Vollständige Version anzeigen : Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"


Gordon Freeman
29.05.2014, 12:11

Die Betreiber des Verschlüsselungsprogramms Truecrypt warnen offenbar urplötzlich vor ihrer eigenen Software. Auf der Projektseite wird derzeit erklärt, wie man zu Bitlocker wechseln kann. Was dahinter steckt, ist noch unklar.

Auf der Internetseite des weitverbreiteten Verschlüsselungsprogramms Truecrypt ist plötzlich eine deutliche Warnung aufgetaucht. Gegenwärtig heißt es dort: "WARNUNG: Die Nutzung von Truecrypt ist unsicher, da nicht behobene Sicherheitslücken vorhanden sein können". Screenshot
Es gibt nur eine Warnung. Vergrößern Danach folgt eine ausführliche Erklärung, wie Nutzer von Truecrypt zu Bitlocker – ein Festplattenverschlüsselungsprogramm von Microsoft – wechseln können. Weitere Erklärungen beziehungsweise Hintergründe gibt es nicht, lediglich am Textende die erneute Warnung, dass Truecrypt unsicher sei.

Derzeit ist noch vollkommen unklar, was es mit diesem Hinweis auf sich hat. Vorstellbar ist, dass die Seite defaced wurde. Dagegen spricht jedoch, dass die jüngste Version mit einem gültigen Schlüssel der "TrueCrypt Foundation" signiert wurde. Matthew Green, einer der Experten, die den jüngsten Audit von Truecrypt initiiert hatten, hat sich inzwischen auf Twitter zu Wort gemeldet und erklärt, er habe keine Ahnung, um welche Sicherheitslücken es sich handeln soll. Der erste Teil der Quellcode-Prüfung von Truecrypt hatte keine nennenswerten Probleme aufgedeckt; der zweite hat noch nicht begonnen. Das neue Truecrypt-Binary trägt eine gültige digitale Unterschrift.

Eine andere Erklärung für die kryptische Warnung könnte ein Vorgehen von US-Behörden sein, dass dem ähnelt, mit dem der E-Mail-Anbieter Lavabit zur Schließung gezwungen worden war. Dort hatten die Behörden die Herausgabe privater Schlüssel verlangt und das schließlich vor Gericht durchgesetzt. Daraufhin hatte der Dienst seine Pforten geschlossen. Bei derartigen Maßnahmen werden die Diensteanbieter mit sogenannten National Security Lettern dazu verpflichtet, Stillschweigen zu bewahren.

Die aktuell zum Download angebotene Version bietet anscheinend nur einen eingeschränkten Funktionsumfang; unter anderem wurde wohl die Möglichkeit entfernt, neue Truecrypt-Container anzulegen. Es empfiehlt sich, diese zunächst mal nicht zu installieren und abzuwarten, bis sich die Situation etwas geklärt hat. (mho)

Quelle: (;;heise~de/newsticker/meldung/Warnung-auf-offizieller-Seite-Truecrypt-ist-nicht-sicher-2211037;html)

Gefundenes Fressen für alle Verschwörungstheoretiker. Allerdings ist die Theorie, dass die Seite gehackt wurde ja wirklich das Szenario, welches am wenigsten schilmm wäre. Ich persönlich kann mir gut vorstellen, dass es den Machenr von Truecrypt ähnlich ergangen ist, wie Lavabit. Allerdings könnte man das ganze dann doch eigentlich forken und zum Beispiel aus Deutschland heraus weiterentwickeln oder?
Was haltet ihr davon? Gibt es überhaupt echte, Plattformübergreifende und sich noch in Entwicklung befindliche Alternativen. Bitlocker zählt für mich nicht ;-)

Hardware Preisvergleich | Amazon Blitzangebote!

Videos zum Thema
Video Loading...
Xyran^
30.05.2014, 11:56

Ich finde das total suspekt..;das geht doch nich mit rechten Dingen zu. Mehr INFOS!!^^


delpiero
30.05.2014, 12:18

;;;youtube~com/watch?v=TtMILYcwrCM


Michi
30.05.2014, 14:43

update Ende von Truecrypt: Entwickler hat angeblich Interesse verloren | heise online (;;;heise~de/newsticker/meldung/Ende-von-Truecrypt-Entwickler-hat-angeblich-Interesse-verloren-2211228;html)


xXsoureXx
30.05.2014, 21:20

Ich finde das total suspekt..;das geht doch nich mit rechten Dingen zu.


Siehst nicht nur du so. Ist schon komisch das ganze.

update Ende von Truecrypt: Entwickler hat angeblich Interesse verloren | heise online (;;;heise~de/newsticker/meldung/Ende-von-Truecrypt-Entwickler-hat-angeblich-Interesse-verloren-2211228;html)

angeblich.. Wenn das wirklich so sein sollte - wovon ich nicht so ganz überzeugt bin - finde ich die Art und Weise wie die sich "verabschiedet" haben ziemlich unangebracht. Das hätte man auf jeden Fall besser lösen können.

Ich bin gespannt ob sich da noch was ergibt.


Btw. Was sind eigl so die Alternativen? Ich besitze zwar keine Daten auf meinen PC, für die sich so eine Verschlüsselung lohnt, aber wenn wüsste ich nicht wozu ich greifen sollte. Bitlocker.. nicht im ernst?!


phraser
30.05.2014, 21:31

Ohne das SemperVideo Dingens durchgeschaut zu haben finde ich den Titel des Videos schon sehr verwirrend "TrueCrypt gehackt". Nuja, was soll man erwarten...

Fest steht, dass noch nix feststeht, Michi hat ja den aktuellen Beitrag auf Heise verlinkt. Interessant ist auf jeden Fall, dass ein alter Schlüssel der TrueCrypt Autoren genutzt wurde, um die Nachricht zu signieren.
Es ist nun natürlich möglich, dass dieser Schlüssel irgendwo (gegebenfalls im selben Zug wie z;B. die Zugangsdaten) entwendet wurde.
Da die meisten Entwickler selten bis gar nicht in der Öffentlichkeit auftreten ist es nun auch nicht allzu einfach da mal vorbeizuschauen und zu fragen, was denn los ist.
Haben die Entwickler aktuell z;B. keinen Zugriff auf den DNS oder andere Infrastruktur werden sie diese Hoheit wohl erstmal zurückholen.
Komisch ist nämlich an der Geschichte mit dem "Wir haben keine Lust mehr" - auf einmal steht dann doch einer der Entwickler in der Öffentlichkeit - da glaube ich noch nicht so dran.

Denke spätestens Montag oder Dienstag wird die Sache genauer aufgeklärt sein..

Alternativen? Bitlocker würde ich z;B. nicht nutzen;Unter Win/Linux könnte man mal folgendes ausprobieren:
DiskCryptor wiki (;diskcryptor~net/wiki/Main_Page)

Für Windows habe ich auch aktuell noch das im Auge:
FreeOTFE - SourceForge DE (;de;sourceforge~net/project/freeotfe/)

Am Mac nutze ich aktuell FileVault (was natürlich unter dem Gedanken, dass Apple/die NSA da ihre Finger im Spiel hat auch nicht mehr Zeitgemäss ist und wohl geändert werden sollte).


Sancho-Pancho
30.05.2014, 23:20

Btw. Was sind eigl so die Alternativen? Ich besitze zwar keine Daten auf meinen PC, für die sich so eine Verschlüsselung lohnt, aber wenn wüsste ich nicht wozu ich greifen sollte. Bitlocker.. nicht im ernst?!
Warum nicht? Du benutzt doch auch Windows? ;)


phraser
30.05.2014, 23:36

Gratulation zu diesem sinnfreien Beitrag... Wenn man schon so daher labert sollte man auch wissen, von was man redet.

Wenn dein System von Aussen geknackt ist und ausgelesen werden kann (Ob Hersteller-Feature oder echter Exploit ist erstmal wurst) dann bringt dir eine Verschlüsselung rein gar nix, da die Daten während der Laufzeit entschlüsselt werden oder man noch einfacher den Passkey abgreift.

Bitlocker ist an sich ja nicht per se schlecht - es ist aber von einem amerikanischen Hersteller und dazu noch closed source.
(Deshalb wahrscheinlich dein "lustiger" Kommentar) - trotzdem heißt das nicht automatisch, dass Windows gleich "unsicher" Bitlocker ist. Desweiteren heißt es auch nicht, dass es wenig sinnvoll ist, bei der Verschlüsselung nicht zu resignieren, nur weil man Windows nutzt.

Ein kleines Beispiel: Daten werden verschlüsselt, um sie sicher lagern zu können. Passiert dir heute irgendwas, weshalb dein PC einkassiert wird kannst du von mir aus ein NSA-gebuggtes Windows nutzen - mit einem sicheren, verschlüsselten Container auf der Festplatte bringt das aber auch keinem was.


Die Welt ist nicht nur schwarz/weiß...


Sancho-Pancho
31.05.2014, 05:29

Gratulation zu diesem sinnfreien Beitrag... Wenn man schon so daher labert sollte man auch wissen, von was man redet.

Wenn dein System von Aussen geknackt ist und ausgelesen werden kann (Ob Hersteller-Feature oder echter Exploit ist erstmal wurst) dann bringt dir eine Verschlüsselung rein gar nix, da die Daten während der Laufzeit entschlüsselt werden oder man noch einfacher den Passkey abgreift;

Eben... Genau deshalb habe ich ja absichtlich provokativ nachgefragt. Wer vor dem Pöbeln mal sein Hirn einschaltet, merkt so etwas vielleicht auch rechtzeitig. :rolleyes:

Bitlocker ist an sich ja nicht per se schlecht - es ist aber von einem amerikanischen Hersteller und dazu noch closed source.
(Deshalb wahrscheinlich dein "lustiger" Kommentar) - trotzdem heißt das nicht automatisch, dass Windows gleich "unsicher" Bitlocker ist;

Windows ist von Microsoft. Bitlocker ist von Microsoft. Wenn man Bitlocker misstraut, welchen Grund gäbe es dann, Microsoft bei Windows zu trauen?
Richtig - keinen! Im Umkehrschluss: Wenn man Microsoft bei Windows vertraut, aus welchem Grund sollte man dem Unternehmen dann nicht auch bei Bitlocker vertrauen?

Ein kleines Beispiel: Daten werden verschlüsselt, um sie sicher lagern zu können. Passiert dir heute irgendwas, weshalb dein PC einkassiert wird kannst du von mir aus ein NSA-gebuggtes Windows nutzen - mit einem sicheren, verschlüsselten Container auf der Festplatte bringt das aber auch keinem was.

Die Welt ist nicht nur schwarz/weiß..;

Vorausgesetzt, das benutzte Passwort zur Verschlüsselung der Daten ist und bleibt unbekannt. Dafür gibt es aber keine Garantie. Schließlich ist Windows von einem amerikanischen Hersteller und dazu noch closed source. Die Welt ist eben nicht nur schwarz-weiß. :P


phraser
01.06.2014, 04:13

Eben... Genau deshalb habe ich ja absichtlich provokativ nachgefragt. Wer vor dem Pöbeln mal sein Hirn einschaltet, merkt so etwas vielleicht auch rechtzeitig. :rolleyes:

Ich glaube eher, du hast keine Ahnung und wolltest mal eher ein bisschen diskutieren, hauptsache man darf mitschreiben.
Deine Aussage "Pöbel" zeigt ja, wie du über andere Menschen denkst - da brauchst du dich nicht wundern wenn man dich kritisiert.

Windows ist von Microsoft. Bitlocker ist von Microsoft. Wenn man Bitlocker misstraut, welchen Grund gäbe es dann, Microsoft bei Windows zu trauen?
Richtig - keinen! Im Umkehrschluss: Wenn man Microsoft bei Windows vertraut, aus welchem Grund sollte man dem Unternehmen dann nicht auch bei Bitlocker vertrauen?

Und wenn Windows unsicher ist, was dann? Dann müsste man dich VORHER schon im Visier haben und dein Passwort für die Platte (oder wie oben beschrieben direkten Zugang via Trojaner, also sowieso Direktzugriff auch in den verschlüsselten Container sobald er einmal entschlüsselt wird) ausspähen. Und wenn das ein Geheimdienst möchte braucht er ganz sicher dafür kein Windows oder Apple. Welchen Router benutzt du? Welches Handy? Welchen Hersteller deiner Hardware?
Wenn man VORHER an dich ran will - dann geht das auch. Egal ob du auf Ubuntu schwörst oder auf BSD, auf MacOS, auf Windows oder sonst irgendwas. Versteh einfach, dass diese Leute Ressourcen und Möglichkeiten haben - da ist es egal, was du veranstaltest. Wenn die wollen kriegen sie dich!

Vorausgesetzt, das benutzte Passwort zur Verschlüsselung der Daten ist und bleibt unbekannt. Dafür gibt es aber keine Garantie. Schließlich ist Windows von einem amerikanischen Hersteller und dazu noch closed source. Die Welt ist eben nicht nur schwarz-weiß. :P

Lies einfach nochmal, was ich geschrieben habe. Würdest du den technischen Hintergrund verstehen, wäre dieser Absatz überflüssig.


Sancho-Pancho
01.06.2014, 18:07

Ich glaube eher, du hast keine Ahnung und wolltest mal eher ein bisschen diskutieren, hauptsache man darf mitschreiben.
Deine Aussage "Pöbel" zeigt ja, wie du über andere Menschen denkst - da brauchst du dich nicht wundern wenn man dich kritisiert;

Bevor du in einem Forum diskutierst, solltest du entweder lesen lernen oder aber die Bedeutung einzelner Begriffe kennen. Ich schrieb nicht "Pöbel" (;;;duden~de/rechtschreibung/Poebel), sondern "pöbeln" (;;;duden~de/suchen/dudenonline/p%C3%B6beln). Als substantiviertes Verb (vielleicht extra für dich: Tuwort) wird es groß geschrieben.
Also halten wir fest. Du hast gepöbelt und das hat mit Pöbel (ohne "n") absolut nichts zu tun.

Gegen Kritik habe ich im Übrigen nichts. Aber die hätte ich gerne von Leuten, die richtig lesen und verstehen können. :P
Und wenn Windows unsicher ist, was dann?..;
Ich hatte anfangs die leichte Hoffnung, dass du endlich begreifen würdest. Aber ich habe mich wohl geirrt. Mir ging es um die Aussage, man könne doch Bitlocker nicht benutzen, weil es von Microsoft - und daher per se unsicher sei. Andererseits nutzt man aber Windows von Microsoft, das ebenso unsicher ist bzw. sein muss. Schließlich ist es ja von Microsoft.

Den Rest erspare ich mir. Am Ende glaubst du sonst noch, ich würde vor Ehrfurcht erzittern, nur weil du ein paar gängige Betriebssysteme aufgezählt hast.
Btw. Ubuntu ist kein Betriebssystem, sondern nur eine Linux-Distribution. So viel zum Thema Ahnung haben. ;)


Michi
02.06.2014, 10:09

von fefes blog (;blog;fefe~de/?ts=ad75a806)
Bei Truecrypt ist weiterhin alles ziemlich unklar, aber die Spekulationen verdichten sich in die Richtung, dass die einen National Security Letter oder ähnliches gekriegt haben, und das ihre Form des Minen-Kanarienvogels für ihre User war (;meta;ath0~com/2014/05/30/truecrypt-warrant-canary-confirmed/). Wenn ihr mal weitergeklickt habt von den Bitlocker-Anweisungen, zu den Mac-Anweisungen (;truecrypt;sourceforge~net/OtherPlatforms;html): Da empfehlen ihre Instruktionen einen Container ohne Verschlüsselung anzulegen, das ist offensichtlich Unfug.

Ein weiteres Indiz war:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

Nichts genaues weiß man nicht, aber ich halte das als Theorie für halbwegs plausibel. Man kann die alten Versionen von Truecrypt weiterhin einsetzen, würde ich sagen. Und der Audit Phase 2 wird ja auch stattfinden;


phraser
02.06.2014, 15:57

Bevor du in einem Forum diskutierst, solltest du entweder lesen lernen oder aber die Bedeutung einzelner Begriffe kennen. Ich schrieb nicht "Pöbel" (;;;duden~de/rechtschreibung/Poebel), sondern "pöbeln" (;;;duden~de/suchen/dudenonline/p%C3%B6beln). Als substantiviertes Verb (vielleicht extra für dich: Tuwort) wird es groß geschrieben. Also halten wir fest. Du hast gepöbelt und das hat mit Pöbel (ohne "n") absolut nichts zu tun; Damit hast du vollkommen Recht. Leider falsch gelesen - damit falsch beantwortet. Entschuldigung. Gegen Kritik habe ich im Übrigen nichts. Aber die hätte ich gerne von Leuten, die richtig lesen und verstehen können. :P Und genau das disqualifiziert dich dann doch direkt wieder ;-) Ich hatte anfangs die leichte Hoffnung, dass du endlich begreifen würdest. Aber ich habe mich wohl geirrt. Mir ging es um die Aussage, man könne doch Bitlocker nicht benutzen, weil es von Microsoft - und daher per se unsicher sei. Andererseits nutzt man aber Windows von Microsoft, das ebenso unsicher ist bzw. sein muss. Schließlich ist es ja von Microsoft; Erst den anderen mit "lesen und verstehen" kommen - und dann selbst in den Sätzen die wichtigen Wörter vergessen. Seems legit. Zum Thema: Ich impliziere du willst sagen, dass man Bitlocker nicht benutzen kann, weil es von Microsoft kommt ? Wo wiederlegt das jetzt meine Aussage von oben? Es hat sich doch daran nichts geändert, dass natürlich beide unsicher sein können (aber nicht zwingend müssen!) - es aber einen riesen Unterschied machst, ob du ein Betriebssystem betrachtest - oder eine Software für Datenverschlüsselung. Hier kommen wir wieder an den springenden Punkt - ich schrieb man solle bei der Verschlüsselung nicht resignieren, wenn man Windows nutzt. Einfach aus dem Grund, weil es zwei ganz unterschiedliche Dinge sind. Verschlüsselung wird gegen physischen Diebstahl und gegen unterlaubten Zugang genutzt. Ein Betriebssystem ist doch was ganz anderes. Was bringt mich denn jetzt davon ab Windows mit einem gescheiten Verschlüsselungs-Tool zu nutzen? Nichts - wie ich bereits sagte muss der Angreifer dann dein Passkey oder direkt die entschlüsselten Daten abgreifen. Aber wenn das jemand möchte und die Ressourcen/Mittel dazu hat, ist es in der Regel (wie bereits schon gesagt!) egal ob du mit Windows, Linux oder MacOS arbeitest. Den Rest erspare ich mir. Am Ende glaubst du sonst noch, ich würde vor Ehrfurcht erzittern, nur weil du ein paar gängige Betriebssysteme aufgezählt hast. Btw. Ubuntu ist kein Betriebssystem, sondern nur eine Linux-Distribution. So viel zum Thema Ahnung haben. ;) Es würde nicht schaden, wenn du dir ein wenig mehr ersparst. Die Aussage "Ubuntu ist ein Betriebssystem" ist genau so richtig, wie die Aussage "Ubuntu ist eine Linux-Distribution". Laut Definition müssen ja auch alle Linux-Distributionen gleichzeitig ein Betriebssystem sein. Überbegriff ftw...


SilKil
02.06.2014, 18:34

interessantes thema, was mit truecrypt los ist..

ein merkwürdiger punkt bringt sempervideo ganz am schluss... warum ist truecrypt selbst bei the waybackmachine, dem internetarchiv nicht auffindbar?

was halten unsere security-spezialisten von truecrypt nun? werdet ihr schnell einen bogen drum rummachen?
und was haltet ihr vom punkt der waybackmachine?

Edit: (;web;archive~org/web/*/truecrypt~org)

Zugriffsfehler
Der Zugriff auf den Inhalt ist gesperrt. Blocked Site Error


Sancho-Pancho
02.06.2014, 19:02

Zum Thema: Ich impliziere du willst sagen, dass man Bitlocker nicht benutzen kann, weil es von Microsoft kommt ? Wo wiederlegt das jetzt meine Aussage von oben? Es hat sich doch daran nichts geändert, dass natürlich beide unsicher sein können (aber nicht zwingend müssen!) - es aber einen riesen Unterschied machst, ob du ein Betriebssystem betrachtest - oder eine Software für Datenverschlüsselung. Hier kommen wir wieder an den springenden Punkt - ich schrieb man solle bei der Verschlüsselung nicht resignieren, wenn man Windows nutzt;
Nein, das will ich nicht sagen. Ein anderer User hat das gesagt. Ich impliziere daher, dass du echt total begriffstutzig bist. :P
Ich stelle hier infrage, dass Windows als OS vertrauenswürdiger sein soll als eine x-beliebige (Verschlüsselungs-)Software von Microsoft.

Und ja! Gar nicht mal so streng genommen liegst du vollkommen falsch, wenn du sagst, man solle bei der Verschlüsselung nicht resignieren, wenn man Windows nutzt.
Denn wenn Microsoft eine Backdoor in Bitlocker einbauen kann (diese Mutmaßung führt xXsoureXx ja wohl an, wenn er Bitlocker ablehnt), dann kann Microsoft auch genau so gut, wenn nicht sogar besser, eine Backdoor in Windows einbauen. Und die wäre, im Gegensatz zu einer Backdoor in Bitlocker, dann u;U. sogar noch FUD, denn ein Virenscanner oder eine Desktopfirewall werden ja erst nach dem Start von Windows aktiv. Es wäre also ein leichtes, potentielle Schadsoftware vor einem Virenscanner zu verbergen.
Bevor irgend eine Klugscheißerei kommt. FUD meint hier nicht "Fear, Uncertainty and Doubt" und auch nicht "Familienunterstützender Dienst". ;)

Quintessenz: Wer ein höchstmögliches Maß an Sicherheit haben will, muss nicht nur auf closed-source-Software von Microsoft (Bitlocker) verzichten, sondern auch auf die closed-source-Betriebssysteme von Microsoft (Windows). Closed Source aus Sicherheitsgründen abzulehnen und gleichzeitig Closed Source zu nutzen, ist nunmal ein Widerspruch in sich selbst.

interessantes thema, was mit truecrypt los ist.;
Bevor man unnötig in Panik verfällt, sollte man vielleicht erst mal das Audit zur Version 7;1a abwarten. Stellt sich im Rahmen der Überprüfung heraus, dass Truecrypt keine Sicherheitslücken enthält, kann man ja vorerst diese Version benutzen.
Zur Not hilft vielleicht auch GnuPG weiter. Allerdings ist das nicht so komfortabel wie das Arbeiten mit TC-Containern.
GNU Privacy Guard – Wikipedia (;de;wikipedia~org/wiki/GNU_Privacy_Guard)


xXsoureXx
03.06.2014, 12:13

[..;]

diese Mutmaßung führt xXsoureXx ja wohl an, wenn er Bitlocker ablehnt[..;]


Ja, hinzu kommen auch weitere Kriterien. Wie siehts es denn bei Bitlocker zB mit Portabilität aus?

[..;]
Quintessenz: Wer ein höchstmögliches Maß an Sicherheit haben will, muss nicht nur auf closed-source-Software von Microsoft (Bitlocker) verzichten, sondern auch auf die closed-source-Betriebssysteme von Microsoft (Windows). Closed Source aus Sicherheitsgründen abzulehnen und gleichzeitig Closed Source zu nutzen, ist nunmal ein Widerspruch in sich selbst.
[..;]


Ich denke ihr beide betrachtet unterschiedliche Ansätze. Phraser ist mehr beim Thema Verschlüsselungssoftware, während du das Ganze betrachtest. Geht es um Verschlüsselungssoftware, sollte man bei deren Bewertung das Betriebssystem erst einmal aussen vor lassen. Da vergliche man ja Äpfel mit Birnen.

Im Gesamtbild hast du aber mit der Aussage denke ich nicht ganz unrecht. Wobei ich das wie phraser sehe: Wer wirklich im Visier vom Staat/NSA ist, der kann sich auch mit Linux oder sonstigen Systemen nicht retten. Daten, hinter denen solche Organisationen aktiv hinterher sind, sollte man vermeiden überhaupt ans Netz zu hängen.


Im übrigen benutze ich auch Linux Distros :)



---
Verschlüsselung: Erste Bemühungen um Truecrypt-Nachfolge (;;;heise~de/newsticker/meldung/Verschluesselung-Erste-Bemuehungen-um-Truecrypt-Nachfolge-2215213;html)


Sancho-Pancho
04.06.2014, 05:45

Im Gesamtbild hast du aber mit der Aussage denke ich nicht ganz unrecht. Wobei ich das wie phraser sehe: Wer wirklich im Visier vom Staat/NSA ist, der kann sich auch mit Linux oder sonstigen Systemen nicht retten. Daten, hinter denen solche Organisationen aktiv hinterher sind, sollte man vermeiden überhaupt ans Netz zu hängen;
So kann man natürlich immer argumentieren. Allerdings trifft das auch auf den kleinen Ganoven zu, der vielleicht an TAN oder PIN heran will, die du vielleicht in einem TrueCrypt-Container gespeichert hast. Da gibt es allerdings eine wesentliche Sicherheitslücke, auf die jeder zugreifen kann und die im Regelfall sogar keine jahrelangen Bruteforce-Angriffe voraussetzen.
xkcd: Security (;xkcd~com/538/)

Es geht hier aber thematisch genau um Angriffe bzw. Zugriffe durch den Staat bzw. die NSA. Denn für den kleinen Ganoven von nebenan wird die Industrie sicherlich nicht ihren Ruf riskieren und Backdoors einbauen. Und natürlich war ein Ziel der USA/NSA, dass so etwas geheim bleibt. Nicht umsonst ist Snowden ja gerade praktisch vogelfrei.

Wobei "Ruf ruinieren" total übertrieben ist. Denn scheinbar kümmert es ja ohnehin niemanden, ob bzw. das wir ständig ausspioniert und bewacht werden - und Unternehmen wie Microsoft dabei mitwirken.


xXsoureXx
04.06.2014, 10:54

So kann man natürlich immer argumentieren. [.;]
Ist das deswegen weniger richtig?

[.;]
Da gibt es allerdings eine wesentliche Sicherheitslücke, auf die jeder zugreifen kann und die im Regelfall sogar keine jahrelangen Bruteforce-Angriffe voraussetzen.
xkcd: Security (;xkcd~com/538/)

hehe :D


[.;]
Es geht hier aber thematisch genau um Angriffe bzw. Zugriffe durch den Staat bzw. die NSA;[.;]

So wie ich das sehe ging es doch jetzt speziell darum, wie man sich davor mithilfe Verschlüsselungssoftware schützt? Meine Aussage war lediglich, dass man bei der Bewertung dieser Software, das Betriebssystem außer Acht lassen sollte.

Aber im Allgemeinen, wie gesagt, bin ich da doch einer Meinung mit dir: Linux + open-source Software sollte man bevorzugen.


fatmoe
04.06.2014, 12:22

BitLocker (Windows) und FileVault (Mac)

Sowohl Microsoft als auch Apple enthalten in ihren Betriebssystemen bereits Programme zum Verschlüsseln von kompletten Festplatten: Für Windows ist das BitLocker, das auch auf der Seite von TrueCrypt angegeben wird. Das ist allerdings nur in den Enterprise- und Ultimate-Versionen von Windows verfügbar. Apple liefert ab OS X 10;7 (Lion) die Software File Vault 2 mit, die auch die NSA ihren Mitarbeitern empfiehlt. Gegen beides spricht, dass es sich um proprietäre, also geschlossene Software handelt, sowie die Tatsache, dass zumindest Microsoft in der Vergangenheit mit der NSA zusammengearbeitet hat.

Symantec Drive Encryption (Windows, Mac, Linux) und Steganos Safe (Windows)

Eine weitere professionelle Lösung bietet der Softwarehersteller Symantec an. Das Tool basiert auf der gängigen Verschlüsselungstechnik PGP ("Pretty Good Privacy"), die es bereits seit Anfang der neunziger Jahre gibt. Der Sicherheit;perte Bruce Schneier sagte vor wenigen Tagen, dass er nach dem Ende von TrueCrypt wieder zu dieser Lösung zurückkehren würde. Mit knapp 100 Euro pro Lizenz ist die Drive Encryption allerdings recht teuer, und deshalb wohl vor allem für Firmen interessant. Wer lieber einem deutschen Unternehmen vertraut, könnte einen Blick auf den kostengünstigeren Steganos Safe werfen. Die Software verschlüsselt allerdings nur einzelne Dateien und Ordner.

GPG (Windows, Mac, Linux)

Ebenfalls auf den PGP-Standards basiert GPG (GNU Privacy Guard). Das System steht unter einer freien Lizenz und dient in erster Linie dem Verschlüsseln von Dateien und E-Mails, weniger von kompletten Datenträgern. Viele Linux-Distributionen liefern die entsprechende Technik gleich mit, einzelne Dateien können hier einfach über die Kommandozeile verschlüsselt werden. Für Windows und Mac gibt es Programme wie Gpg4Win oder GPG Suite, die eine grafische Oberfläche anbieten.

DiskCryptor (Windows)

Sowohl kostenlos als auch Open-Source ist DiskCryptor. Das Programm gibt es seit 2008, und es enthielt zu Beginn auch Teile des TrueCrypt-Codes. Wie der Name andeutet, dient DiskCryptor dem Verschlüsseln ganzer Festplatten. Wie TrueCrypt nutzt DiskCryptor die bekannten Kryptosysteme AES 256, Twofish und Serpent, die zur Sicherheit zusätzlich kombiniert werden können.

AxCrypt (Windows) und BoxCryptor (Windows, Max, Android, iOS)

Im Gegensatz zu DiskCryptor ermöglicht AxCrypt nur das Verschlüsseln einzelner Dateien. Einmal installiert, ist AxCrypt direkt in die Windows-Oberfläche integriert und kann über den Rechtsklick mit der Maus aufgerufen werden. Das Programm ist vor allem für Nutzer interessant, die Cloud-Dienste benutzen und einzelne Dateien schnell sichern möchten. Genau darauf zielt auch das deutsche Projekt BoxCryptor ab, das automatisch die Dateien im Dropbox-Ordner der Nutzer verschlüsselt;
TrueCrypt: Acht Alternativen zu TrueCrypt | ZEIT ONLINE (;;;zeit~de/digital/datenschutz/2014-06/truecrypt-alternativen-verschluesselung/seite-2)

Hier einige alternativen (?) zu tc. Denke auch, dass man mit der aktuellen Version noch einige Zeit recht sicher fährt! Wie hat sich tc eigentlich finanziert?


phraser
04.06.2014, 15:49

Nein, das will ich nicht sagen. Ein anderer User hat das gesagt. Ich impliziere daher, dass du echt total begriffstutzig bist. :P
Dann schreib' in Zukunft deine Sätze aus und lass nichts weg, dann brauchst du nachher anderen nichts unterstellen..

Ich stelle hier infrage, dass Windows als OS vertrauenswürdiger sein soll als eine x-beliebige (Verschlüsselungs-)Software von Microsoft.


Und ja! Gar nicht mal so streng genommen liegst du vollkommen falsch, wenn du sagst, man solle bei der Verschlüsselung nicht resignieren, wenn man Windows nutzt.
Denn wenn Microsoft eine Backdoor in Bitlocker einbauen kann (diese Mutmaßung führt xXsoureXx ja wohl an, wenn er Bitlocker ablehnt), dann kann Microsoft auch genau so gut, wenn nicht sogar besser, eine Backdoor in Windows einbauen. Und die wäre, im Gegensatz zu einer Backdoor in Bitlocker, dann u;U. sogar noch FUD, denn ein Virenscanner oder eine Desktopfirewall werden ja erst nach dem Start von Windows aktiv. Es wäre also ein leichtes, potentielle Schadsoftware vor einem Virenscanner zu verbergen.
Bevor irgend eine Klugscheißerei kommt. FUD meint hier nicht "Fear, Uncertainty and Doubt" und auch nicht "Familienunterstützender Dienst". ;)


Dann lies jetzt noch einmal oben nach. Was bringt dir eine Backdoor in Windows, wenn dein Verschlüsselungstool sicher ist? Genau - wie oben bereits mehrmals gesagt NUR, wenn du vorher an die Daten ranwillst.

Ich empfehle dir als Lektüre mal truecrypt~org - dann musst du hier nicht dauernd an deinen Behauptungen fest halten.
Ich fasse mal zusammen: Wenn Microsoft eine Backdoor in Windows & Bitlocker einbauen kann (was du ja anführst), dann ist diese Backdoor irgendwann "verbrannt" und zwar zu dem Zeitpunkt, wenn sie genutzt wird. Auch hilft diese Backdoor natürlich nur, wenn man den Passkey oder direkt Daten aus dem entschlüsselten Container abgreifen möchte.
Bei Bitlocker wäre es anders - man würde im Nachhinein an die verschlüsselten Daten rankommen. Aber auch hier brauch sich der Nicht-Terrorist keine Sorgen zu machen - denn gäbe/gibt es eine gewollte Lücke in Bitlocker und sie würde ausgenutzt kommt das auch raus.

Also nochmal für dich ;-) : Bomben bauen und werfen == schlecht; Rest == Bitlocker und Windows ausreichend.


Dein Kommentar "Und die wäre, im Gegensatz zu einer Backdoor in Bitlocker, dann u;U. sogar noch FUD, denn ein Virenscanner oder eine Desktopfirewall werden ja erst nach dem Start von Windows aktiv;" zeigt ja ziemlich gut, wie wenig Ahnung du von Anti-Malware Themen und der Funktionsweise der entsprechenden Software hast. Bitte hier nochmal recherchieren und dann herausfinden, warum das Quatsch ist.

Quintessenz: Wer ein höchstmögliches Maß an Sicherheit haben will, muss nicht nur auf closed-source-Software von Microsoft (Bitlocker) verzichten, sondern auch auf die closed-source-Betriebssysteme von Microsoft (Windows). Closed Source aus Sicherheitsgründen abzulehnen und gleichzeitig Closed Source zu nutzen, ist nunmal ein Widerspruch in sich selbst;

Aus oben genannten Gründen falsch. Closed Source ist in der Regel genau so gut, wie Open Source - wobei man das natürlich genauso wenig verallgemeinern kann, wie die Aussage "Open Source ist prinzipiell besser als Closed Source". Alles hat seine Vor- und Nachteile
Bevor man unnötig in Panik verfällt, sollte man vielleicht erst mal das Audit zur Version 7;1a abwarten. Stellt sich im Rahmen der Überprüfung heraus, dass Truecrypt keine Sicherheitslücken enthält, kann man ja vorerst diese Version benutzen.
Zur Not hilft vielleicht auch GnuPG weiter. Allerdings ist das nicht so komfortabel wie das Arbeiten mit TC-Containern.
GNU Privacy Guard – Wikipedia (;de;wikipedia~org/wiki/GNU_Privacy_Guard)



[..;] keine Sicherheitslücke enthält [..;]
Und der nächste Punkt, an dem du zeigst, wie wenig du das alles verstehst. Nur weil bei einem Audit keine Lücke gefunden wurde heißt das noch lange nicht, dass keine da ist ;-)


Sancho-Pancho
04.06.2014, 23:01

Dann lies jetzt noch einmal oben nach. Was bringt dir eine Backdoor in Windows, wenn dein Verschlüsselungstool sicher ist? Genau - wie oben bereits mehrmals gesagt NUR, wenn du vorher an die Daten ranwillst;
Vielleicht solltest du mal begreifen, dass das sicherste Verschlüsselungstool nichts nutzt, wenn die Umgebung (hier Windows), in der es benutzt wird, nicht sicher ist.
Wenn bspw. die Passworteingabe für den TC-Container, vom Nutzer unbemerkt, aufgezeichnet, versendet oder gespeichert wurde, ist der Container per se nicht mehr vor Zugriff geschützt. Denn das Passwort ist bekannt bzw. auslesbar.

Ich fasse mal zusammen: Wenn Microsoft eine Backdoor in Windows & Bitlocker einbauen kann (was du ja anführst), dann ist diese Backdoor irgendwann "verbrannt" und zwar zu dem Zeitpunkt, wenn sie genutzt wird;
Verbrannt ist eine Backdoor nur, wenn bemerkt wird, dass sie vorhanden ist oder benutzt wird/wurde. "Irgendwann" ist nur ein Allgemeinplätzchen, denn so lange eine Backdoorfunktion anwendbar ist, ist ein wirkungsvoller Schutz der zu schützenden Daten nicht mehr gewährleistet.

Dein Kommentar "Und die wäre, im Gegensatz zu einer Backdoor in Bitlocker, dann u;U. sogar noch FUD, denn ein Virenscanner oder eine Desktopfirewall werden ja erst nach dem Start von Windows aktiv;" zeigt ja ziemlich gut, wie wenig Ahnung du von Anti-Malware Themen und der Funktionsweise der entsprechenden Software hast. Bitte hier nochmal recherchieren und dann herausfinden, warum das Quatsch ist;
Warum klärst du mich bzw. uns denn nicht auf? Als Fachmann mit umfangreichem Wissen sollte das für dich doch kein Problem darstellen.

Aus oben genannten Gründen falsch. Closed Source ist in der Regel genau so gut, wie Open Source - wobei man das natürlich genauso wenig verallgemeinern kann, wie die Aussage "Open Source ist prinzipiell besser als Closed Source". Alles hat seine Vor- und Nachteile
Welche Vorteile hat Closed Source denn ganz konkret für den Anwender?

Im Übrigen liegst du auch hier wieder falsch. Dass OSS die Möglichkeit bietet, Software mithilfe des Quellcodes auf Funktionen (hier Backdoors) zu überprüfen, sollte allgemein bekannt sein. Das geht bei Closed Source in Ermangelung des Quelltextes natürlich nicht, wie jeder halbwegs denkfähige Mensch sicher nachvollziehen kann.
Somit ist die Aussage, OSS wäre prinzipiell besser, durchaus gerechtfertigt, eben weil sie durch die mögliche Überprüfbarkeit zumindest potentiell sicherer ist.
Dass in der Praxis Sicherheitslücken (vielleicht auch Backdoors) u;U. sogar über Jahre nicht auffallen (siehe Heartbleed), steht auf einem anderen Blatt.

In freudiger Erwartung, dass du deine unendliche Weisheit mit uns teilst, beende jetzt aber diese Diskussion mit dir, denn dies...
Ich glaube eher, du hast keine Ahnung und wolltest mal eher ein bisschen diskutieren, hauptsache man darf mitschreiben;
..;scheint wohl eher auf dich zuzutreffen.


Michi
05.04.2015, 09:34

Audit abgeschlossen: TrueCrypt 7;1 weitgehend sicher

Audit abgeschlossen: TrueCrypt 7;1 weitgehend sicher | heise online (;;;heise~de/newsticker/meldung/Audit-abgeschlossen-TrueCrypt-7-1-weitgehend-sicher-2595838;html)

nehmt nur die 7;1a, keine andere versionen.


raid-rush
05.04.2015, 09:53

Verschlüsselung via Software auf SSD ist immer nicht so vorteilhaft, gibt es eine Softwarelösung die auf die Verschlüsselungshardware der SSD zurückgreift? So wäre die Performance natürlich deutlich besser.

Verschlüsselte SSD ist halt wie eine Randvolle. Deshalb sollte man immer 20% der Kapazität frei lassen um die Performance einigermaßen zu erhalten.

Ansonsten bleibt halt nur die SSD eigene Verschlüsselung des kompletten Speichers. Wie da die Sicherheit ist wird vermutlich je nach Hersteller unterschiedlich sein, auch wenn alle die gleiche Verschlüsselungstechnik verwenden.


Edit, hab was gefunden:

Bitlocker kümmert sich im Hintergrund um die Sicherheit, überlässt aber die Arbeit der Verschlüsselung der SSD. Dazu muss diese die OPAL-2;0-Spezifikation der Trusted Computing Group und den Standard IEEE 1667 zur Passwortübergabe unterstützen;
Test: SSDs mit Selbstverschlüsselung und langer Laufzeit | ct (;;;heise~de/ct/ausgabe/2015-2-Test-SSDs-mit-Selbstverschluesselung-und-langer-Laufzeit-2500560;html)

;mirror;netcologne~de/CCC/congress/2012/mp4-h264-HQ/29c3-5091-de-en-unsicherheit_hardwarebasierter_festplattenverschluesselung_h264;mp4


Ähnliche Themen zu Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"
  • Was ist besser? Mistkerl zu "Sein" oder "Nicht"? Worauf stehen die "WEIBER"?
    hi jungs ^^ also ich würd gern mal eure erfahrungen bisjetzt wissen was ihr so erlebt habt.... ich denke das es 50 : 50 das die weiber auf arschlöchter stehen... denn es kommt irgendwie immer auf das mädel an :D ob sie schon halt öfters verarscht worden ist, indem sie nur mit dem typen gepop [...]

  • [XP] Netbook - "Einfach" TrueCrypt "drüber" auf OS-Partition?
    Hi Leute. Ich habe ein Netbook mit allem drum und dran installiert. Treiber, Programme, Spiele usw. Jetzt möchte ich das Ding bzw die Festplatte zur Sicherheit crypten. Kann ich, obwohl ich das OS schon lange nutze, jetzt einfach TrueCrypt sagen "crypte die festplatte mit dem OS"? Oder m [...]

  • [XP] TrueCrypt bei 2 Festplatten -> "Auto Mount"? "Hidden Volume"?
    Hallo Leute. Ich will meine C:\ Festplatte von A-Z crypten (3x warscheinlich zur Sicherheit). Alles kein Problem auch mit Bootloader usw, habe ich alles schon gemacht. Die Sache ist nur: ALS ich es gemacht habe hatte ich 1x Festplatte mit 3 Partitionen, kein Problem. Wie ist das ganze aber, wenn [...]

  • TrueCrypt - Wie oft "Wipe-Mode" um WIRKLICH sicher zu sein?
    Hi Leute. Ich habe ein Netbook das ich crypten will. Hatte Daten drauf die auf jeden fall unwiederbringlich verschlüsselt werden müssen. Ich habe mal gelesen dass Daten die nur 1x gecrypted werden unter nem Microskop wieder sichtbar sind, desshalb soll man wenn vorher schon was drauf war WipeMode [...]



raid-rush.ws | Imprint & Contact pr