9 Kommentare

  1. In der Tat sehr interessant. Und nicht selten werden Opensource-Projekte durch Regierungsnahe Unternehmensgruppen finanziert. Siehe TOR etc. Das Internet bleibt spannend ;)

  2. Interessante Information. Danke.

    Bitlocker, Filevault sind ja ok. Aber womit verschlüssele ich Betriebssystemübergreifend mobile Datenträger (USB-Sticks, mobile Festplatten etc.)?

    1. @Urs Müller:

      «Aber womit verschlüssele ich Betriebssystemübergreifend mobile Datenträger (USB-Sticks, mobile Festplatten etc.)?»

      Ja, das ist tatsächlich ein Problem … das durch die zunehmende Verlagerung von Daten in die Cloud (und andere Online-Speicher) aber an Bedeutung verliert – USB-Sticks begegnen mir beispielsweise kaum noch und externe Festplatten in erster Linie für eigene Backups, wo sich das Problem nicht stellt.

      1. Kopfkratzer sagt:

        Wieso soll der Wechsel zu Cloud-Speichern betriebssystemübergreifende Verschlüsselung obsolet machen? Ob ich in die Cloud, auf einen USB-Stick, oder eine mobile Festplatte speichere, ist doch vollkommen egal. Auch in der Cloud sind meine Daten unverschlüsselt (oder zumindest durch Backdoors oder auf gerichtliche Anordnung, National Security Letters, etc. beim Hoster entschlüsselbar, wenn ich mich nur auf dessen Verschlüsselungsversprechen verlasse), wenn ich nicht selbst aktiv verschlüssele.
        Und auch auf Cloud-Speicher kann ich mit verschiedenen Betriebssystemen zugreifen, benötige also eine Ver- und Entschlüsselungssoftware, die für Windows genauso verfügbar ist wie für unixoide Systeme (Mac, Linux, FreeBSD, Android, …).

        Klar, wenn man nur einzelne Dateien oder Archive austauschen will, kann man GPG verwenden. Aber ein virtuelles Laufwerk als Containerdatei, was unter Windows, Mac und Linux verfügbar ist, bot nur TrueCrypt.

        1. @Kopfkratzer:

          Ich hielt und halte TrueCrypt (und andere verschlüsselte Disk Images) nicht für geeignet um Daten mit anderen Nutzern auszutauschen.

          1. Kopfkratzer sagt:

            Scheinbar haben Sie’s immer noch nicht verstanden: Es geht nicht um den Austausch zwischen Nutzern (dafür reichen in der Tat GPG und Konsorten, sind sogar teilweise besser geeignet), sondern um den Austausch zwischen Betriebssystemen.

            Beispiel: Im Büro nutze ich einen Windows-PC, weil einige Firmenanwendungen leider nur für Windows erhältlich sind, mein Server läuft unter Linux, weil das schön ressourcenschonend ist, daheim habe ich einen Mac, wegen der Benutzerfreundlichkeit. Auf allen dreien möchte ich im Bedarfsfall auf einen einheitlichen Datenbestand (Korrespondenz in Form von archivierten E-Mails und Office-Dokumenten sowie PDFs) zugreifen, der verschlüsselt ist. Ohne die einzeln entschlüsseln zu müssen, dann irgendwo unverschlüsselt zwischenzuspeichern, zu bearbeiten, und wieder zurück zu verschlüsseln, sondern als eingebundenes, transparent verschlüsselndes Laufwerk.

  3. Philipp sagt:

    Die vorgeschlagene alternativen Bitlocker und FileVault sind erstmal nicht besser. Eigendlich sieht TrueCrypt sogar sicherrer aus, da 1. Der Sourcecode vorliegt. Ich hab ihn bei den alternativen auf die schnelle nicht gefunden.
    2. TrueCrypt wurde/wird einer Sicherheitsüberprüfung unterzogen, bei dem ersten Teil der Überprüfung sind keine schwachstellen aufgefallen.

    Es ist also der falsche Ansatz jetzt TrueCrypt einfach wegzuschmeißen, nur weil im Internet steht es sei unsicher[1]. Solte man nicht eher die selben kriterien[2] an die alternativen stellen, also wo ist der Sourcecode von FileValt und der Bugtracker von Bitlocker? Wer hat den Code eigendlich geschriben (eigendlich ist das völlig humpe, ich will nur nen Punkt machen)? Irgendein Praktikant der Firma Microsoft bzw. Appel oder wurde der Code von ner Indischen sofwareschmiede eingekauft? Die changelogs die ich gefunden habe sind auch nicht sonderlich aussagekräftig. Die 6+ Gründe[2] warum TrueCrypt unsicher ist, sind fast die selben Gründe warum die Alternativen unsicher sind.

    Ich will hier weder behaupten, dass Bitlocker und FileVault unsicher sind, noch das TrueCrypt sicher ist.

    Die neue TrueCrypt Version 7.2 würd ich aber nicht empfehlen, da die ganze aktion sehr intranspraent ist.

    Philipp

    [1]: Wir wissen ja alle, dass dinge die im Internet stehen per definiton war sind :-)

    [2]: http://www.macmacken.com/2009/.....truecrypt/ Zu dem Artickel noch ganz kurz: Macht es wirklich etwas aus dass die Authoren anonym sind?

    1. @Philipp:

      «Ich will hier weder behaupten, dass Bitlocker und FileVault unsicher sind, noch das TrueCrypt sicher ist.»

      Richtig. Allerdings behaupten – mutmasslich – die TrueCrypt-Entwickler selbst, dass ihre Software unsicher sei und raten von einer weiteren Verwendung ab beziehungsweise versuchen diese sogar zu verhindern, indem die aktuelle Version gar ncht mehr verschlüsseln kann. Insofern ist TrueCrypt unabhängig von denGründen, die wir vielleicht früher oder später erfahren, leider tatsächlich am Ende.

      Die Empfehlung, deshalb auf BitLocker zu wechseln, ist selbstverständlich absurd, auch wenn BitLocker für die meisten Windows-Nutzer durchaus eine valable Alternative sein dürfte.

      «Zu dem Artickel noch ganz kurz: Macht es wirklich etwas aus dass die Authoren anonym sind?»

      Es ist zumindest sehr ungewöhnlich und wirft Fragen auf. Aber TrueCrypt war ja auch nie freie Open Source-Software im engeren Sinn (unter anderem bezüglich Lizenz, Organisation und Repository), was schon immer zur Vorsicht mahnen liess.

  4. Thomas R. sagt:

    Die ungewöhnlichen Umstände dieser neuen Informationen werden in der Technik-Szene heftig diskutiert. Als gesichert gelten einige ungewöhnliche Umstände:

    – Der Private Key, mit dem signiert wurde, ist echt. Das spricht erstmal dafür, dass die Verlautbarung von den echten Entwicklern stammt. Ob die jetzt anonym sind oder nicht, spielt nun wirklich gar keine Rolle für die Vertrauenswürdigkeit, da der Quellcode zur Verfügung steht (und es zeugt nicht von riesigem Sachverstand, das als Argument anzuführen).

    – Dass aber gleichzeitig mit dieser sehr ungewöhnlichen Veröffentlichung die Truecrypt-Webpräsenz zum Hoster Sourceforge umgezogen ist, das hat schon ein Geschmäckle.

    – Es gibt einen üblichen Weg, gefundene Sicherheitslücken im eigenen Code zu veröffentlichen und zu korrigieren. Der gewählte Weg ist nicht nur verdächtig, sondern geradezu infantil. Der Verantwortliche hätte selbst mit viel Mühe keinen Weg wählen können, der seinem Ruf mehr schadet. Die Gründe, die für das Aufgeben der Software angeführt werden /(Windows 7 und 8 sind so sicher, dass man TrueCrypt gar nicht mehr braucht) sind derart hanebüchen, dass sie niemand mit dem geringsten technischen Sachverstand ernst nehmen kann.

    Drei Thesen werden diskutiert, die zur aktuellen Situation geführt haben könnten:

    a) Der anonyme Entwickler hatte einen Nervenzusammenbruch und hat darüber sein eigenes Projekt bestmöglich zerschlagen.

    b) Hacking, der Private Key wurde entwendet, das Vertrauen in TrueCrypt (das nach allem, was die professionelle Codeprüfung bisher ergeben hat, ausgesprochen sicher ist) sollte zerstört werden – das hat geklappt.

    c) Ein amerikanisches Gericht hat den Verantwortlichen ausfindig gemacht und ihn zum Einbau einer Backdoor für die interessierten Dienste verpflichtet. Wäre dabei die übliche Gag Order erlassen worden, wäre es dem Verantwortlichen bei empfindlicher Strafe verboten, diese Information zu veröffentlichen. Die einzige Option, die demjenigen bliebe, wäre das, was gerade geschehen ist: Eine Veröffentlichung, die die Software effektiv zerstört, aber keine tatsächlichen Hintergründe erwähnt. Und das in einer Weise, die so grotesk ist, dass der interessierte Nutzer die Wahrheit zwischen den Zeilen erahnen kann.

    Ich empfehle dem geneigten Leser, genauer über Möglichkeit c nachzudenken.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.