Seite 1 von 2

TrueCryptokalypse

Verfasst: 29. Mai 2014, 17:02
von adleritey
Hallo,
wie viele von euch mitbekommen haben, begann heute die TrueCryptokalypse

Webseite hat geschrieben:WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
This page exists only to help migrate existing data encrypted by TrueCrypt.
The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms (click here for more information). You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.
Nach http://security.stackexchange.com/quest ... p-using-it ist noch alles offen, aber es deutet wenig auf einen Angriff von außen hin.

Ich habe einen interessante These, dass sie vor Erreichen der Phase 2 des Audits (=Kryptoanalyse) die Notbremse gezogen haben, gelesen


Ansonsten finden sich auch im Heiseforum interessante Dinge, wie
Interessant sind vielleicht noch auf Vorgänge im englischen Teil von Wikipedia.
Im dortigen TrueCrypt-Artikel hat kurz nach dem Upload von 7.2 und der "umstellung" der Seite ein User namens TrueCrypt-End versucht große Teile des Artikels umzuschreiben und groß das ende von TrueCrypt zu verkünden.

Re: TrueCryptokalypse

Verfasst: 29. Mai 2014, 17:35
von Bwana Honolulu
Toll. -.- Ich mochte an TrueCrypt immer diesen Ansatz der Plausible Deniability und der Plattformunabhängigkeit, so was kannst'e mit den meisten anderen Lösungen ja vergessen. Und dann ausgerechnet BitLocker als Entschuldigung.

Re: TrueCryptokalypse

Verfasst: 30. Mai 2014, 00:51
von adleritey

Re: TrueCryptokalypse

Verfasst: 30. Mai 2014, 01:06
von adleritey
nochwas paranoiaöl
It is obvious that this unknown dev team is a NSA dev team and they decided to cut off the project because the audit would eventually find out that TrueCrypt had secret backdoors and eventough there was a lot of code obfuscation to make it difficult for an audit to discover, a continuous audit would eventually uncover the truth.
That's the most plausible theory I've heard so far. As another poster mentioned in the prior thread, Snowden used Lavabit and Lavabit went kaboom, then Snowden recommended TrueCrypt (just a few weeks ago in fact, though he's been promoting TrueCrypt for years now - even hosting a party at which he taught people how to use TrueCrypt)... and now this. It's mighty suspicious. Could have been NSA itself, or one or more of the other state security services who have fewer restrictions on simply abducting and even torturing people.
fazit:
Basically, they moved out in the middle of the night. If this was a brick and mortar business, it would be highly suspect and signs of a con. That's where the theories come in.

Re: TrueCryptokalypse

Verfasst: 30. Mai 2014, 08:44
von Bwana Honolulu
Was ist mit dem pastebin von letzter Nacht?

Re: TrueCryptokalypse

Verfasst: 30. Mai 2014, 09:13
von Bwana Honolulu
Hier ist übrigens ein Artikel von Golem.de, wo sie am Ende Links zum Herunterladen der alten 7.1a-Version anbieten, die zugunsten der 7.2-Version von der TrueCrypt-Website verschwunden ist.

Re: TrueCryptokalypse

Verfasst: 31. Mai 2014, 12:40
von adleritey

Re: TrueCryptokalypse

Verfasst: 18. Juni 2014, 01:00
von Bwana Honolulu
Golem.de hat geschrieben: Festplattenverschlüsselung
Truecrypt-Nachfolger aus Deutschland

Unter dem Namen Trusteddisk will das deutsche Unternehmen Sirrix seine Variante der Festplattenverschlüsselung Truecrypt als Open-Source-Version veröffentlichen - trotz der unklaren Lizenzlage.

Das deutsche IT-Unternehmen Sirrix will seine bislang als Closed-Source-Software zur Verfügung stehende Trusteddisk auch als quelloffene Variante veröffentlichen. Zunächst soll es eine Windows-Version geben, später auch eine für Linux. Erst soll aber rechtlich geprüft werden, welche Teile der Software aus lizenzrechtlichen Gründen möglicherweise noch umgeschrieben werden müssten.

Sirrix bietet seit geraumer Zeit mit Trusteddisk eine kommerzielle Festplattenverschlüsselung an, die zumindest in Teilen auf Truecrypt basiert. Das Unternehmen hatte vor drei Jahren zusammen mit der Firma Escrypt das BSI mit einer Überprüfung des Quellcodes von Truecrypt beauftragt.

Teils umgeschrieben und erweitert

Die aus dem Audit gewonnenen Erkenntnisse seien in die Entwicklung seiner Software Trusteddisk eingeflossen, sagte Sirrix-Chef Ammar Alkassar Heise. Sirrix habe daraufhin einige Truecrypt-Komponenten umgeschrieben und nach eigenen Angaben verbessert, darunter den Bootloader, die Zufallszahlenerzeugung (Random Number Generator, RNG) sowie den Schutz der Schlüssel selbst. Die Software bestehe aus selbstentwickelten Komponenten und verändertem Code von Truecrypt.

Sirrix' Trusteddisk wurde nur als kommerzielle Variante angeboten, da die Truecrypt-Lizenz nie als Open-Source-Lizenz vom Open Source Institute OSI anerkannt wurde, obwohl der Quellcode zur Verfügung stand. Das Unternehmen will mit Trusteddisk Enterprise weiterhin eine kostenpflichtige Version der Festplattenverschlüsselung mit erweitertem Funktionsumfang anbieten.

Quelloffene Variante

Die geplante quelloffene Version soll unter dem Namen Trusteddisk OSS erscheinen, dessen Quellcode dann unter einer anerkannten Open-Source-Lizenz stehen soll. Zunächst wird aber noch geprüft, welche Teile der Software dafür noch umgeschrieben werden müssten.

Völlig überraschend hatten die Truecrypt-Entwickler das Projekt vor wenigen Wochen eingestampft und die Lizenzbestimmungen dabei nur geringfügig verändert. Außerdem soll ein mutmaßlicher Truecrypt-Entwickler davor gewarnt haben, den Quellcode der Software für weitere Projekte zu nutzen, da nur die Truecrypt-Entwickler ihn verstünden.

Zweiter Audit läuft wie geplant

Der Kryptoexperte Matthew Green, der im vergangenen Jahr Geld für eine unabhängige Untersuchung des Truecrypt-Quellcodes gesammelte hatte, hat bereits bekanntgegeben, dass der zweite Teil des Audits trotzdem stattfinden wird. Die erste Überprüfung hatte keine Unregelmäßigkeiten ergeben. Green hatte gemahnt, einen möglichen Fork der Software erst nach der zweiten Überprüfung zu erwägen.

Green hatte mit dem gesammelten Geld unter anderem das Open Crypto Audit Project (OCAP) gegründet, das sich um die Überprüfung des Quellcodes kümmert. OCAP hat vor wenigen Tagen ein Repository auf Github eingerichtet, in dem sowohl der Quellcode als auch signierte Binärversionen von Truecrypt zur Verfügung stehen.

Re: TrueCryptokalypse

Verfasst: 18. Juni 2014, 14:32
von Bwana Honolulu
heise security hat geschrieben:TrueCrypt-Entwickler verweigert Lizenz-Umstellung

In einer E-Mail lehnt ein Entwickler eine neue TrueCrypt-Version unter einer offeneren Lizenz rundweg ab. Statt dessen plädiert er für einen kompletten Neuanfang.

"Das ist nicht möglich" beschied einer der TrueCrypt-Entwickler die Anfrage um Erlaubnis, den Code unter eine der akzeptierten Open-Source-Lizenzen zu stellen und damit eine geregelte Nachfolge zu ermöglichen. Lediglich gegen eine Nutzung als Referenz für eine Neu-Implementierung hatte er keine Einwände.

Die Zukunft des verlassenen TrueCrypt-Projekts ist nach wie vor ungeklärt. Die Entwickler hatten das Projekt vor einigen Wochen überraschend für beendet erklärt und den Umstieg auf Microsofts Bitlocker empfohlen. Eines der Hauptprobleme für eine Weiterführung des Open-Source-Projekts ist die sehr eigenwillige Lizenz, die viele Nutzungsszenarien ausschließt. Der Koordinator der TrueCrypt-Audits Matthew Green bat deshalb die TrueCrypt-Entwickler um Erlaubnis, den Code unter einer der Standard-Open-Source-Lizenzen wie der GPL, der BSD- oder der MIT-Lizenz zu forken.

Doch der angeschriebene Entwickler lehnt dieses Ansinnen rundweg ab: "Es tut mir leid, das ist nicht möglich. Ich glaube nicht, dass ein Fork von TrueCrypt eine gute Idee wäre, wir wollten den Code ohnehin schon seit einiger Zeit komplett neu schreiben", heißt es in der von Green veröffentlichten Antwort. Das sei auch nicht viel mehr Arbeit als den aktuellen Code komplett zu analysieren und zu verstehen. "Ich habe kein Problem damit, wenn der Quellcode als Referenz genutzt wird" schließt er seine knappe Absage ab.

Und nun?

Damit stellt sich die Frage erneut, wie es mit TrueCrypt weitergehen soll. Dass es einen Nachfolger braucht, ist unstrittig; die von den Entwicklern skizzierten Umstiegsszenarien zieht niemand ernsthaft in Erwägung. TrueCrypt vereint eine ganze Reihe von einzigartigen Vorteilen. Der Quellcode ist komplett offen und ein professionelles Auditing förderte keine wesentlichen Schwächen zu Tage. Das Programm arbeitet sowohl mit einzelnen Dateien wie auch mit kompletten Festplatten und es läuft auf allen wichtigen Betriebssystemen.

Außerdem ist TrueCrypt – erstaunlicherweise – derzeit eines der wenigen Krypto-Projekte, die nach wie vor großes Vertrauen genießen. Dass einer der kommerziellen Konkurrenten die Nachfolge antreten kann, ist unwahrscheinlich. Nicht nur weil eigentlich alle Firmen, die sich im Security-Bereich engagieren, sich dem Generalverdacht der Kooperation mit Geheimdiensten ausgesetzt sehen. Sondern auch weil es ernste Zweifel an deren Qualität gibt. "Die meisten kommerziellen Verschlüsselungsprodukte sind Müll" twitterte etwa Matthew Green erst kürzlich. Der ist Professor für Kryptografie und mittlerweile einer der angesehensten, unabhängigen Experten auf dem Gebiet.

Ob ein nicht-autorisierter TrueCrypt-Fork wie das kürzlich angekündigte TrustedDisk OSS von Sirrix unter einer anderen Lizenz nach dieser Absage der Entwickler noch Chancen hat, ist ebenfalls zweifelhaft. Bleibt die von den Entwicklern angeregte, komplette Neuentwicklung – doch die ist ebenfalls nicht in Sicht. Die Diskussion, wie es weitergehen soll, ist also erneut eröffnet; bis sich der Nebel lichtet, kann man sich am heise-Security-Kommentar Truecrypt ist unsicher - und jetzt? orientieren. (ju)

Re: TrueCryptokalypse

Verfasst: 4. April 2015, 02:09
von adleritey
Und damit endete sie:

The TL;DR is that based on this audit, Truecrypt appears to be a relatively well-designed piece of crypto software. The NCC audit found no evidence of deliberate backdoors, or any severe design flaws that will make the software insecure in most instances.

http://blog.cryptographyengineering.com ... eport.html