Seite 1 von 3 123 Letzte
  1. #1
    Avatar von Sky.NET
    Registriert seit
    26.11.2011
    Beiträge
    2.462
    Thanked 2.717 Times in 1.286 Posts
    Blog Entries
    7

    Standard Das Ende von TrueCrypt

    Name:  isec_truecrypt-680x400.jpg
Hits: 469
Größe:  63,9 KB




    Auf der Seite der bekannten Verschlüsselungssoftware "TrueCrypt" wird folgendes bekanntgegeben:

    This page exists only to help migrate existing data encrypted by TrueCrypt.

    The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms (click here for more information). You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.
    Während einige Firmen sich gerade noch vom HeartBleed-Sec-Bug erholen, jetzt der nächste Hammer,
    die oft eingesetzte Verschlüsselungssoftware TrueCrypt soll unsicher sein, ihre Entwicklung noch dazu beendet werden,
    eine Software die auch in Unternehmen eingesetzt wird und von sehr vielen Privatanwendern,
    die Wert auf den Diebstahlschutz ihrer Daten legen.

    Die Frage ist nur wie sinnvoll die ganze Aktion jetzt war, denn wie es bei OS-Software so ist,
    haben sich bereits hunderte User die zuletzt verfügbare funktionierende Version gespiegelt und bieten sie auf eigenen Servern an.
    Es kann sich nur um wenige Tage handeln, da sehe ich schon einen Nachfolger basierend auf einem Fork von TrueCrypt kommen.

    Was meint ihr dazu? Nutzt ihr TrueCrypt und seid betroffen?
    Java:
    Spoiler:

    Lustige Quotes:
    Spoiler:
    Zitat Zitat von Hydra Beitrag anzeigen
    Hier (in Deutschland) kann man keine andere tolle Aktivitäten machen, als zu chillen, shoppen, saufen und Partys feiern xD Ich habe nichts gegen ab und zu mal saufen und Partys feiern, aber das ist doch nicht wirklich das wahre Leben o_o
    Wieso das Internet für die meisten Leute gefährlich ist:
    Zitat Zitat von Silent Beitrag anzeigen
    Ich weiß ja nicht was der Sinn dahinter steckt es heißt immer "security reasons".

  2. The Following 3 Users Say Thank You to Sky.NET For This Useful Post:

    0x00 (08.08.2019), Benzol (01.06.2014), DMW007 (29.05.2014)

  3. #2
    Avatar von Sploxfreak
    Registriert seit
    25.01.2012
    Beiträge
    511
    Thanked 128 Times in 117 Posts

    Standard AW: Das Ende von TrueCrypt

    komisch truecrypt ist den behörden schon seit langer zeit ein dorn im auge und aufeinmal soll man den anbieter wechseln? O.o
    Vom Noob zum Übergott

  4. #3
    Avatar von UnknownUser
    Registriert seit
    07.05.2014
    Beiträge
    139
    Thanked 227 Times in 73 Posts

    Standard AW: Das Ende von TrueCrypt

    Also das stinkt gewaltig nach Geheimdiensten, die denen die Budde gestürmt haben.
    Umsteigen auf Bitlocker??
    Da kann ich die Daten gleich unverschlüsselt abspeichern. Ich werde mich jetzt um eine Open Source Alternative umsehen.
    Jemand einen Vorschlag?

  5. The Following User Says Thank You to UnknownUser For This Useful Post:

    0x00 (08.08.2019)

  6. #4
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard AW: Das Ende von TrueCrypt

    Was da als wichtige Hintergrundinfo noch fehlt ist, dass die neuste Version mit einem validen Schlüssel von den TrueCrypt-Entwicklern signiert wurde. Dadurch wird die Möglichkeit, dass die Seite gehackt wurde unwahrscheinlicher. Wobei es das mit zunehmender Zeit die verstreicht auch wird, da die Entwickler in diesem Fall das ganze logischerweise entfernen und klarstellen würden. Zumal es die Ankündigung auf der Truecrypt-Seite laut Wikipedia bereits seit gestern gibt.
    Im Prinzip gibt es dann nur eine zweite sinnvolle Begründung für dieses Verhalten: Die NSA steckt dahinter. Die kurz gehaltenen Infos auf der Seite deuten stark darauf hin. Wenn die Behörden in den USA von einem Unternehmen die Herausgabe von Kundendaten verlangen, darf das betroffene Unternehmen an niemanden Details darüber weitergeben, auch nicht an den Betroffenen. Sonst macht es sich Strafbar. Das Unternehmen darf noch nicht mal auf Nachfrage bestätigen, dass es überhaupt eine Anfrage gab. Klingt unglaubwürdig, ist aber in den USA Alltag. Wer es nicht glaubt kanns gerne hier nachlesen: National Security Letter - Wikipedia

    Passt auch sehr gut zu bisherigen Aktivitäten der NSA: Alles was man nicht knacken kann versucht man mit allen anderen Mitteln zu umgehen: Die Hardware bekannter Netzwerkhersteller wie Cisco wird verwanzt, Unternehmen werden bestochen damit sie Algorithmen schwächen und so weiter. Wieso also nicht auch TrueCrypt? Ist sehr verbreitet und hat einen guten Namen, bzw. hatte. Die Frage wo bleibt ist, ob dieser Hinweis ein Teil der NSA-Kooperation ist, oder ob wie bei Lavabit die Zusammenarbeit verweigert wurde und TrueCrypt daher die Entwicklung eingestellt hat. Ich kann mir gut vorstellen, dass die NSA vordergrundmäßig daran interessiert war, TrueCrypt zu kompromittieren. Die Software hat schließlich seit langem einen sehr guten Ruf. Soweit ich das noch im Kopf habe wurde vor kurzem erst der Source von TrueCrypt analysiert, um festzustellen ob TrueCrypt noch sicher ist oder bereits von der NSA verseucht. Mit Bitlocker habe ich mich noch nicht beschäftigt, aber im Zweifelsfall besser nicht nutzen. Mit Microsoft ist das ja eh so ne Sache, die stehen aufgrund ihrer Firmenlage und Marktmacht zwangsweise mit einem Bein in der NSA. Auch wenn MS und einige andere US-Firmen mittlerweile öffentlich dagegen protestieren, bezweifel ich, dass die mehr tun als nötig ist und sich im Zweifelsfall tatsächlich gegen die Regierung des eigenen Landes stellen. Mit 'Wir halten uns an geltende Gesetze' ist ja schnell ein Satz gesagt der beim Durchschnittsbürger positiv ankommt, aber in Wirklichkeit eben bedeutet: Wir geben der Regierung was sie von uns will, alles andere interessiert uns nicht, Thema erledigt. Und naja, es ist eigentlich auch nicht ihre alleinige Aufgabe.

    Wenn ich so was wieder höre frage ich mich, ob ich gestern wirklich nur rein fiktiv Watch Dogs gezockt habe, oder vielleicht doch stattdessen die Nachrichten gesehen habe...


  7. The Following 2 Users Say Thank You to DMW007 For This Useful Post:

    ano23 (09.06.2014), Benzol (01.06.2014)

  8. #5
    Avatar von Darkfield
    Registriert seit
    24.04.2013
    Beiträge
    3.046
    Thanked 1.779 Times in 1.268 Posts

    Standard AW: Das Ende von TrueCrypt

    Nein, ich nutze TrueCrypt nicht!
    Wichtige Daten werden mit 7-Zip gepackt und AES-Verschlüsselt.

    Nach dem nun bekannt ist das die NSA so ziemlich jedem Hersteller von Sicherheitssoftware, und auch Hardware,
    die Pistole "Patriot Act" auf die Brust gesetzt hat, ist wohl klar das kein aktueller Schutz wirklich vor Schnüffeleien schützt.
    Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren. (Benjamin Franklin)
    Die zwei häufigsten Elemente im Universum sind Wasserstoff und Blödheit. (Yonathan Simcha Bamberger)
    Wer schweigt, stimmt nicht immer zu. Er hat nur manchmal keine Lust mit Idioten zu diskutieren. (Albert Einstein)
    Der Weg zur Hölle ist mit guten Vorsätzen gepflastert. (Dante)
    Es gibt Besserwisser, die niemals begreifen, dass man recht haben und ein Idiot sein kann. (Martin Kessel)
    Doofheit ist keine Entschuldigung.

  9. #6
    Avatar von Sky.NET
    Registriert seit
    26.11.2011
    Beiträge
    2.462
    Thanked 2.717 Times in 1.286 Posts
    Blog Entries
    7

    Standard AW: Das Ende von TrueCrypt

    Zitat Zitat von Darkfield Beitrag anzeigen
    Nein, ich nutze TrueCrypt nicht!
    Wichtige Daten werden mit 7-Zip gepackt und AES-Verschlüsselt.
    Yay, das ist irgendwie nicht praktikabel, ausser du stellst dafür Jemanden ein.
    z.B. wenn du ein Buchhaltungsprogramm benutzt, ein E-Mail-Programm benutzt, Onlinebanking machst, Kundenakten hast, usw.
    Oder löschst du da jedes Mal nach dem Arbeiten alles woran du gearbeitet hast mit nem eraser von deiner Platte, nachdem du es in ein verschlüsseltes Zip gepackt hast? Ich bezweifle.
    Truecrypt soll auch nicht direkt vor dem gezielten Ausspähen von Livedaten schützen, sondern ist als Diebstahlschutz gedacht, macht also auch auf Computern Sinn, die nichtmal einen Internetanschluss haben, denn wenn der dir entwendet wird, und die Diebe an die Daten wollen, kommen sie ohne Vollverschlüsselte Platte auch ohne Internet dran, selbiges zählt natürlich für den gerichtlich beschlossenen Einzug von Hardware, da kommt dann auch keine Behörde mehr dran.

    Wenn ich mir vorstelle, dass ich auf Arbeit jeden Abend alle Projekte, Daten, vertrauliche Emails an denen ich gearbeitet habe erstmal in ein Zip packen müsste und das ganze jeden Morgen wieder auspacken...
    Unpraktikabel, du solltest dir vielleicht nochmal deine Strategie überlegen xD
    Java:
    Spoiler:

    Lustige Quotes:
    Spoiler:
    Zitat Zitat von Hydra Beitrag anzeigen
    Hier (in Deutschland) kann man keine andere tolle Aktivitäten machen, als zu chillen, shoppen, saufen und Partys feiern xD Ich habe nichts gegen ab und zu mal saufen und Partys feiern, aber das ist doch nicht wirklich das wahre Leben o_o
    Wieso das Internet für die meisten Leute gefährlich ist:
    Zitat Zitat von Silent Beitrag anzeigen
    Ich weiß ja nicht was der Sinn dahinter steckt es heißt immer "security reasons".

  10. The Following User Says Thank You to Sky.NET For This Useful Post:

    DMW007 (30.05.2014)

  11. #7
    Avatar von Darkfield
    Registriert seit
    24.04.2013
    Beiträge
    3.046
    Thanked 1.779 Times in 1.268 Posts

    Standard AW: Das Ende von TrueCrypt

    Da keine Echtzeitverschlüsselung wirklich sicher ist, hilft nur solche Computer so weit es irgend wie geht
    vom Netz fern zu halten - ist halt nur Doof bei Buchhaltung, DATEV und ELSTER!

    Ob man den Verschlüsselungssystemen von Festplatten (meist ja auch AES) vertrauen kann - ich weiß es nicht!

    Und was nützt es wenn man sich versucht vor Diebstahl zu schützen, wenn die Fehlerursache zumeist 30cm vor der Tastatur sitzt?
    Einen Schutz vor Datendieben hat man nur dann wenn das System Offline betrieben wird, der Anwender einen Alutüte über dem Kopf
    zieht und hinter jeder Ecke eine Verschwörung entdeckt.

    Kundenakten, Betriebsdaten, Onlinebanking - alles Daten die, wenn man es drauf anlegt, ganz sicher auch mit Verschlüsselung bekommt.

    Meine pers. Daten, Schriftwechsel etc., alles Daten die ich ja nicht ständig benötige, ab in ein Archiv und Passwort drauf.
    Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren. (Benjamin Franklin)
    Die zwei häufigsten Elemente im Universum sind Wasserstoff und Blödheit. (Yonathan Simcha Bamberger)
    Wer schweigt, stimmt nicht immer zu. Er hat nur manchmal keine Lust mit Idioten zu diskutieren. (Albert Einstein)
    Der Weg zur Hölle ist mit guten Vorsätzen gepflastert. (Dante)
    Es gibt Besserwisser, die niemals begreifen, dass man recht haben und ein Idiot sein kann. (Martin Kessel)
    Doofheit ist keine Entschuldigung.

  12. #8
    Avatar von UnknownUser
    Registriert seit
    07.05.2014
    Beiträge
    139
    Thanked 227 Times in 73 Posts

    Standard AW: Das Ende von TrueCrypt

    Ich habe jetzt einmal DiskCrypter getestet. (Open-Source-Verschlüsselungstool)
    Bin bisher äußerst zufrieden und kann nur jedem empfehlen sich das Tool einmal anzuschauen.
    Das Tool bietet genau wie TrueCrypt als Verschlüsselung AES, Twofish und Serpent an. (+ Kombinationen)
    weitere Funktionen: Bootloader, Nutzung von Key files
    CD, DVD, USB-Stick und Festplattenverschlüsselung ist ebenfalls möglich
    Geändert von UnknownUser (30.05.2014 um 16:12 Uhr)

  13. #9
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard AW: Das Ende von TrueCrypt

    Das Hauptproblem bei diesem ständigen Ver- und Entschlüsseln ist ja auch, dass die entschlüsselte Datei anschließend sicher wieder gelöscht werden muss. Wenn man sie einfach nur mit Windows-Boardmitteln löscht macht das ganze wenig Sinn. Dann ist es nämlich sehr wahrscheinlich einfacher, die gelöschte Datei wiederherzustellen, als die verschlüsselte zu knacken.

    AES oder als asymmetrische Alternative RSA sind nach wie vor sichere Verschlüsselungsverfahren. Selbst für die NSA ist es unrealistisch, diese zu knacken. In Echtzeit schon mal gar nicht.
    Dafür müssen aber drei Bedingungen erfüllt sein:
    1. Starke Schlüssellänge: Am besten die stärkste nutzen, bei AES also beispielsweise 256 Bit
    2. Starker Schlüssel: Auch dieser sollte möglichst lang sein. Wenn ich '123' als Passwort mit AES 256Bit nutze, wäre das wie ein Tresor mit 2m dicken Stahlwänden, der mit einem 2€ Baumarkt Vorhängeschloss abgesichert ist
    3. Die verwendete Implementierung des Algorithmuses darf nicht abgeschwächt sein
    4. Die Verschlüsselung darf nicht umgehbar sein, beispielsweise durch Hintertürchen im Betriebssystem

    Ersteres ist kein Problem wenn man das weiß. Zweiteres sollte auch machbar sein. AES 256Bit mit dem Schlüssel '123' wäre wie ein Tresor mit 2m dicken massiven Wänden aus einer speziell gehärteten Stahllegierung, den man mit einem 2€ Vorhängeschloss aus dem Baumarkt verschließt: Durch die Wände oder die Tür kommt man nicht durch, das ist aber auch gar nicht notwendig weil das Schloss zu knacken ein Kinderspiel ist.
    Der dritte und vierte Punkt sind die schwierigsten, weil die NSA hier schon in viel zu vielen Bereichen ihre Finger drin hat, und aktuell anstatt einem Ende eher die Ausweitung in Sicht ist: Große Firmen stehen im Verdacht für die NSA Hintertürchen zu installieren, die NSA nutzt Sicherheitslücken aktiv aus anstatt zu ihrer Behebung beizutragen, Cisco-Geräte (die als Router/Switches und somit zentrale Netzwerkgeräte natürlich nicht unwichtig sind) werden vor der Lieferung an den Kunden abgefangen und mit Spionagekomponenten versehen und so weiter und so fort. Der helle Wahnsinn eigentlich wenn man sich das so mal durch den Kopf gehen lässt, aber leider Realität.

    Für den Kunden ist es sehr schwer sicherzustellen, dass seine verwendete Soft- und Hardware einwandfrei ist. US-Firmen würde ich aufgrund der dortigen kranken Gesetzlage schon mal grundsätzlich davon ausschließen, da US-Firmen gesetzlich zur Kooperation mit der Regierung gezwungen werden und sich strafbar machen würden wenn sie das nur bestätigen - von konkreten Infos ganz zu schweigen. Wenn US-Konzerne also beteuern 'Wir haben damit nichts zutun' ist das umgefähr so glaubwürdig wie wenn ich zu einem 4-Jährigen sage: 'Wenn du vor laufender Kammera "Ich war das nicht" sagst darfst du dir ein Spielzeug wünschen'. Leider ist es nur so, dass die USA in vielen Bereichen marktführend ist, und ein kompletter Verzicht auf US-Software nicht selten nur ohne erhebliche Nachteile für den Kunde möglich wären.

    Wenn ich nun Linux statt Windows nutze heißt das ja auch nicht automatisch, dass mein Betriebssystem nicht kompromittiert ist. Wer garantiert mir, dass den Linux-Entwicklern nicht ebenfalls die Pistole an den Kopf gehalten wurde oder demnächst wird? Um das 100%tig ausschließen zu können, müsste ich den Quellcode selbst komplett prüfen und anschließend selbst kompilieren. Alleine der Linux-Kernel umfasst aber ca. 15 Millionen (!) Codezeilen. Der Quellcode der Linux-Distribution sowie jeder verwendeten Software ist da noch gar nicht mit einberechnet. Die Prüfung müsste selbstverständlich vor jedem Update mit dem neuen Source wiederholt werden. Genau so müsste die Hardware kontrolliert werden. Das ist ein unvorstellbar hoher Aufwand, der nicht ansatzweise realistisch durchführbar ist. Das Problem muss also auf anderem Wege gelöst werden. Wenn es einen Lebensmittelskandal gibt hauen wir ja auch denen auf die Finger die für den Skandal sorgen, und fangen nicht an ab sofort alle einen Bauernhof zu führen wo sämtliche Lebensmittel selbst angebaut werden.

    Als Kunde kann man aktuell nur versuchen, diese Verbrecher so gut es geht zu meiden und sich auf möglichst viel Feedback unterschiedlicher Leute verlassen. Beispielsweise also keine Hardware von Cisco kaufen und amerikanische Firmen generell meiden sofern es geht. So entsteht dann nämlich auch Druck auf die Firmen, aktiv zu werden und von Ihrer Regierung zu fordern, dass dieser Wahnsinn gestoppt wird. Und vor allem die Politik nutzen, also natürlich auf keinen Fall Merkel wählen. Die hat ja schon deutlich bewiesen, dass sie nicht nur unfähig ist hier im Sinne des Volkes zu entscheiden, sondern sehr wahrscheinlich selbst ein Teil des Skandales ist.
    Denn so lange Merkel weiter mit Obama flirtet anstatt mal vernünftige Forderungen zu stellen auf denen man auch beharrt, wird sich da nicht viel tun. Deutschland fordert ein NoSpy-Abkommen, die NSA sagt 'nö', und damit ist das Thema erledigt. Wie sollen uns die USA da überhaupt noch ernst nehmen? Wenn zu den USA mal jemand 'nein' sagt dauert es nicht lange bis Truppen mit schwerer Munition diesem Land einen Besuch abstatten...


  14. The Following 3 Users Say Thank You to DMW007 For This Useful Post:

    ano23 (09.06.2014), Benzol (01.06.2014), Tony Montana (01.06.2014)

  15. #10
    Avatar von UnknownUser
    Registriert seit
    07.05.2014
    Beiträge
    139
    Thanked 227 Times in 73 Posts

    Standard AW: Das Ende von TrueCrypt

    Anscheinend gibt es schon ein Team, was das Programm weiterentwickeln will, falls es TrueCrypt tatsächlich nicht mehr geben wird.
    Alle Infos dazu findet man auf TrueCrypt - organizing a future - Über die Seriösität kann man zum jetztigen Zeitpunkt sicherlich noch streiten.

Seite 1 von 3 123 Letzte

Ähnliche Themen

  1. Ist Truecrypt bald nicht mehr sicher?
    Von ThunderStorm im Forum Security
    Antworten: 2
    Letzter Beitrag: 26.09.2013, 16:02
  2. Systempartition verschlüssen - TrueCrypt
    Von Snees im Forum Tutorials
    Antworten: 3
    Letzter Beitrag: 05.08.2013, 23:24
  3. [S] TrueCrypt Einrichter
    Von Herox im Forum Security
    Antworten: 4
    Letzter Beitrag: 08.01.2013, 17:15
  4. Wörter mit s am Ende groß oder klein schreiben?
    Von sL1tchK0ss im Forum Bildung
    Antworten: 3
    Letzter Beitrag: 20.01.2012, 15:54
  5. [TUT] TrueCrypt - Wherefore and How To
    Von JackThursby im Forum Tutorials
    Antworten: 11
    Letzter Beitrag: 07.10.2011, 06:30
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.