? Sollte ich dennoch zu TrueCrypt greifen in der Hoffnung, dass die NSA nicht bei mir anklopft? Ich habe eine Samsung 840 Evo SSD und eine i5 4570 Intel CPU, mein OS ist momentan Windows 7.

Dass die Entwicklung von TrueCrypt eingestellt wurde, sollte Grund genug dafür sein, es nicht zu benutzen. Für eine Alternative solltest dich mal ein wenig im Netz umsehen, habe bei mir selber noch TrueCrypt am Laufen und bin bis jetzt nicht dazugekommen, zu einem anderen Programm zu wechseln.

Quote:

Originally Posted by Schlüsselbein Den würde es immer geben, ob die Software Open Source ist oder nicht. Was ich mit meinem Post oben sagen will: Man weiß nicht, ob die angebotene Binary wirklich dem Kompilat des zur verfügung gestellten Codes entspricht. Ergo ist es in dem Sinne nicht sicherer als das Closed Source Pendant.

Richtig, allerdings passiert das bei CS Projekten tendenziell seltener.

Auch ein Binary, das nicht zum Code passt, würde nicht all zu lange unentdeckt bleiben.
Wie auch immer, man kann den Code auch selbst kompilieren ohne ihn einmal vollständig überprüft zu haben.

Ganz nebenbei gehen ja harte Security Freaks auch gerade deshalb den OS Weg, weil sie da selbst kompilieren können ;O Ich kenne einige, die kaum eine nicht selbst kompilierte Software nutzen.

Quote:

Auch ein Binary, das nicht zum Code passt, würde nicht all zu lange unentdeckt bleiben.

Ganz so einfach ist das so wies aussieht doch nicht. Wie will man es denn wirklich vergleichen? Afaik wurde das aber wirklich mal für eine Version bestätigt, dass diese aus dem gegebenen Sourcecode kompiliert wurde (irgendwann im letzten Jahr). Jedenfalls scheint es aber nicht so trivial zu sein, wie es auf den ersten Blick aussieht. Bin auf dem Gebiet aber nicht bewandert genug, um darüber selber zu urteilen.

Versteh mich nicht falsch (hab ja selber noch TrueCrypt auf dem Notebook), aber ganz so astrein und unproblematisch steht es nicht um TrueCrypt. Dass es "Open Source" (nichtmal das trifft wohl richtig drauf zu, vgl. wiki) ist, erweckt halt schnell den Anschein einer viel höheren Sicherheit. Die kommt aber wirklich nur dann zum Tragen, wenn man selber Hand anlegt und kompiliert.
Ich rede jetzt einfach mal für die von dir genannten Security Freaks (die ich selbst auch zu genüge kenne :p), mir selber wäre das mit dem selber kompilieren zu Zeitaufwendig.

Quote:

Originally Posted by weirdo61 [Only registered and activated users can see links. Click Here To Register...] Nur weil sempervideo das sagt

Ich kenne die Seit und Seid Regel, nur war ich zum diesem Zeitpunkt schon 24 H wach und da lässt bekanntlich die Aufmerksamkeit nach.

Quote:

Originally Posted by snow911 Für OS X habe ich FileVault, das für den Inhalt meines MacBooks mehr als ausreichend sein dürfte. Für Windows habe ich bisher noch nichts, würde aber gerne im Zuge einer Neuinstallation auf eine Verschlüsselungssoftware setzen. Was benutze ich da jetzt, ist Bitlocker sicher? Sollte ich dennoch zu TrueCrypt greifen in der Hoffnung, dass die NSA nicht bei mir anklopft? Ich habe eine Samsung 840 Evo SSD und eine i5 4570 Intel CPU, mein OS ist momentan Windows 7.

Ich würde jetzt mal einfach TrueCrypt 7.1 a vertrauen da des aufjedenfall besser ist als Bitlocker selbst wenn es eine Schwachstelle hat. Und allgemein ist man als Windows-User immer der Angeschmierte, weil das Betriebsystem einfach unsicher ist. Dann lieber OS X, Linux oder Ubuntu, wenn man auf Sicherheit viel Wert legt.

Quote:

Originally Posted by Schlüsselbein Ganz so einfach ist das so wies aussieht doch nicht. Wie will man es denn wirklich vergleichen? Afaik wurde das aber wirklich mal für eine Version bestätigt, dass diese aus dem gegebenen Sourcecode kompiliert wurde (irgendwann im letzten Jahr). Jedenfalls scheint es aber nicht so trivial zu sein, wie es auf den ersten Blick aussieht. Bin auf dem Gebiet aber nicht bewandert genug, um darüber selber zu urteilen. Versteh mich nicht falsch (hab ja selber noch TrueCrypt auf dem Notebook), aber ganz so astrein und unproblematisch steht es nicht um TrueCrypt. Dass es "Open Source" (nichtmal das trifft wohl richtig drauf zu, vgl. wiki) ist, erweckt halt schnell den Anschein einer viel höheren Sicherheit. Die kommt aber wirklich nur dann zum Tragen, wenn man selber Hand anlegt und kompiliert. Ich rede jetzt einfach mal für die von dir genannten Security Freaks (die ich selbst auch zu genüge kenne :p), mir selber wäre das mit dem selber kompilieren zu Zeitaufwendig.

Genau dem würde ich aber widersprechen. Schon alleine die Möglichkeit es selbst zu kompilieren und damit die hohe Wahrscheinlichkeit, dass es zumindest andere tun, erhöht die Sicherheit imho schon, da eine zusätzliche Kontrollinstanz existiert.
Natürlich kann der auch etwas entgehen. Aber wie Kuh die Sicherheit mit der von CS Software gleichzusetzen halte ich dann doch für übertrieben.

Quote:

Originally Posted by Luckeys Ich kenne die Seit und Seid Regel, nur war ich zum diesem Zeitpunkt schon 24 H wach und da lässt bekanntlich die Aufmerksamkeit nach. Ich würde jetzt mal einfach TrueCrypt 7.1 a vertrauen da des aufjedenfall besser ist als Bitlocker selbst wenn es eine Schwachstelle hat. Und allgemein ist man als Windows-User immer der Angeschmierte, weil das Betriebsystem einfach unsicher ist. Dann lieber OS X, Linux oder Ubuntu, wenn man auf Sicherheit viel Wert legt.

Mein Windows ist nicht signifikant unsicherer als mein Debian.
(Nein, das widerspricht nicht obiger Aussage, weil beim Betriebssystem der Benutzer eine wesentliche Rolle spielt.)