1. #1
    Projektleitung
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    4.098
    Thanked 8.521 Times in 2.549 Posts
    Blog Entries
    5

    Standard TrueCrypt Report: KEINE Backdoors in der Crypto-Software gefunden

    Der 2. Teil des Security-Audits wurde am Donnerstag (2. April) beendet. Das Team hat 4 Probleme entdeckt, welche die Sicherheit der Software unter bestimmten Umständen beeinträchtigen können:
    Spoiler:

    Name:  truecrypt-result-graph.png
Hits: 171
Größe:  129,5 KB

    Eine davon wird als ernsthaft eingestuft. Diese bezieht sich auf die Windows-Version. Dort könnte die Crypto-API von Windows unbemerkt nicht korrekt aufgerufen werden, was zu unsicheren Schlüsseln für die Festplattenverschlüsselung führen kann.

    Entscheidender dürfte allerdings die Tatsache sein, dass keinerlei bewusst absichtlich eingebaute Backdoors (beispielsweise für Geheimdienste) in Version 7.1a gefunden wurden, welche die Sicherheit des Programmes beeinträchtigen. Der Kryptograf Matthew Green bezeichnet auf Grundlage des Reports TrueCrypt daher als "relativ gut-konzipierte Krypto-Software" (sinngemäß übersetzt). Durch diese neuen Erkenntnisse wird die Vermutung, dass Geheimdienste wie die NSA hinter TrueCrypt stecken, deutlich unwahrscheinlicher. Im Gegenzug spricht der Report für die These von Druckausübung seitens der Geheimdienste auf die Entwickler der Crypto-Software bzw. Entsprechenden Aufforderungen zur Integrierung von Backdoors.

    UPDATE 02.10.2015:
    Wie sich nun herausstellte, wurden offensichtlich zwei Sicherheitslücken bei der Überprüfung im April diesen Jahres übersehen. Einer davon gilt als kritisch - Genauere Details sind bislang nicht öffentlich und sollten in den nächsten Tagen nachgereicht werden, damit betroffene Nutzer sich absichern können. TrueCrypt wird zwar nicht mehr aktualisiert, da die Software im Mai 2014 unter mysteriösen Umständen eingestellt wurde. Allerdings kann auf die Abspaltung VeraCrypt zurückgegriffen werden. VeryCrypt hat bereits vor einigen Tagen ein Update auf Version 1.15 erhalten, die beide Schwachstellen beheben soll.

    Hintergrund: TrueCrypt Einstellung 2014

    Der Hintergrund bezieht sich auf die Einstellung der TrueCrypt-Entwicklung im Mai 2014. Die Entwickler stellten das Projekt völlig überraschend ein und gaben an, "keine Lust" zur Weiterentwicklung mehr zu haben. Auch warnten diese davor, dass TrueCrypt nicht mehr sicher sei. Stattdessen wurde zu Microsoft Bitlocker geraten, dessen Sicherheit durch Kooperation mit der NSA sowie mangelnder Prüfungsmöglichkeit als fragwürdig gilt. Truecrypt hingegen ist quelloffen, läuft auf verschiedenen Betriebssystemen und hat sich bereits vor dem Report als sichere Lösung bewährt, selbst Snowden nutzte sie. Die NSA stuft TrueCrypt in geleakten Snowden-Dokumenten zusammen mit Tor als "Major Risk" ein - dies ist die zweithöchste Sicherheitsstufe.

    Geheimdienste haben also durchaus ein großes Interesse, etwas gegen die Weiterentwicklung dieser offensichtlich sehr sichere Software zu unternehmen. Ähnliches Vorgehen fand in der Vergangenheit bereits bei anderen Diensten statt: 2013 wurde der als sicher geltende E-Mail Anbieter Lavabit geschlossen. Der Betreiber gab an, keine Gründe für die Schließung nennen zu können. Wie sich herausstellte, verlangten die Geheimdienste einen uneingeschränkten Zugang zu sämtlichen Nutzerdaten von Lavabit in Echtzeit - Darunter auch Passwörtern und E-Mail Inhalten, wodurch die Lavabit-Verschlüsselung völlig ausgehebelt worden wäre.

    Quellen:
    Zusammenfassung und Vorstellung des finalen TrueCrypt Reports durch Matthew Green
    TrueCrypt Audit-Report Teil II (Final)
    Geleakte NSA-Dokumente zur Umgehung von Sicherheitslösungen (Seite 20)
    Forderungen von US-Behörden gegenüber Lavabit


  2. The Following 5 Users Say Thank You to DMW007 For This Useful Post:

    ano23 (06.04.2015), Fritz (05.04.2015), milchbubix (05.04.2015), olwel (06.04.2015), UnReal (05.04.2015)

  3. #2
    Nachrichtendienst
    Avatar von The Dope Show
    Registriert seit
    16.12.2013
    Beiträge
    110
    Thanked 193 Times in 24 Posts

    Standard AW: TrueCrypt Report: KEINE Backdoors in der Crypto-Software gefunden

    Gute Nachrichten
    Andererseits aber auch schade, dass dass eine so gute Software über den Jordan geht. Durch die Behebung der 4 Lücken wäre Teucrypt zur Verschlüsselungssoftware #1 geworden. Aber da es eingestellt wurde können die Lücken nicht behoben werden.
    Zu der breiten Masse an Nachfolgern habe ich noch keines gefunden dem ich ausreichend vertraue.

    Aber Bitlocker als Alternative ist doch wohl ein Witz?! Jeder weiss doch wie die NSA amerikanische Firmen unter Druck setzt: Entweder ihr lasst euch bespitzeln oder wir lassen euch Strafe zahlen bis ihr Pleite seid oder zwingen euch einfach dazu. Und die Firmen dürfen nicht mal bestätigen dass dieser Wahnsinn stattfindet weil sonst die breite Masse aufwachen könnte wenn sie erfährt was mit ihren Daten in Wirklichkeit passiert. Der Inhaber von Lavabit hatte doch damals schon davor gewarnt man soll bloß nichts was einem wichtig ist in die Hände einer Amerikanischen Firma geben. Dem kann ich mich nur anschließen!

  4. #3
    U-Labs Legende
    Avatar von patlux
    Registriert seit
    26.10.2011
    Beiträge
    1.193
    Thanked 1.593 Times in 724 Posts
    Blog Entries
    2

    Standard AW: TrueCrypt Report: KEINE Backdoors in der Crypto-Software gefunden

    Da fragt man sich, ob Truecrypt vielleicht schon viel früher eingestellt worden wäre, wenn die Entwickler bekannt wären. Durch ihre Anonymität konnte die Regierung auf diese keinen Druck ausüben - bisher zumindest. Hat aber alles nicht geholfen, die Regierung hat sie anscheinend ausfindig gemacht.

  5. #4
    U-Labs Routinier
    Avatar von ewasp
    Registriert seit
    06.01.2013
    Beiträge
    304
    Thanked 113 Times in 94 Posts

    Standard AW: TrueCrypt Report: KEINE Backdoors in der Crypto-Software gefunden

    Der Hype um die Unsicherheit ist wohl gesteuert. Meines Wissens nach hat sich die Entwicklercrew gegen eine Offenlegung ausgesprochen und daher das Projekt eingestellt. Die Verwendung von Truecrypt ist aber immer noch besser als keine Verschlüsselung auf mobilen Systemen. Grundsätzlich ist jede Verschlüsselung entschlüsselbar, es fragt sich nur mit welchem Aufwand und in welcher Zeit. Also, Verschlüsselung ist grundsätzlich sinnvoll, bei Windows-Systemen kann man auch Bitlocker verwenden. Das sollte für den Privatgebrauch ausreichen.
    Auch in einem Berg voller Scherben, kann man ein Muster erkennen.

  6. #5
    U-Labs Elite
    Avatar von milchbubix
    Registriert seit
    06.12.2011
    Beiträge
    755
    Thanked 413 Times in 271 Posts

    Standard AW: TrueCrypt Report: KEINE Backdoors in der Crypto-Software gefunden

    Was ich mich jetzt frage ist: Sprechen die gefundenen Schwachstellen gegen eine verwendung von Truecrypt 7.1a? Oder ist es immernoch das sicherste Programm im vergleich zu anderen Konkurrenten?


    Egal was du hast, es ist nie das was du willst.

    Denkbar finde ich auch, daß es außerirdische Lebensformen geben kann, die es darauf abgesehen haben, die Erde zu erobern, um sich hier anzusiedeln. Dabei wären die Menschen ja eher störend. Die Außerirdischen inszenieren dann solche Katastrophen wie 9/11 und legen falsche Spuren, um die Menschheit gegeneinander aufzuhetzen, damit sie sich selber ausrottet.


  7. #6
    Mitglied

    Registriert seit
    18.03.2013
    Beiträge
    92
    Thanked 21 Times in 16 Posts

    Standard AW: TrueCrypt Report: KEINE Backdoors in der Crypto-Software gefunden

    Ich schließe mich der Frage von milchbubix an. Spricht etwas dagegen Truecrypt weiter zu verwenden.
    Ich halte Bitlocker für Schwacksinn. Ich habe die letzten Tage damit gearbeitet. Das System mag für einen Rechner schön und gut zu sein.
    Will ich aber meine eigenen Daten mitnehmen, geht das nicht so ohne weiteres.. Ich muss erst den Schlüssel exportieren. Diesen Schlüssel muss ich extra verschlüsseln, sonst nutzt
    die ganze Arbeit nichts. Truecrypt funktioniert systemübergreifend! Das "tolle" Bitlocker ist nicht multimode fähig. Ich werde bei dem Truecrypt bleiben.
    Wenn es stimmt, dass Snowden dieses Programm selber verwendet hat, und die NSA damit in den Wahnsinn treibt, haben denke ich wir selber alles damit richtig gemacht!
    Wenn die Daten von Snowden so leicht zu entschlüsseln und zu löschen wären, bliebe Snowden nicht länger am Leben!!!

  8. #7
    Mitglied
    Avatar von ano23
    Registriert seit
    01.04.2014
    Beiträge
    57
    Thanked 16 Times in 12 Posts

    Standard AW: TrueCrypt Report: KEINE Backdoors in der Crypto-Software gefunden

    Ich stelle mir nur grade die frage wer genau True Crypt überprüft hat! und ob da die NSA zum Beispiel die finger im Spiel hatte... Klar das hört sich jetzt vielleicht nach Verschwörungstheory an, aber möglich wäre es und der NSA würde es auch was bringen. Nähmlich das alle leute TrueCrypt verwenden und sie wieder alles unterkontrolle haben.... (ich mein ja nur....)
    wobei mich das jetzt nicht juckt, solange ich privt wenisgtens ein wenig sicher bin

  9. #8
    Projektleitung
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    4.098
    Thanked 8.521 Times in 2.549 Posts
    Blog Entries
    5

    Standard AW: TrueCrypt Report: KEINE Backdoors in der Crypto-Software gefunden

    Man kann eben meist keine brauchbaren Vergleiche ziehen, weil für viele Konkurrenz-Produkte eben bislang noch keine Überprüfung stattfand. Die erfordert Kryptographie-Experten und ist dementsprechend aufwändig bzw. teuer. Im Falle von TrueCrypt haben Nutzer durch die Snowden-Enthüllungen für die Prüfung gespendet. Proprietäre Software wie BitLocker kann überhaupt nicht geprüft werden, da kein Quellcode vorliegt. Wenn es um Sicherheit geht ist eine solche Lösung nichts wert. Wer garantiert, dass ein bewährter, nicht geschwächter Algorithmus zum Einsatz kommt und keine Backdoors vorhanden sind? Microsoft? Bestimmt nicht, die würden sich sofort strafbar machen wenn sie das nur mit einem "Ja" bestätigen würden... Vom damit einhergehenden Image-Verlust fangen wir gar nicht erst an.

    Alle Lösungen die sich nicht verifizieren lassen müssen daher im Zweifel als kompromittiert angesehen werden. Bei TrueCrypt weiß man: Die Software ist sauber, es gibt ein paar wenige Schwachstellen, die aber nur unter eher exotischen Bedingungen auftreten. Daher sprechen sie meiner Ansicht nach auch nicht dafür, die Software zu meiden. Im Gegenteil: Verglichen mit einer Blackbox die von einer Firma stammt deren Regierung sie zum belügen ihrer Kundschaft zwingt, ist TrueCrypt um einiges sicherer.

    Die Vermutung von ano23 kann ich nicht nachvollziehen: Ich habe im Eingangspost interne Folien der NSA verlinkt, nach denen TrueCrypt auf einer Skala von 1 (trivial einfach) bis 5 (katastrophal schwer umgehbar) mit einer 4 bewertet wird. Dazu ist von Deutschen Behörden bekannt, dass diese mit TrueCrypt ebenfalls große Schwierigkeiten haben. TrueCrypt hat sich also bereits in der Vergangenheit bewährt, dieser Security-Audit bestätigt dies eigentlich nur noch mal. Es würde keinen Sinn für die NSA ergeben, das Testergebnis einer Software als "sicher" zu manipulieren, mit der sie große Schwierigkeiten haben und die daher anscheinend tatsächlich sicher ist.

    Die NSA möchte doch Zugriff auf verschlüsselte Daten haben, um alles zu kontrollieren. Also liegt es in ihrem Interesse, die TrueCrypt-Nutzer zu einer leichter knackbaren Alternative zu bewegen. Auf der TrueCrypt Homepage steht nach wie vor der Hinweis, dass die Software unsicher sei - Wie sich mit diesem Audit herausstellte, entspricht dies nicht den Tatsachen. Microsoft ist eine US-Firma, die dank Gesetzen des 11. September zu einer geheimen Zusammenarbeit mit der US-Regierung verpflichtet sind - Ein Schelm, wer böses dabei denkt...


  10. The Following User Says Thank You to DMW007 For This Useful Post:

    ano23 (12.04.2015)

  11. #9
    Projektleitung
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    4.098
    Thanked 8.521 Times in 2.549 Posts
    Blog Entries
    5

    Standard AW: TrueCrypt Report: KEINE Backdoors in der Crypto-Software gefunden

    Anscheinend wurden zwei Sicherheitslücken bei der Überprüfung nicht entdeckt - eine davon soll kritisch sein. Wer TrueCrypt noch einsetzt, hat daher ein großes Problem: Da die Entwicklung der Software damals aus fragwürdigen Gründen eingestellt wurde, gibt es keine Updates mehr. In diesem Fall sollte auf Alternativen wie VeraCrypt zurückgegriffen werden, um den Schutz der eigenen Daten auch weiterhin gewähren zu können. Nähere Details zu den gefundenen Sicherheitslücken wurden noch nicht veröffentlicht, damit Betroffene ausreichend Zeit haben zu updaten oder falls nötig ggf. auch zu wechseln.


  12. The Following 3 Users Say Thank You to DMW007 For This Useful Post:

    Chrissy (03.10.2015), Darkfield (03.10.2015), x BoooM x (03.10.2015)

Ähnliche Themen

  1. [Vorschlag] Erweiterung der My-Reports-Anzeige
    Von helfen2 im Forum Feedback
    Antworten: 0
    Letzter Beitrag: 18.02.2015, 15:41
  2. 2 Thanks vergeben jedoch keine gefunden!
    Von ZarneXxX im Forum Support
    Antworten: 1
    Letzter Beitrag: 02.02.2014, 19:04
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191