Hi, ihr habt sicherlich auch schon mitbekommen das jetzt TrueCrypt nicht mehr sicher sein soll, mir kommt das sehr suspekt vor. Was ist da passiert? Was meint ihr?
Ganz einfach, die NSA hat den Generalschlüssel oder irgend einen anderen Weg in Truecrypt gefunden und die Hersteller dürfen auf Grund eines Verbots seitens der Regierung (NSL) nicht darauf hinweisen. Also machen sie es mit der Geschichte von der Sicherheitslücke. Allein der Verweis zu Bitlocker von M$ spricht meiner Meinung nach Bände...
Hmm, was ich mir noch vorstellen kann ist, das die Software zu sicher ist für die NSA und die Entwickler dazu gezwungen werden eine Hintertür einzubauen. Oder einer der Entwickler wurde von der NSA "durchsucht" und er hatte alle Daten verschlüsselt und sie kamen doch an seine Daten. Aber ist die NSA gerade jetzt so dämlich dreist das zu machen, seltsam.
Spekulationen sind Tür und Tor geöffnet. Da es allerdings relativ schwierig ist, Zahnpasta in die Tube zurück zurück zu drücken, und NSLs ausserhalb der USA und deren Bananenrepubliken durchzusetzen, wird man wohl schon noch davon hören.
PC-Peter schrieb: > Oder einer der Entwickler wurde von der NSA "durchsucht" und er hatte > alle Daten verschlüsselt und sie kamen doch an seine Daten. Schwer vorstellbar, dass irgendwer der Entwickler einigermassen freiwillig auf Bitlocker verweisen würde. Denn das da ein vorsätzliches Loch drin ist, darauf kann man seinen Arsch verwetten.
Da niemand die Identität der Entwickler kennt, wirds schwierig werden rauszufinden was da genau passiert ist solange die sich nicht äussern. Der Text auf der Seite könnte fast vom Postillion stammen (auf Bitlocker umsteigen, haha der war gut ;-) )
A. K. schrieb: > Schwer vorstellbar, dass irgendwer der Entwickler einigermassen > freiwillig auf Bitlocker verweisen würde. Scheint doch einigermassen plausibel, nachdem M$ XP nicht mehr supported. Duerfte wohl den groessten Nutyeranteil (gehabt) haben. “I think the TrueCrypt team did this,” Green said in a phone interview. “They decided to quit and this is their signature way of doing it.” http://krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/
TrueCrypt ist aber noch in der 7.1a-Version zu bekommen (als letzte Variante vor der Jammer-Version). Und bevor man garnicht verschlüsselt bzw. einen undurchsichtigen Cryptor seine Daten anvertraut würd ich TC nach wie vor noch einsetzen! Das ist wie mit XP. Nur weil der Support beendet ist, bedeutet es nicht das der PC im Netzwerk plötzlich alle Dateifreigaben ohne Usernamen und Passwort freigibt! Lediglich neu entdeckte Sicherheitslücken werden nicht mehr gepacht. Aber die meisten User sind ja Pro-Admins, die denken das man nun sogar Zugriff auf XP durch ne TV-Fernbedienung bekommt wegen Supportende und Viren entstehen von selbst!
hmm noch ne Idee, vielleicht der Startschuss für eine kommerzielle Version.
:-) schrieb: > Aber die meisten User sind ja Pro-Admins, die denken das man nun sogar > Zugriff auf XP durch ne TV-Fernbedienung bekommt Du meinst WMC :)
:-) schrieb: > Nur weil der Support beendet ist, bedeutet es nicht > das der PC im Netzwerk plötzlich alle Dateifreigaben ohne Usernamen und > Passwort freigibt! Abrupt aendert sich an deiner Daten(un)sicherheit erstmal garnichts. Aber das steht doch dort auch nicht, oder wo liest man das?
Noch lustiger als Bitlocker ist die Seite für andere Betriebssysteme: http://truecrypt.sourceforge.net/OtherPlatforms.html In der Anleitung für OSX wird einfach ein virtuelles Laufwerk mit dem Namen "Encrypted Disk" erstellt, natürlich mit der Einstellung "Encryption: none". Irgendwas ist da sehr faul.. Ein paar leute schreiben auch, dass ihnen die Formulierung " WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues" ungewöhnlich erscheint. Wenn man sich die Anfangsbuchstaben anschaut: "TrueCrypt is NSA". Könnte natürlich genauso gut Zufall sein..
:
Bearbeitet durch User
Simon S. schrieb: > Noch lustiger als Bitlocker ist die Seite für andere Betriebssysteme: > http://truecrypt.sourceforge.net/OtherPlatforms.html > In der Anleitung für OSX wird einfach ein virtuelles Laufwerk mit dem > Namen "Encrypted Disk" erstellt, natürlich mit der Einstellung > "Encryption: none". Die Linux-Anweisung ist auch super: > If you have files encrypted by TrueCrypt on Linux: > *Use any integrated support for encryption.* Search available installation > packages for words encryption and crypt, install any of the packages found > and follow its documentation. Simon S. schrieb: > Irgendwas ist da sehr faul.. Ja, aber wirklich.
:
Bearbeitet durch User
Irgendwas ist da komisch, ich habe mir vorhin die Mühe gemacht den Source Code von 7.2 mit dem von 7.1a zu vergleichen. Ganz klar, es wurde einiges an Funktion entfernt, neue Fehlermeldungen eingebaut, alle Verweise auf die Webseite entfernt. Die Lizenz wurde geändert, vorher stand drin, dass eine Referenz auf die Webseite angegeben werden muss, jetzt steht drin das keine referenz angegeben werden darf. Soweit kein Wunder. Es gibt aber ein paar neue Kommentare, und ein paar Kommentare welche angepasst wurden, zudem gibt es ein paar wenige Änderungen, welche auf den ersten Blick nichts mit den entfernten Features zu tun haben. Muss natürlich nichts bedeuten, aber bei mir ist geschieht das immer, wenn ich fremden Code editiere ;-) Aber das ganze kommt mir schon ziemlich komisch vor - Warum den Aufwand betreiben und Features entfernen? Hätte eine Messagebox am Anfang nicht gereicht? bzw. eine Warnung auf der Webseite? - Warum die Anleitung für Windows mit Bitlocker? "Das für Windows 7 verbesserte und in den Editionen Ultimate und Enterprise verfügbare BitLocker-Feature" http://windows.microsoft.com/de-CH/windows7/products/features/bitlocker Somit ist Bitlocker nichts für den Home User, also völliger Quatsch, sowas übersieht man doch nicht? - Was hat truecrypt mit dem Supportende von Windows XP zu tun? - Anleitung für Mac OS X enthält keine Verschlüsselung auf dem Screenshot, bei der Anleitung zur Verschlüsselung die Verschlüsselung vergessen? - Für Linux soll gesucht werden? Eine komplett unbrauchbare Anleitung? - Alle alten Versionen wurden gelöscht? Also ich bin auf jeden Fall gespannt was weiter passiert, über die Ursachen kann ja nur vermutet werden. Ansonsten mal schauen ob es ein Fork geben wird, ist ja aktuell nicht geklärt ob die Lizenz das erlaubt oder nicht. Wobei, wenn die Organisation hinter Truecrypt aufgebgen wird, kann diese ja keine rechtlichen Ansprüche mehr geltend machen, von daher könnte man da ja den Code auch klauen? (Ist ja keiner mehr da, der etwas dagegen machen könnte ;-)) mfg Andreas
Andreas B. schrieb: > von daher könnte man da ja > den Code auch klauen? Der Code soll aber ziemlich unschön sein und sich nur mit sehr speziellen Compilern überhaupt bauen lassen... ist also die Frage ob das überhaupt jemand will.
Jemand hat die Webseite auch aus den ganzen "Zeitmaschinen" entfernen lassen.. http://web.archive.org/web/truecrypt.sourceforge.net http://web.archive.org/web/http://truecrypt.org > Sorry. > This URL has been excluded from the Wayback Machine. http://webcache.googleusercontent.com/search?q=cache:truecrypt.sourceforge.net/ http://webcache.googleusercontent.com/search?q=cache:truecrypt.org > 404. That’s an error. (Und das ist kein 404 weil die URL syntaxmäßg falsch ist, sondern weil es entfernt wurde. Alle anderen URLs die ich ausprobiert habe funktionieren einwandfrei, auch andere sourceforge-Projekte, z.B. http://webcache.googleusercontent.com/search?q=cache:lame.sourceforge.net ) Eigentlich ist das wie eine riesige digitale Schnitzeljagd :-P
:
Bearbeitet durch User
A. K. schrieb: > Denn das da ein > vorsätzliches Loch drin ist, darauf kann man seinen Arsch verwetten http://blogs.msdn.com/b/si_team/archive/2006/03/02/542590.aspx Ferguson hat einen Ruf zu verlieren. Du auch? Klar kann da eine Backdoor drin sein. Aber was du hier tust, grenzt schon hart an Verleumdung.
Wie ist das? Bekommt man die alten Versionen jetzt noch aus sicheren Quellen? Ich habe mich gefreut, dass ich Versionen 7.1a und 6.x noch als Archiv zum Installieren habe, aber zu früh gefreut, das sind die Mac-Versionen…
Schon mal Google probiert? Da gibt es Sites, die bieten die EXEn von 3.1 bis 7.1a
Detlef Kunz schrieb: > Schon mal Google probiert? Das Stichwort ist 'sicher'. Man bekommt alles irgendwoher, oder zumindest etwas, das den gleichen Namen hat. Aber das ist mir zu unsicher. Grendel schrieb: > Gibts bei Heise Das erachte ich persönlich als sicher. Danke.
Keine Lust mehr? http://www.heise.de/newsticker/meldung/Ende-von-Truecrypt-Entwickler-hat-angeblich-Interesse-verloren-2211228.html pfffft. Und dann so ein komischer Abgang... klaro.
Grendel schrieb: > Andreas B. schrieb: >> von daher könnte man da ja >> den Code auch klauen? > > Der Code soll aber ziemlich unschön sein und sich nur mit sehr > speziellen Compilern überhaupt bauen lassen... ist also die Frage ob das > überhaupt jemand will. Schon mal reingeschaut? Schlecht kommentiert, aber sauber eingerückt, sieht für mich nicht besonders chaotisch aus. Kompillieren lässt sich der C / C++ Teil mit dem GCC, aber es gibt noch ein paar Assembler Teile, für diese wird ein Spezieller Compiler benötigt, ist aber nicht besonders viel. Mal schauen was passiert...
Warum soll die NSA erst jetzt an einer Hintertür in Truecrypt interessiert sein? Also wenn sie es jemals waren, dann sicher schon seit Ewigkeiten und dann wird auch schon seit Ewigkeiten eine Backdoor vorhanden sein oder ein unabsichtlicher Bug bekannt sein. Warum löscht man alles wenn man zu einer Backdoor gezwungen werden soll? Sie hätten das Lizenzmodell abändern können, sich rausnehmen und den Support einstellen, aber warum löschen und warum so gründlich? Warum zerstört man absichtlich sein Lebenswerk? Für mich sieht es eher so aus als wollen sie so tun als ob die NSA dahinter stecke. In Wirklichkeit ist es jedoch etwas ganz anderes. Vielleicht der anstehende Audit? Vielleicht persönliche Gründe zwischen den Entwicklern. Vielleicht Lizenz-/Patentprobleme. Schade drum.
Frank M. schrieb: > Warum löscht man alles wenn man zu einer Backdoor gezwungen werden soll? > Sie hätten das Lizenzmodell abändern können, sich rausnehmen und den > Support einstellen, aber warum löschen und warum so gründlich? Im Heise-Forum hab ich die Theorie gelesen, das man auf die Art das Produkt unglaubwürdig machen kann und ihm so niemand mehr vertraut -> Wechsel. Und spätestens bei den Anleitungen für Mac- und Linux-Usern ist da ja nun einiges im Argen. Wenn man nicht drüber reden darf, das die NSA da was mit reingebaut hat eine durchaus mögliche Variante, die Nutzer zu informieren. Alternativ hat die NSA einfach die Seite gekapert und alle, die nun aufgeschreckt von der Meldung die Website besuchen werden getrackt, da sie sich dafür interessieren und damit potenzielle Terroristen sind.
Ich vermute auch dass irgend eine staatliche Stelle* Druck auf die Entwickler ausübt. Wahrscheinlich mit dem Ziel irgendwie Zugriff auf verschlüsselte Daten zu bekommen. Nach dem bisherigem Wissensstand ist die Verschlüsselung bei korrekter Anwendung ja nicht zu knacken. Nun haben sie sich dazu entschlossen dem nicht nachzugeben und lieber ihr Projekt zu beenden, wie es auch bei Lavabit geschah. "WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues" Könnte man ja bei jeder Software drüber schreiben. Wer will schon einen Beweis für das Gegenteil führen und seine Hand dafür ins Feuer legen? Damit (und den kruden Handlungsanweisungen) soll wohl durch die Blume mitgeteilt werden, dass irgendetwas passiert ist, über das man nicht reden will oder kann. Falls durch das laufende Audit etwa eine gravierende Sicherheitslücke aufgedeckt worden wäre hätte man dies auch so kommunizieren können. *M.W. sind die Entwickler bisher nicht bekannt. Sind sie überhaupt in den USA ansäßig?
Grendel schrieb: > Der Code soll aber ziemlich unschön sein und sich nur mit sehr > speziellen Compilern überhaupt bauen lassen... ist also die Frage ob das > überhaupt jemand will. Ist zwar schon ein paar Jahre her, aber eine frühere Version habe ich problemlos mit VC6 und dem DDK übersetzen können. Zu der Zeit war aber noch kein BIOS Code mit dabei. D.h. es gingen nur Container aber nicht die BOOT-Partition. Dafür und nur dafür wird der 16bit Compiler benötigt. Ich kann die Entwickler nur zu gut verstehen. So lange man noch an der eigentlichen Verschlüsselung, den Containern oder dem Verstecken von Passworten arbeitet, macht die ganze Sache noch Spaß. Auch die Systemtreiber mögen noch gehen. Spätestens beim Zwang nach Signieren der Treiber (64bit) und in der Summe 10 Betriebssystemen (W7,W8,W8.1,Linux jeweils 32 und 64bit, XP und OSX) hört der Spaß auf. Da ist man nur noch der gejagte. Die größte Herausforderung dürfte allerdings der UFEI-Bootvorgang sein. Um das Produkt weiter zu pflegen wäre das aber in Zukunft zwingend. Da muss man schon masochistisch veranlagt sein um sich das an zu tun. Vor allem wenn man was ganz anderes will. Ich würde es begrüßen, wenn Teile aus dem jetzigen Stand in einen neuen Fork fließen der nur mit Containern umgehen kann und den Bootvorgang völlig aussen vor läßt. Das würde den Code wesentlich vereinfachen und in den meißten Fällen ausreichend sein. Frank M. schrieb: > Warum zerstört man absichtlich sein Lebenswerk? Lebenswerk ist wohl etwas hoch gegriffen. Das kann nur mal eine nebenbei Aktion gewesen sein, oder wo von sollen die Macher gelebt haben? Ich denke die haben die Reißleine gezogen, weil sie eben nicht für Lau ein Leben lang arbeiten können.
old man schrieb: > Ich würde es begrüßen, wenn Teile aus dem jetzigen Stand in einen neuen > Fork fließen der nur mit Containern umgehen kann und den Bootvorgang > völlig aussen vor läßt. Das würde den Code wesentlich vereinfachen und > in den meißten Fällen ausreichend sein. Auf gar keinen Fall. Die Vollverschlüsselung war ja gerade der große Vorteil von Truecrypt. Reine Containersachen kamm man auch mit diversen anderen Programmen machen aber Vollverschlüsselung nur mit einigen wenigen, meist kostenpflichtigen.
old man schrieb: > Ich würde es begrüßen, wenn Teile aus dem jetzigen Stand in einen neuen > Fork fließen Es ist unklar, ob die bizarre Lizenz Forks zuläßt.
Stefan Rand schrieb: > old man schrieb: >> Ich würde es begrüßen, wenn Teile aus dem jetzigen Stand in einen neuen >> Fork fließen > > Es ist unklar, ob die bizarre Lizenz Forks zuläßt. Andererseits, wer will klagen, wenn man sie verletzt? Die Urheber von TrueCrypt?
Das reicht trotzdem, daß beispielsweise namhafte Experten sich davon fernhalten würden: ein Audit wie gerade bei TrueCrypt wäre undenkbar. Und keine Distribution würde das verteilen wollen. --> Spielzeug für drei Dutzend Nerds, mehr nicht
Reinhard S. schrieb: > Andererseits, wer will klagen, wenn man sie verletzt? Die Urheber von > TrueCrypt? Da finden sich immer "Spezialisten" dafür, sich die Rechte auch uralter Software zu beschaffen und dann alle zu verklagen. SCO hat gerade eine neue Runde um die Unix-Rechte eingeläutet. In Deutschland mit seiner Abmahn-"Kultur" ist das noch einfacher, da muss ein Rechtsanwalt nur einfach behaupten er hätte die Rechte, das wird alles glatt durchgewunken. Georg
Georg schrieb: > Da finden sich immer "Spezialisten" dafür, sich die Rechte auch uralter > Software zu beschaffen und dann alle zu verklagen. SCO hat gerade eine Wie sollen die das denn hinkriegen, wenn die Rechteinhaber anonym sind? > neue Runde um die Unix-Rechte eingeläutet. In Deutschland mit seiner > Abmahn-"Kultur" ist das noch einfacher, da muss ein Rechtsanwalt nur > einfach behaupten er hätte die Rechte, das wird alles glatt > durchgewunken. Blödsinn. Wie so oft: viel Meinung, wenig Ahnung.
Also das die originale Webseite "defaced" aka umgeleitet wird und dort absolut hahnebüchener Unsinn steht sollte ja wohl in die "richtige" Richtung zeigen. Da TrueCrypt7.1a im Audit ist kann man davon ausgehen das der dortige Sourcecode 1. original ist und 2. auch von den Auditleuten zur Verfügung gestellt werden kann und sollte. Das bauen von TrueCrypt ist nicht so ganz trivial dafür gibt es aber einige Seiten wo detailliert beschrieben wird wie das geht und was man braucht. Dort findet sich idR auch der Sourcecode. Ich empfehle alles was vor 2014 veröffentlicht wurde als relativ seriös einzuschätzen, ich habe hier mehrere TrueCrypt7.1a.exe die von 2013 sind und jeweils 3,30MB haben. Die digitale Signatur der Windows Version ist vom Dienstag, 7. Februar 2012 22:56:09 und lautet:
1 | Schlüssel-ID=d2 5b f3 4b 26 4b a5 b0 e7 5d fd 56 7f f6 f1 2e 38 4e 53 a0 |
Fingerabdruck:
1 | 58 20 fd ce 18 fb 95 80 e1 a5 9d 2b 58 fc 2b da 3d 6d 08 f6 |
Und bei heise, cnet usw. gibt es die Dateien von 2012 immer noch zum herunterladen. Version 7.2 sollte NICHT installiert werden, wozu auch ...
Die 7.2 habe ich mir runtergeladen und abgespeichert, werde sie jedoch nicht verwenden da absolut jeder diese Seite gefaked haben könnte und die eMails vielleicht auch von irgend welchen "taNSAnia" Hackern kommen könnten. Ich nutze auch TrueCrypt 7.1a auf meinem Laptop, einfach aus dem Grund weil dieses Laptop auch gestohlen werden kann oder ich es vielleicht einfach mal im Zug vergesse ... kann passieren. Wenn die Daten die da vom Arbeitgeber drauf sind plötzlich irgend wo anders genutzt werden kann es ihn vielleicht wirtschaftlich ruinieren oder einfach nur schädigen, dann kickt er mich natürlich ins Weltall. Wenn dem Auftraggeber zum Beispiel plötzlich ein sehr ähnliches Produkt angeboten wird, dann würde man sich natürlich fragen wie die das gemacht haben. Es kann natürlich auch sein dass ein paar Leute aus den USA über seine Windows-PCs zugriff auf solche Daten bekommen, aber man hofft einfach dass die Amis nicht so extrem unfair sind und Wirtschaftsspionage betreiben. ... wenn es um viel Geld geht vergessen leider viele Menschen ihre gute Kinderstube.
Mike J. schrieb: > aber man hofft einfach > dass die Amis nicht so extrem unfair sind und Wirtschaftsspionage > betreiben. Wie naiv.
Stefan Rand schrieb: > Ferguson hat einen Ruf zu verlieren. Du auch? > > Klar kann da eine Backdoor drin sein. Aber was du hier tust, grenzt > schon hart an Verleumdung. Immer noch nichts aus der ganzen NSA-Affäre gelernt? Jedes US-Unternehmen kann gerichtlich dazu gezwungen werden, Backdoors einzubauen, und muss darüber stillschweigen bewahren. Die NSA wäre dumm, diese Möglichkeit auszulassen, wenn sie sie schon hat.
Ich benutze schon seit Ewigkeiten LUKS statt TrueCrypt. Vollverschlüsselung geht damit auch wunderbar.
Reinhard S. schrieb: > Mike J. schrieb: >> aber man hofft einfach >> dass die Amis nicht so extrem unfair sind und Wirtschaftsspionage >> betreiben. > > Wie naiv. Aber wirklich.
vn nn schrieb: > Stefan Rand schrieb: >> Ferguson hat einen Ruf zu verlieren. Du auch? >> >> Klar kann da eine Backdoor drin sein. Aber was du hier tust, grenzt >> schon hart an Verleumdung. > > Immer noch nichts aus der ganzen NSA-Affäre gelernt? vn nn mal wieder... :-( > Jedes US-Unternehmen kann gerichtlich dazu gezwungen werden, Backdoors > einzubauen, und muss darüber stillschweigen bewahren. Die NSA wäre dumm, > diese Möglichkeit auszulassen, wenn sie sie schon hat. Lies doch einfach mal, was Ferguson schreibt. Wenn Microsoft gezwungen würde, eine Backdoor einzubauen, dann würden sie das tun. Dann hätte Ferguson aber "knapp vorher" Microsoft verlassen und stattdessen wäre nun ein völlig unbekannter Grünschnabel an seiner Stelle.
Chip hin oder her... hat jemand von Euch eine Version, die älter als 7.1 ist und nicht jetzt, sondern damals, als diese veröffentliche wurde, geladen hat? Gruß Mr.X
Mr. X schrieb: > Chip hin oder her... > hat jemand von Euch eine Version, die älter als 7.1 ist und nicht jetzt, > sondern damals, als diese veröffentliche wurde, geladen hat? > > Gruß > Mr.X Siehe meinen obigen Post das ist die letzte offizielle Version von truecrypt. Auf heise und bei anderen Verlagen gibt es diese noch. Ich könnte die verschiedenen Dateein die auf meinem Stick/Platte sind auf einen freehoster laden, ob das als "sicher" zu werten ist ... Den Source-Code gibt's z.B. hier: http://truecrypt.me/ Anleitungen zum compileren gibt's hier: http://www.nerdenmeister.org/2013/08/16/build-truecrypt-on-os-x-64-bit-with-hardware-acceleration/ http://stackoverflow.com/questions/13379644/how-do-i-build-truecrypt-on-windows https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis//
Such doch mal, auf welchen Heft-CDs (c't etc.) das drauf war und bestell das Heft nach oder schieß es dir bei ebay.
@verunsicherer Wozu selbst kompilieren, wenn es schon jemand von Euch getan hat? So paranoid bin ich nicht, Euch traue ich noch... Den Links von Chip, heise & co. um ehrlich zu sein aber nicht mehr. Stefan Rand schrieb: > Such doch mal, auf welchen Heft-CDs (c't etc.) das drauf war und > bestell > das Heft nach oder schieß es dir bei ebay. Gute Idee!
Mr.X schrieb: > @verunsicherer > > Wozu selbst kompilieren, wenn es schon jemand von Euch getan hat? > So paranoid bin ich nicht, Euch traue ich noch... OK, meine Version heruntergeladen am 23.11.2013 von truecrypt.org: http://www.multiupload.nl/B7P62WYIE0 Checks mit den MD5s von heise&Co. ...
Fritz schrieb: > Dann hätte Ferguson aber "knapp vorher" Microsoft verlassen > und stattdessen wäre nun ein völlig unbekannter Grünschnabel an seiner > Stelle. Ja und? Dass es vereinzelt anständige Menschen gibt ändert doch garnichts an der allgemeinen Situation. Da hat dann bloss einer seinen Job verloren, ein völlig unbedeutender Kollateralschaden. Ein paar solche Vorgänge, und es ist niemand mehr da, der über staatliche Backdoors ein Wort verlieren würde. Und alles ist Friede Freude Eierkuchen. Georg
Mr. X schrieb: > Chip hin oder her... > hat jemand von Euch eine Version, die älter als 7.1 ist und nicht jetzt, > sondern damals, als diese veröffentliche wurde, geladen hat? Ich hätte ne 6.0a von 2008 im Angebot, die auf einer externen Platte geschlummert hat.
verunsicherer schrieb: > Mr.X schrieb: >> @verunsicherer >> >> Wozu selbst kompilieren, wenn es schon jemand von Euch getan hat? >> So paranoid bin ich nicht, Euch traue ich noch... > > OK, > meine Version heruntergeladen am 23.11.2013 von truecrypt.org: > http://www.multiupload.nl/B7P62WYIE0 > Checks mit den MD5s von heise&Co. ... Vielen Dank! Die Cheksumme stimmt sogar, hätte ich nicht erwartet... ######## Ist das eigentlich möglich, dass die Aktion schon länger geplant war mit dem Ziel, dass sich die Leute auf die 7.1 Version stürzen? (Wozu auch immer...?)
Sind eigentlich die tc container mit luks benutzbar? Habe keine Lust alles umzukopieren.
infratrot schrieb: > Sind eigentlich die tc container mit luks benutzbar? Habe keine Lust > alles umzukopieren. Soweit ich weiß nicht.
Mr.X schrieb: > Ist das eigentlich möglich, dass die Aktion schon länger geplant war mit > dem Ziel, dass sich die Leute auf die 7.1 Version stürzen? > (Wozu auch immer...?) Wohl kaum. Version 7.1.1.0 ist von Dezember 2012, danach wurde nichts neues eingepflegt. Wird eher so sein das die "GUTEN(TM)" eben die "BÖSEN(TM)" an den ganzen "Terrorraubkopierkindesschändermenschenessergedöhns" hindern wollen. Keiner hat was zu verbergen, frag mal einen CEO Deiner Wahl nach seinem Bruttogehalt ohne Boni und Du wirst sehen, der hat nix zu verbergen ! QED ... infratrot schrieb: > Sind eigentlich die tc container mit luks benutzbar? Habe keine Lust > alles umzukopieren. Auch wenn die Verchlüsselung identisch ist sind es unterschiedliche OS/FS und Software. Also mit TC entschlüsseln und mit LUKS neue Container anlegen. Dafür gibt's Skripte.
Mike J. schrieb: > Die 7.2 habe ich mir runtergeladen und abgespeichert, werde sie jedoch > nicht verwenden da absolut jeder diese Seite gefaked haben könnte und > die eMails vielleicht auch von irgend welchen "taNSAnia" Hackern kommen > könnten. Ich habe den Sourcecode der Version 7.2 und 7.1A verglichen, es wurde nichts eingefügt, was nach aus einer Hintertür aussieht, es wurde grösstenteils nur gelöscht. (Und ich habe explizit darauf geachtet, ich habe aber nicht geprüft, ob der Sourcecode mit den Binaries übereinstimmt!) vn nn schrieb: > Immer noch nichts aus der ganzen NSA-Affäre gelernt? > Jedes US-Unternehmen kann gerichtlich dazu gezwungen werden, Backdoors > einzubauen, und muss darüber stillschweigen bewahren. Die NSA wäre dumm, > diese Möglichkeit auszulassen, wenn sie sie schon hat. Wobei bei TrueCrypt nicht klar ist woher die Entwickler kommen, ich habe gelesen der Markenname wurde in der Ukraine registriert (finde ich aktuell nicht mehr, kann also auch falsch sein). mfg Andreas
verunsicherer schrieb: > Mr.X schrieb: >> Ist das eigentlich möglich, dass die Aktion schon länger geplant war mit >> dem Ziel, dass sich die Leute auf die 7.1 Version stürzen? >> (Wozu auch immer...?) > > Wohl kaum. > Version 7.1.1.0 ist von Dezember 2012, danach wurde nichts neues > eingepflegt. > Wird eher so sein das die "GUTEN(TM)" eben die "BÖSEN(TM)" an den ganzen > "Terrorraubkopierkindesschändermenschenessergedöhns" hindern wollen. > Keiner hat was zu verbergen, frag mal einen CEO Deiner Wahl nach seinem > Bruttogehalt ohne Boni und Du wirst sehen, der hat nix zu verbergen ! > QED ... > Natürlich hat er nichts zu verbergen... Ich doch auch nicht ;-)
Georg schrieb: > Dass es vereinzelt anständige Menschen gibt ändert doch > garnichts an der allgemeinen Situation. Jeder Mensch ist kaeuflich. Muss nicht unbedingt in USD oder EUR sein. Muss auch nicht heissen, dass er deshalb gleich unanstaendig ist. Aber eine Preisetikette traegt jeder von uns mit sich herum. Bei den einen ist sie gut, bei den anderen weniger gut sichtbar.
Mehmet Kendi schrieb: > Jeder Mensch ist kaeuflich. Muss nicht unbedingt in USD oder EUR sein. > Muss auch nicht heissen, dass er deshalb gleich unanstaendig ist. > Aber eine Preisetikette traegt jeder von uns mit sich herum. Bei den > einen ist sie gut, bei den anderen weniger gut sichtbar. Schließ nicht von Dir auf Andere...
Entschuldigung für die wahrscheinlich naive Frage, aber was ist so schwierig an Verschlüsselungsprogrammen, daß niemand in Deutschland etwas derartiges entwickeln kann? Das kann ja durchaus 4-5 Jahre in Anspruch nehmen, aber grundsätzlich sollten wir doch genügend Mathematiker und Informatiker besitzen, die derartiges können? Die Algorithmen für AES und ähnliches müßten doch sogar offen vorliegen und 'nur' in Programmform gebracht werden? Ich kann mir einfach nicht vorstellen, daß es auf der ganzen Welt nur ein paar hundert Leute gibt, die das notwendige Know-How besitzen ?!?!
Einerseits greift eine Vollverschlüsselung tief ins System ein und das muss erstmal geschafft werden. Andererseits muss die mathematische Seite auch sicher sein. Wer versteht genug von Kryptographie, um sicher zu sein, dass die Algorithmen so funktionieren? Die, die das tun, wollen für dieses Wissen auch bezahlt werden, und das ist nicht billig. Und zum Schluss muss man denen auch vertrauen. Vom BSI gibt es wahrscheinlich sowas, aber BSI und BND dürften zusammenarbeiten und da der BND die NSA beliefert hat, ist es da mit der Vertrauenswürdigkeit auch wieder nicht weit her.
Matthias schrieb: > Entschuldigung für die wahrscheinlich naive Frage, aber was ist so > schwierig an Verschlüsselungsprogrammen, daß niemand in Deutschland > etwas derartiges entwickeln kann? Die Verschlüsselung an sich würde ich nicht mal mehr selbst machen, dafür gibts heute genug Open Source Libraries. Aber true Crypt füllt z.B. den leeren Bereich im Filesystem mit Zufallszahlen, somit lässt sich im freien Bereich auch ein 2. Container verstecken. Um sowas zu realisieren muss TrueCrypt zusätzlich das Filesystem implementiert haben, sonst weiss es ja nicht welche Bereich das unbenutzt sind. In der Informatik werden oftmals keine echten Zufallszahlen verwendet, irgendwann beginnt sich die Serie zu widerholen. Dies wäre für sowas natürlich ungünstig, also braucht man einen guten Zufallsgenerator. Der Teufel liegt da im Detail, und vor allem testen etc. wird da häufig unterschätzt. Sowas gibt ziemlich viel Aufwand. Zudem behaupte ich mal es braucht dafür mindestens 2 Personen, einen der Kryptologie bis ins kleinste Detail kennt, und einen der Programmieren kann, und zwar wirklich, du darfst dir bei sowas natürlich keine Sicherheitslücken erlauben. Muss natürlich dann nochmals von unabhängigen Personen geprüft werden... ps. zum Thema OpenSSL: C/C++ eigent sich laut Experten schlecht für sowas, weil Speicherüberschreitungen möglich sind. Aber die Sprachen sind dann doch wider so gut wie vorgegeben, wegen Treibern etc. mfg Andreas
Matthias schrieb: > Entschuldigung für die wahrscheinlich naive Frage, aber was ist so > schwierig an Verschlüsselungsprogrammen, daß niemand in Deutschland > etwas derartiges entwickeln kann? Sehr schwierig ist das nicht. An jeder "Hochschule" HUST die Mathematik/Informatik lehrt gibt es Kryptographie Vorlesungen. Bei Mathematik ist es halt der Bezug zu Primzahlen und deren "Spezialität" die ja durch Quantencomputer oder neuen Erkenntnissen der Primfaktorzerlegung schnell als UPPS nicht mehr sicher erkannt werden kann. Allerdings gibt es ja nun die Quantenkryptographie ... Dussel schrieb: > Einerseits greift eine Vollverschlüsselung tief ins System ein und das > muss erstmal geschafft werden. > Andererseits muss die mathematische Seite auch sicher sein. Wer versteht > genug von Kryptographie, um sicher zu sein, dass die Algorithmen so > funktionieren? Die, die das tun, wollen für dieses Wissen auch bezahlt > werden, und das ist nicht billig. Das auf Treiberebene/Dateisystem zu können erfordert in der Tat ein gutes Wissen um das Betriebssystem und dessen "Besonderheiten". Daher ist eine Software die das auf verchiedenen Betriebssystemen portierbar kann sehr schön und aufwendig. Kosten enstehen bei kommerziellen Vorhaben, ein Praktikum/Diplom/Dissertation hat diesen Aspekt erstmal nicht. Gleiches gilt für OpenSource aus Lust und Laune, siehe Linux-Kernel ... Nur nützt das alles relativ wenig wenn ein Monopolist bei Version 666 die Höllenhintertür drin hat welche regelmäßig nach Hause telefoniert und sämtliche Firewalls mit regulären Anfragen eine Nase dreht ... Geht relativ einfach, OS "sieht" Browser XYZ und sendet in dessen Namen eine HTTPS Anfrage die von der Firewall durchgeleitet wird (ist ja authentisch) und meldet an Dienst ABC "Alder der hat bei youtube gerade einen Grannyficken gezogen, gleich mal Rente abchecken Alderwalder" Oder so ähnlich. Steganographie funktioniert in beide Richtungen ! P.S.: Leuts SPAM wegen "iypormo" denkt euch i statt y und man kann nicht posten, klaro m( OK SPAM ist Scheisse aber man könnte ja auf http o.ä. mittesten ? Mal sehen ob "ficken" geht und "pormo" nicht ... ROFL Zensoren auf "Pinkelpause" bierchenunddannabwedelndrauf Gut ich verstehe ja den Grundgedanken nur echter SPAM landet teilweise trotzdem hier ... Wenn das "lange" PS jemandem auf den Senkel geht kann es "editiert" werden. Bitte nicht den Hauptpost ! Danke.
Matthias schrieb: > Entschuldigung für die wahrscheinlich naive Frage, aber was ist so > schwierig an Verschlüsselungsprogrammen, daß niemand in Deutschland > etwas derartiges entwickeln kann? Das Können ist schon wichtig, aber nur ein Teil des Problems. Entweder bist du mit deiner Entwicklung völlig erfolglos, dann interessiert das niemanden, nützt aber auch keinem was. Oder das Ding ist gut und verbreitet sich, dann bekommst du bald Besuch von auffällig unauffälligen Männern, die dir klarmachen, dass deine Zukunft zu Ende ist wenn du keinen Generalschlüssel ablieferst. Das ist zumindest in den USA alles gesetzlich abgesichert, und die nehmen ihre Rechtslage auch für den Rest der Welt in Anspruch. Und hoffentlich glaubst du nicht, der BND oder irgendeine andere deutsche Institution könnte dich davor beschützen. Die möchten bloss auch eine Kopie des Schlüssels. Georg
In der Tat...eine intensive Beschäftigung mit Kryptographie kann womöglich lebensgefährlich sein. http://jetzt.sueddeutsche.de/texte/anzeigen/341672/Die-Akte-Tron-Wurde-der-Hacker-doch-ermordet-Eine-Spurensuche Bei Truecrypt ist es nicht nur die Windows- und Dateisystem-Komponente, die man beherrschen muss: Da die Verschlüsselungs- und Hash-Algorithmen noch vor dem Betriebssystem gestartet werden, muss man sich wahrscheinlich auch sehr gut mit Assembler, BIOS Calls, MBR und inzwischen auch mit UEFI/GPT und so ätzenden Sachen wie SecureBoot + BootLoader-Zertifikaten auskennen.
Andreas B. schrieb: > Um sowas zu realisieren muss TrueCrypt zusätzlich das Filesystem > implementiert haben, sonst weiss es ja nicht welche Bereich das > unbenutzt sind. Genau das macht TrueCrypt nicht. Es abeitet nur auf Blocktreiber-Ebene. Beim Anlegen eines Containers wird der komplett mit Zufallszahlen gefüllt. Ein Container im Container arbeitet von hinten nach vor und ist ausdrücklich nicht vor dem Überschreiben des ersten Containers geschützt. Da muss man schon selbst aufpassen, dass das nicht in einander läuft.
Das ganze was da anscheinend passiert, hat sogar einen eigenen Namen: http://en.wikipedia.org/wiki/Warrant_canary Ist natürlich alles spekulation, wie auch "WARNING: Using TrueCrypt is n ot s ecure a s it may contain unfixed security issues aber klingt schon plausibel, und Verschwörungstheorien sind sowieso super
old man schrieb: > Andreas B. schrieb: >> Um sowas zu realisieren muss TrueCrypt zusätzlich das Filesystem >> implementiert haben, sonst weiss es ja nicht welche Bereich das >> unbenutzt sind. > > Genau das macht TrueCrypt nicht. Es abeitet nur auf Blocktreiber-Ebene. > Beim Anlegen eines Containers wird der komplett mit Zufallszahlen > gefüllt. Ein Container im Container arbeitet von hinten nach vor und > ist ausdrücklich nicht vor dem Überschreiben des ersten Containers > geschützt. Da muss man schon selbst aufpassen, dass das nicht in > einander läuft. Sicher? Schon mal in die Sourcen geschaut? (Version: 7.1a) Fat.c, Zeile 256 wird eine neue FAT angelegt. Ab Zeile 391 werden die freien Blöcke mit Zufallszahlen überschriben. Wer will kanns selber nachprüfen... Gegenbeweis?! mfg Andreas
vorsicht, ich glaube ihr werft da was durcheinander: Hidden Container in TC Container (hidden oder nicht): wenn der innhalt im äusseren Container wächst kann er den inneren überschreiben (muss er ja auch, da sonst die plausible deniability nicht funktionieren würde). in den container selbst herscht natürlich ordnung und ein funktionierendes dateisystem. sg
> Matthias schrieb: > Entschuldigung für die wahrscheinlich naive Frage, aber was ist so > schwierig an Verschlüsselungsprogrammen, daß niemand in Deutschland > etwas derartiges entwickeln kann? Doch gibt es: Eine deutsche Firma für Sicherheitsprodukte entwickelte das kostenpflichtige Produkt "driveCrypt" mit dem ergebnis, das ein "einfacher" LKA-Beamter eine Hintertür fand: ein Systemkonto mit Defaultusername und Defautpasswort... Wenn man bedenkt, daß die Bundeswehr dieses Produkt auf ihren Laptops einsetzten wollte... verunsicherer schrieb: > Sehr schwierig ist das nicht. > An jeder "Hochschule" HUST die Mathematik/Informatik lehrt gibt es > Kryptographie Vorlesungen villeicht war genau das der Schlag von Programmierer im obigen Fall. Oder im Fall der DVD-"Verschlüsselung" DeCss. Oder im Fall von WEP.... Andreas schrieb: > Der Teufel liegt da im Detail, und vor allem testen etc. wird da häufig > unterschätzt... > Zudem behaupte ich mal es braucht dafür mindestens 2 Personen, einen der > Kryptologie bis ins kleinste Detail kennt, und einen der Programmieren > kann, und zwar wirklich, du darfst dir bei sowas natürlich keine > Sicherheitslücken erlauben. und hier liegt der Hund begraben: In heutigen Informatik-Studiengängen lernst du nichts über sicheres Programmieren. Das musst du dir erst alles selbst erkämpfen: 1.Bau was und versuche es zu knacken. 2.Fixe es, dann nochmal knacken. 3.Nochmal fixen... 143.Und wenn du glaubst alles sei dicht, setz jemand anders ran zum knacken. 144:Nochmehr fixen... 3871.Wenn das durch ist, Profis holen, knacken lassen. 3872.Wieder fixen. ... 63943. Irgendwann ist das so sicher, daß auch die Leute, die gerade den SHA-3 gegenchecken nichts mehr finden würden. Dann hast du aber auch schon ein Level erreicht, daß dein Name anderen Firmen Respekt einflößt (weil du einer der wenigen weltweit bist, denen sowas gelungen ist). ;)
Andy P. schrieb: > Doch gibt es: Eine deutsche Firma für Sicherheitsprodukte entwickelte > das kostenpflichtige Produkt "driveCrypt" mit dem ergebnis, das ein > "einfacher" LKA-Beamter eine Hintertür fand: ein Systemkonto mit > Defaultusername und Defautpasswort... Wenn man bedenkt, daß die > Bundeswehr dieses Produkt auf ihren Laptops einsetzten wollte... Oh, dazu gibt es doch sicher eine Quellenangabe? Oder hat der Freund eines Schwagers der Putzfrau einer Nachbarin das gehört?
Nein, aber ich habe da was verwechselt: nicht DriveCrypt, sondern SageGuardEasy war das Produkt. DriveCrypt hat damit nix zu tun. Es ist ein paar Jahre her, daß ich solche ClosedSource-Software für Windosen in der Hand hatte. Ich sehe eigentlich heute größtenteils Truecrypt im Einsatz unter Windows, wenn Software genutzt wird. Hier kannst du mal ein paar Mitteilungen des Benutzers lesen: http://board.gulli.com/thread/994908-ultimaco-safeguard-easy-feat-kripo/ irgendwo hatte ich mal das Aktenzeichen aufgeschnappt, aber wo...
Matthias schrieb: > Entschuldigung für die wahrscheinlich naive Frage, aber was ist so > schwierig an Verschlüsselungsprogrammen, daß niemand in Deutschland > etwas derartiges entwickeln kann? Die Frage wäre eher, warum man so etwas entwickeln wöllte. Weil für richtige Betriebssysteme gibt es das ja. Stichworte: Linux, dm-crypt und cryptsetup. Kann wenn nötig auch mit TC Containern umgehen, aber realistisch wird man lieber Luks Container verwenden wollen. Für sicherheitskritische Anwendungen ist Windows ja ohnehin keine Wahl. Selbst die C2 Zertifizierung für NT soll ja Gerüchten zufolge nur dann gelten, wenn das System von jeglichem Netz (inclusive Stromnetz ;) getrennt ist. Etwas ernster jetzt: sobald du deinen Crypto-Container geöffnet hast, kann das Betriebssystem und jeder halbwegs privilegierte Prozeß da rein sehen. Wie vertrauenswürdig schätzt du denn den ganzen Krempel ein, der auf deinem Windows tickt? Vergiß nicht die ganzen Treiber, Virescanner etc. die aus verschiedensten Gründen mit erhöhten Privilegien laufen. Die traurige (für dich) Wahrheit ist, daß alle die die notwendigen Fähigkeiten haben so etwas zu programmieren, Windows selber nicht verwenden und folglich auch eher nicht als Zielplattform ansehen. Und auf den anderen Plattformen gibt es bereits gleichwertige oder bessere Alternativen. XL
Axel Schwenke schrieb: > Weil für > richtige Betriebssysteme gibt es das ja. Stichworte: Linux Ohne jetzt die Mutter aller Flamewars neu zu befeuern, ist das zwar nett und richtig, da aber "richtige" Betriebssysteme auf dem PC doch eher eine vernachlässigbare Verbreitung haben, ist die Frage nach einer Windows-Version nicht abwegig. Oliver
Ich denke, es handelt sich hier um eine "FUD-Kampagne" ( siehe: http://de.wikipedia.org/wiki/Fear,_Uncertainty_and_Doubt ). Hätten die Entwickler freiwillig aufgegeben, hätten sie mit hoher Wahrscheinlichkeit versucht, neue Projektbetreuer zu finden, das passiert bei großen und bedeutenden Open Source Projekten normalerweise. Natürlich kann es sein, daß man tatsächlich eine fundamentale Verwundbarkeit gefunden hat und diese weder preisgeben noch beheben kann, ohne existierende Nutzer zu gefährden. Aber wie wahrscheinlich ist das? Vor allem, wie wahrscheinlich im Vergleich zu anderen Fällen, in denen gewisse, einflußreiche Gruppen Programmierer eingeschüchtert haben? Als Beispiel genügt hier DVD Decrypter, es gilt als relativ gut belegt, daß der Entwickler auch Morddrohungen erhielt und schließlich zu dem Schluß kommen mußte, daß ihm noch was am Leben liegt - wer will es ihm verdenken? Und was die Medien-Mafia kann, können Geheimdienste jeglicher Art schon lange.
Axel Schwenke schrieb: > Etwas ernster jetzt: sobald du deinen Crypto-Container geöffnet hast, > kann das Betriebssystem und jeder halbwegs privilegierte Prozeß da rein > sehen. Wie vertrauenswürdig schätzt du denn den ganzen Krempel ein, der > auf deinem Windows tickt? Gegen Trojaner und Kollegen ist kaum ein Kraut gewachsen. Aber bei verlegten, geklauten, beschlagnahmten oder von der Grenzkontrolle abgezogenen Platten oder USB-Sticks können solche Verschlüsselungen schon hilfreich sein. Vor einigen Jahren haben sich die Briten mal dadurch hervorgetan, dass alle naselang von verlorenen oder an seltsamen Orten aufgetauchten Medien aus dem Regierungsbereich berichtet wurde. Mittlerweise ist da zwar etwas Ruhe eingekehrt, aber ob die besser wurden oder die einhunderste Disk mit hochgeheimen Daten nur noch langweilt weiss ich nicht.
:
Bearbeitet durch User
Sebastian schrieb: > Hätten die > Entwickler freiwillig aufgegeben, hätten sie mit hoher > Wahrscheinlichkeit versucht, neue Projektbetreuer zu finden, Vielleicht gibt's auch einfach gar keine Entwickler mehr. Schließlich kennt die ja niemand, vielleicht kennen die sich ja selber auch nicht, und wenn dann gar keiner mehr übrig ist, merkt das ja auch zunächst niemand. Oliver
Matthias schrieb: > Entschuldigung für die wahrscheinlich naive Frage, aber was ist so > schwierig an Verschlüsselungsprogrammen, daß niemand in Deutschland > etwas derartiges entwickeln kann? Ganz offensichtlich beginnen die Probleme bereits viel tiefer an der Basis. Es ist hier ja offensichtlich niemand in der Lage den Code so zu verstehen, dass er / sie sagen könnte ob da eine Backdoor drin ist. Das war doch sonst immer DAS Argument aller Closed Source Verweigerer und Linux Enthusiasten.
Es gibt mehrere grundverschiedene Arten von Backdoors und potentiellen Problemen. Das macht die Sache kompliziert. Ein paar Beispiele: (1) Da wären Backdoors in grundlegenden Verfahren. In diese Klasse gehört eine Diskussion über einen von einem US-Standardisierungsinstitut gepushten Zufallsgenerator auf Basis von elliptischen Kurven, von dem angenommen wird, dass er letztlich eine hochgeheime "Abkürzung" zulässt. Das ist höhere Mathematik und der sich darin gut auskennende Personenkreis ist sehr beschränkt. (2) Da wären Implementierungsfehler, bei Speicherverwaltung, ungeprüften Parametern etc, also der ganze Schmonzes mit dem viele Softwareentwickler routinemässig zu tun haben (und den sie ebenso routinemässig versemmeln). Wie etwa beim Heartbleed in OpenSSL. (3) Dann gibt es subtile Implementierungeigenschaften, zu denen weder Mathematiker noch normale Softwareentwickler von Haus aus einen Draht haben: side channel attacks. Es kann die Laufzeit von Verschlüsselung vom Schlüssel abhängen, es kann das Zugriffsverhalten auf Speicher und Cache-Levels etwas über den Schlüssel verraten, und mehr in dieser Richtung. Um auf dieser Ebene kompetent zu sein muss man sich in Details aktueller Prozessorimplementierungen recht gut auskennen. Code Auditing adressiert hauptsächlich (2). Zu (1) hilft Gottvertrauen gepaart mit Skepsis. Und bei (3) artet es bös in Arbeit aus, wenn man nicht auf bereits als sicher geltendem Code aufsetzt.
:
Bearbeitet durch User
Andy P. schrieb: > verunsicherer schrieb: >> Sehr schwierig ist das nicht. >> An jeder "Hochschule" HUST die Mathematik/Informatik lehrt gibt es >> Kryptographie Vorlesungen > villeicht war genau das der Schlag von Programmierer im obigen Fall. > Oder im Fall der DVD-"Verschlüsselung" DeCss. Oder im Fall von WEP.... HUST Also DVD war von Anfang an wegen der "security by obscurity" zum Scheitern verurteilt. Die einmalig vergebenen Keys sind einfach ausgelesen worden. WEP&Co. sind da schon aufwendiger, nur absolute Sicherheit kann es nicht geben sobald es sich um einen allgemeinen Standard handelt. Angriffsfläche gibt es immer im Bereich der sozialen Umgebung. Wie war das noch, einer hat gewettet das Rootkennwort zu bekommen und nachdem der CEO einverstanden war hat der andere einfach in den Flur gebrüllt "Wie war nochmal das root Paßwort ?" und hat es mehrfach bekommen ? Mit Publickeyverfahren die für jedes Paket einen neuen zufällig generierten Schlüssel aushandlen läßt sich eine Kommunikation direkt sicher durchführen. Das bedeutet aber nicht das man das "Ende" außer Acht lassen kann. Der Vorteil bei echter Ende zu Ende Verschlüsselung liegt ja gerade darin das nur eines der beiden Enden der Schwachpunkt sein kann. Daher ist DE-mail und die dämliche "Geaundheitskarte" ja gerade das Gegenteil. Dagegen ist GOOGLE ja noch sehr transparent und "achtet" die Privatsphäre ... Absolute Sicherheit gibt es nicht. Kannst ja mal den Südafrikaner fragen dessen Biometrie gesicherten Luxuswagen mit seinem abgeschnittenen Finger den Besitzer gewechselt hat ... Für was steht nochmal VT ????11??ELF?? ROFL
verunsicherer schrieb: > hat der andere einfach in den Flur > gebrüllt "Wie war nochmal das root Paßwort ?" Eben. Im Zweifelsfall ist Waterboarding viel billiger und schneller als ein Supercomputer. Georg
verunsicherer schrieb: > Mit Publickeyverfahren die für jedes Paket einen neuen zufällig > generierten Schlüssel aushandlen läßt sich eine Kommunikation direkt > sicher durchführen. Was hat das mit public key zu tun?
Georg schrieb: > verunsicherer schrieb: >> hat der andere einfach in den Flur >> gebrüllt "Wie war nochmal das root Paßwort ?" > > Eben. Im Zweifelsfall ist Waterboarding viel billiger und schneller als > ein Supercomputer. > > Georg Wo wir weiber bei xkcd landen: http://xkcd.com/538/
> Ich benutze schon seit Ewigkeiten LUKS statt TrueCrypt.
habe gerade einen 4GB Stick mit Luks präpariert.
cryptsetup -c aes-cbc-essiv:sha256 -s 256 luksFormat /dev/sdb
einschließlich Format als vfat hat das nur Sekunden gedauert,
während Truecrypt einige Minuten braucht.
Somit wirkt Truecrypt sicherer.
Nürnberger schrieb: > Somit wirkt Truecrypt sicherer. Respekt vor so viel Fachwissen. Den Job als Cryptoexperte hast du sicher.
verunsicherer schrieb: > Also DVD war von Anfang an wegen der "security by obscurity" zum > Scheitern verurteilt. Komisch, bei Blu-Rays klappt AACS vorzüglich...
Nürnberger schrieb: > einschließlich Format als vfat hat das nur Sekunden gedauert, > während Truecrypt einige Minuten braucht. Anleitung lesen. Das macht alles noch viel sicherer. du hast den "Schnellen weg" gewählt. Für mehr Sicherheit(*) schlagen eben viele Anleitungen vor: Device vorher mit /dev/(u)random überschreiben oder nachher das gecryptete Device mit random oder /dev/zero. Das dauert dann auch mehrere Minuten oder mit /dev/random und fehlendem HW-RNG auch gerne Tage. *) Man kann dann ohne Key nicht mehr sehen, wieviele Daten auf dem Stick sind. Sicher sind die Daten darauf so oder so.
:
Bearbeitet durch User
Jetzt wissen wir, wer hinter Truecrypt steckt. Es ist der Raymond Reddington des Real Lifes: http://www.heise.de/security/artikel/Das-kriminelle-Superhirn-hinter-TrueCrypt-3160738.html
Der schwerreiche Großkriminelle hat sich also nach seinen Drogengeschäften abends noch ein bisschen hingesetzt und an seinem hochkomplexen Programm weitergearbeitet. Oder seine Angestellten haben nach seiner Verhaftung nicht das Programm einfach nur aufgegeben, sondern noch schön eine Nachfolgeversion programmiert und dafür gesorgt, dass diese verbreitet wird… Das klingt irgendwie nicht so überzeugend.
Georg schrieb: > Im Zweifelsfall ist Waterboarding viel billiger und schneller als ein > Supercomputer. Kann man Waterboarding auch mit Coca Cola machen und heißt dann das immer noch Waterboarding?
Dussel schrieb: > Der schwerreiche Großkriminelle hat sich also nach seinen > Drogengeschäften abends noch ein bisschen hingesetzt und an seinem > hochkomplexen Programm weitergearbeitet. Als er E4M geschrieben hatte, war er weder schwerreich noch Großkriminell. Erst als er mit Software eben nicht der gewünschten Erfolg (wie bei Hafner) kam, hat er sein Glück mit Online-Casin0s und Pharmazeutika gesucht. Meine Vermutung: E4M war der erste Grundstein, und als er dann mal die ersten 100Mio hatte, musste er sich ja irgendwie die Zeit vertreiben... ...Wer weiß ob TC nicht einfach eine schicke GUI für E4M ist!?
Der Artikel hat sein Erscheinungsdatum vermutlich rein zufällig am 1.April...
Realist schrieb: > Der Artikel hat sein > Erscheinungsdatum vermutlich rein zufällig am 1.April... Ich habe extra nach dem Datum gesucht, es aber nicht im Text vermutet…
Realist schrieb: > Der Artikel hat sein > Erscheinungsdatum vermutlich rein zufällig am 1.April... Nur bei Heise. http://journal-neo.org/2015/06/12/paul-calder-le-roux-arch-villain-or-arch-agent/ http://www.dailymail.co.uk/news/article-2890164/Revealed-successful-criminal-mastermind-ve-never-heard-real-life-Bond-villain-cocaine-gun-empire-spanning-four-continents-s-turned-super-snitch.html
Icke ®. schrieb: > Nur bei Heise. Ja. So irrt man sich. Also jetzt Veracrypt oder wie oder was ? Oder egal...
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.