Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

Dieses Thema im Forum "Netzwelt" wurde erstellt von Gordon Freeman, 29. Mai 2014 .

  1. 29. Mai 2014
    Die Betreiber des Verschlüsselungsprogramms Truecrypt warnen offenbar urplötzlich vor ihrer eigenen Software. Auf der Projektseite wird derzeit erklärt, wie man zu Bitlocker wechseln kann. Was dahinter steckt, ist noch unklar.

    Quelle: www.heise.de/newsticker/meldung/Warnung-auf-offizieller-Seite-Truecrypt-ist-nicht-sicher-2211037.html

    Gefundenes Fressen für alle Verschwörungstheoretiker. Allerdings ist die Theorie, dass die Seite gehackt wurde ja wirklich das Szenario, welches am wenigsten schilmm wäre. Ich persönlich kann mir gut vorstellen, dass es den Machenr von Truecrypt ähnlich ergangen ist, wie Lavabit. Allerdings könnte man das ganze dann doch eigentlich forken und zum Beispiel aus Deutschland heraus weiterentwickeln oder?
    Was haltet ihr davon? Gibt es überhaupt echte, Plattformübergreifende und sich noch in Entwicklung befindliche Alternativen. Bitlocker zählt für mich nicht ;-)
     
  2. 30. Mai 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    Ich finde das total suspekt...das geht doch nich mit rechten Dingen zu. Mehr INFOS!!^^
     
  3. 30. Mai 2014
    Zuletzt von einem Moderator bearbeitet: 13. April 2017
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

     
  4. 30. Mai 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    update Ende von Truecrypt: Entwickler hat angeblich Interesse verloren | heise online
     
  5. 30. Mai 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"


    Siehst nicht nur du so. Ist schon komisch das ganze.

    angeblich.. Wenn das wirklich so sein sollte - wovon ich nicht so ganz überzeugt bin - finde ich die Art und Weise wie die sich "verabschiedet" haben ziemlich unangebracht. Das hätte man auf jeden Fall besser lösen können.

    Ich bin gespannt ob sich da noch was ergibt.


    Btw. Was sind eigl so die Alternativen? Ich besitze zwar keine Daten auf meinen PC, für die sich so eine Verschlüsselung lohnt, aber wenn wüsste ich nicht wozu ich greifen sollte. Bitlocker.. nicht im ernst?!
     
  6. 30. Mai 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    Ohne das SemperVideo Dingens durchgeschaut zu haben finde ich den Titel des Videos schon sehr verwirrend "TrueCrypt gehackt". Nuja, was soll man erwarten...

    Fest steht, dass noch nix feststeht, Michi hat ja den aktuellen Beitrag auf Heise verlinkt. Interessant ist auf jeden Fall, dass ein alter Schlüssel der TrueCrypt Autoren genutzt wurde, um die Nachricht zu signieren.
    Es ist nun natürlich möglich, dass dieser Schlüssel irgendwo (gegebenfalls im selben Zug wie z.B. die Zugangsdaten) entwendet wurde.
    Da die meisten Entwickler selten bis gar nicht in der Öffentlichkeit auftreten ist es nun auch nicht allzu einfach da mal vorbeizuschauen und zu fragen, was denn los ist.
    Haben die Entwickler aktuell z.B. keinen Zugriff auf den DNS oder andere Infrastruktur werden sie diese Hoheit wohl erstmal zurückholen.
    Komisch ist nämlich an der Geschichte mit dem "Wir haben keine Lust mehr" - auf einmal steht dann doch einer der Entwickler in der Öffentlichkeit - da glaube ich noch nicht so dran.

    Denke spätestens Montag oder Dienstag wird die Sache genauer aufgeklärt sein..

    Alternativen? Bitlocker würde ich z.B. nicht nutzen.Unter Win/Linux könnte man mal folgendes ausprobieren:
    DiskCryptor wiki

    Für Windows habe ich auch aktuell noch das im Auge:
    FreeOTFE - SourceForge DE

    Am Mac nutze ich aktuell FileVault (was natürlich unter dem Gedanken, dass Apple/die NSA da ihre Finger im Spiel hat auch nicht mehr Zeitgemäss ist und wohl geändert werden sollte).
     
  7. 30. Mai 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    Warum nicht? Du benutzt doch auch Windows?
     
  8. 30. Mai 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    Gratulation zu diesem sinnfreien Beitrag... Wenn man schon so daher labert sollte man auch wissen, von was man redet.

    Wenn dein System von Aussen geknackt ist und ausgelesen werden kann (Ob Hersteller-Feature oder echter Exploit ist erstmal wurst) dann bringt dir eine Verschlüsselung rein gar nix, da die Daten während der Laufzeit entschlüsselt werden oder man noch einfacher den Passkey abgreift.

    Bitlocker ist an sich ja nicht per se schlecht - es ist aber von einem amerikanischen Hersteller und dazu noch closed source.
    (Deshalb wahrscheinlich dein "lustiger" Kommentar) - trotzdem heißt das nicht automatisch, dass Windows gleich "unsicher" Bitlocker ist. Desweiteren heißt es auch nicht, dass es wenig sinnvoll ist, bei der Verschlüsselung nicht zu resignieren, nur weil man Windows nutzt.

    Ein kleines Beispiel: Daten werden verschlüsselt, um sie sicher lagern zu können. Passiert dir heute irgendwas, weshalb dein PC einkassiert wird kannst du von mir aus ein NSA-gebuggtes Windows nutzen - mit einem sicheren, verschlüsselten Container auf der Festplatte bringt das aber auch keinem was.


    Die Welt ist nicht nur schwarz/weiß...
     
  9. 31. Mai 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    Eben... Genau deshalb habe ich ja absichtlich provokativ nachgefragt. Wer vor dem Pöbeln mal sein Hirn einschaltet, merkt so etwas vielleicht auch rechtzeitig.

    Windows ist von Microsoft. Bitlocker ist von Microsoft. Wenn man Bitlocker misstraut, welchen Grund gäbe es dann, Microsoft bei Windows zu trauen?
    Richtig - keinen! Im Umkehrschluss: Wenn man Microsoft bei Windows vertraut, aus welchem Grund sollte man dem Unternehmen dann nicht auch bei Bitlocker vertrauen?

    Vorausgesetzt, das benutzte Passwort zur Verschlüsselung der Daten ist und bleibt unbekannt. Dafür gibt es aber keine Garantie. Schließlich ist Windows von einem amerikanischen Hersteller und dazu noch closed source. Die Welt ist eben nicht nur schwarz-weiß.
     
  10. 1. Juni 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    Ich glaube eher, du hast keine Ahnung und wolltest mal eher ein bisschen diskutieren, hauptsache man darf mitschreiben.
    Deine Aussage "Pöbel" zeigt ja, wie du über andere Menschen denkst - da brauchst du dich nicht wundern wenn man dich kritisiert.

    Und wenn Windows unsicher ist, was dann? Dann müsste man dich VORHER schon im Visier haben und dein Passwort für die Platte (oder wie oben beschrieben direkten Zugang via Trojaner, also sowieso Direktzugriff auch in den verschlüsselten Container sobald er einmal entschlüsselt wird) ausspähen. Und wenn das ein Geheimdienst möchte braucht er ganz sicher dafür kein Windows oder Apple. Welchen Router benutzt du? Welches Handy? Welchen Hersteller deiner Hardware?
    Wenn man VORHER an dich ran will - dann geht das auch. Egal ob du auf Ubuntu schwörst oder auf BSD, auf MacOS, auf Windows oder sonst irgendwas. Versteh einfach, dass diese Leute Ressourcen und Möglichkeiten haben - da ist es egal, was du veranstaltest. Wenn die wollen kriegen sie dich!

    Lies einfach nochmal, was ich geschrieben habe. Würdest du den technischen Hintergrund verstehen, wäre dieser Absatz überflüssig.
     
  11. 1. Juni 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    Bevor du in einem Forum diskutierst, solltest du entweder lesen lernen oder aber die Bedeutung einzelner Begriffe kennen. Ich schrieb nicht "Pöbel", sondern "pöbeln". Als substantiviertes Verb (vielleicht extra für dich: Tuwort) wird es groß geschrieben.
    Also halten wir fest. Du hast gepöbelt und das hat mit Pöbel (ohne "n") absolut nichts zu tun.

    Gegen Kritik habe ich im Übrigen nichts. Aber die hätte ich gerne von Leuten, die richtig lesen und verstehen können.
    Ich hatte anfangs die leichte Hoffnung, dass du endlich begreifen würdest. Aber ich habe mich wohl geirrt. Mir ging es um die Aussage, man könne doch Bitlocker nicht benutzen, weil es von Microsoft - und daher per se unsicher sei. Andererseits nutzt man aber Windows von Microsoft, das ebenso unsicher ist bzw. sein muss. Schließlich ist es ja von Microsoft.

    Den Rest erspare ich mir. Am Ende glaubst du sonst noch, ich würde vor Ehrfurcht erzittern, nur weil du ein paar gängige Betriebssysteme aufgezählt hast.
    Btw. Ubuntu ist kein Betriebssystem, sondern nur eine Linux-Distribution. So viel zum Thema Ahnung haben.
     
  12. 2. Juni 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    von fefes blog
     
  13. 2. Juni 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    Damit hast du vollkommen Recht. Leider falsch gelesen - damit falsch beantwortet. Entschuldigung.
    Und genau das disqualifiziert dich dann doch direkt wieder ;-)
    Erst den anderen mit "lesen und verstehen" kommen - und dann selbst in den Sätzen die wichtigen Wörter vergessen. Seems legit. Zum Thema: Ich impliziere du willst sagen, dass man Bitlocker nicht benutzen kann, weil es von Microsoft kommt ? Wo wiederlegt das jetzt meine Aussage von oben? Es hat sich doch daran nichts geändert, dass natürlich beide unsicher sein können (aber nicht zwingend müssen!) - es aber einen riesen Unterschied machst, ob du ein Betriebssystem betrachtest - oder eine Software für Datenverschlüsselung. Hier kommen wir wieder an den springenden Punkt - ich schrieb man solle bei der Verschlüsselung nicht resignieren, wenn man Windows nutzt. Einfach aus dem Grund, weil es zwei ganz unterschiedliche Dinge sind. Verschlüsselung wird gegen physischen Diebstahl und gegen unterlaubten Zugang genutzt. Ein Betriebssystem ist doch was ganz anderes. Was bringt mich denn jetzt davon ab Windows mit einem gescheiten Verschlüsselungs-Tool zu nutzen? Nichts - wie ich bereits sagte muss der Angreifer dann dein Passkey oder direkt die entschlüsselten Daten abgreifen. Aber wenn das jemand möchte und die Ressourcen/Mittel dazu hat, ist es in der Regel (wie bereits schon gesagt!) egal ob du mit Windows, Linux oder MacOS arbeitest.
    Es würde nicht schaden, wenn du dir ein wenig mehr ersparst. Die Aussage "Ubuntu ist ein Betriebssystem" ist genau so richtig, wie die Aussage "Ubuntu ist eine Linux-Distribution". Laut Definition müssen ja auch alle Linux-Distributionen gleichzeitig ein Betriebssystem sein. Überbegriff ftw...
     
  14. 2. Juni 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    interessantes thema, was mit truecrypt los ist..

    ein merkwürdiger punkt bringt sempervideo ganz am schluss... warum ist truecrypt selbst bei the waybackmachine, dem internetarchiv nicht auffindbar?

    was halten unsere security-spezialisten von truecrypt nun? werdet ihr schnell einen bogen drum rummachen?
    und was haltet ihr vom punkt der waybackmachine?

    Edit: http://web.archive.org/web/*/truecrypt.org

    Zugriffsfehler
    Der Zugriff auf den Inhalt ist gesperrt. Blocked Site Error
     
  15. 2. Juni 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    Nein, das will ich nicht sagen. Ein anderer User hat das gesagt. Ich impliziere daher, dass du echt total begriffstutzig bist.
    Ich stelle hier infrage, dass Windows als OS vertrauenswürdiger sein soll als eine x-beliebige (Verschlüsselungs-)Software von Microsoft.

    Und ja! Gar nicht mal so streng genommen liegst du vollkommen falsch, wenn du sagst, man solle bei der Verschlüsselung nicht resignieren, wenn man Windows nutzt.
    Denn wenn Microsoft eine Backdoor in Bitlocker einbauen kann (diese Mutmaßung führt xXsoureXx ja wohl an, wenn er Bitlocker ablehnt), dann kann Microsoft auch genau so gut, wenn nicht sogar besser, eine Backdoor in Windows einbauen. Und die wäre, im Gegensatz zu einer Backdoor in Bitlocker, dann u.U. sogar noch FUD, denn ein Virenscanner oder eine Desktopfirewall werden ja erst nach dem Start von Windows aktiv. Es wäre also ein leichtes, potentielle Schadsoftware vor einem Virenscanner zu verbergen.
    Bevor irgend eine Klug rei kommt. FUD meint hier nicht "Fear, Uncertainty and Doubt" und auch nicht "Familienunterstützender Dienst".

    Quintessenz: Wer ein höchstmögliches Maß an Sicherheit haben will, muss nicht nur auf closed-source-Software von Microsoft (Bitlocker) verzichten, sondern auch auf die closed-source-Betriebssysteme von Microsoft (Windows). Closed Source aus Sicherheitsgründen abzulehnen und gleichzeitig Closed Source zu nutzen, ist nunmal ein Widerspruch in sich selbst.

    Bevor man unnötig in Panik verfällt, sollte man vielleicht erst mal das Audit zur Version 7.1a abwarten. Stellt sich im Rahmen der Überprüfung heraus, dass Truecrypt keine Sicherheitslücken enthält, kann man ja vorerst diese Version benutzen.
    Zur Not hilft vielleicht auch GnuPG weiter. Allerdings ist das nicht so komfortabel wie das Arbeiten mit TC-Containern.
    GNU Privacy Guard – Wikipedia
     
  16. 3. Juni 2014
    Zuletzt bearbeitet: 4. Juni 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    Ja, hinzu kommen auch weitere Kriterien. Wie siehts es denn bei Bitlocker zB mit Portabilität aus?

    Ich denke ihr beide betrachtet unterschiedliche Ansätze. Phraser ist mehr beim Thema Verschlüsselungssoftware, während du das Ganze betrachtest. Geht es um Verschlüsselungssoftware, sollte man bei deren Bewertung das Betriebssystem erst einmal aussen vor lassen. Da vergliche man ja Äpfel mit Birnen.

    Im Gesamtbild hast du aber mit der Aussage denke ich nicht ganz unrecht. Wobei ich das wie phraser sehe: Wer wirklich im Visier vom Staat/NSA ist, der kann sich auch mit Linux oder sonstigen Systemen nicht retten. Daten, hinter denen solche Organisationen aktiv hinterher sind, sollte man vermeiden überhaupt ans Netz zu hängen.


    Im übrigen benutze ich auch Linux Distros



    ---
    Verschlüsselung: Erste Bemühungen um Truecrypt-Nachfolge
     
  17. 4. Juni 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    So kann man natürlich immer argumentieren. Allerdings trifft das auch auf den kleinen Ganoven zu, der vielleicht an TAN oder PIN heran will, die du vielleicht in einem TrueCrypt-Container gespeichert hast. Da gibt es allerdings eine wesentliche Sicherheitslücke, auf die jeder zugreifen kann und die im Regelfall sogar keine jahrelangen Bruteforce-Angriffe voraussetzen.
    xkcd: Security

    Es geht hier aber thematisch genau um Angriffe bzw. Zugriffe durch den Staat bzw. die NSA. Denn für den kleinen Ganoven von nebenan wird die Industrie sicherlich nicht ihren Ruf riskieren und Backdoors einbauen. Und natürlich war ein Ziel der USA/NSA, dass so etwas geheim bleibt. Nicht umsonst ist Snowden ja gerade praktisch vogelfrei.

    Wobei "Ruf ruinieren" total übertrieben ist. Denn scheinbar kümmert es ja ohnehin niemanden, ob bzw. das wir ständig ausspioniert und bewacht werden - und Unternehmen wie Microsoft dabei mitwirken.
     
  18. 4. Juni 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    Ist das deswegen weniger richtig?

    hehe


    So wie ich das sehe ging es doch jetzt speziell darum, wie man sich davor mithilfe Verschlüsselungssoftware schützt? Meine Aussage war lediglich, dass man bei der Bewertung dieser Software, das Betriebssystem außer Acht lassen sollte.

    Aber im Allgemeinen, wie gesagt, bin ich da doch einer Meinung mit dir: Linux + open-source Software sollte man bevorzugen.
     
  19. 4. Juni 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    TrueCrypt: Acht Alternativen zu TrueCrypt | ZEIT ONLINE

    Hier einige alternativen (?) zu tc. Denke auch, dass man mit der aktuellen Version noch einige Zeit recht sicher fährt! Wie hat sich tc eigentlich finanziert?
     
  20. 4. Juni 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    Dann schreib' in Zukunft deine Sätze aus und lass nichts weg, dann brauchst du nachher anderen nichts unterstellen..

    Dann lies jetzt noch einmal oben nach. Was bringt dir eine Backdoor in Windows, wenn dein Verschlüsselungstool sicher ist? Genau - wie oben bereits mehrmals gesagt NUR, wenn du vorher an die Daten ranwillst.

    Ich empfehle dir als Lektüre mal truecrypt.org - dann musst du hier nicht dauernd an deinen Behauptungen fest halten.
    Ich fasse mal zusammen: Wenn Microsoft eine Backdoor in Windows & Bitlocker einbauen kann (was du ja anführst), dann ist diese Backdoor irgendwann "verbrannt" und zwar zu dem Zeitpunkt, wenn sie genutzt wird. Auch hilft diese Backdoor natürlich nur, wenn man den Passkey oder direkt Daten aus dem entschlüsselten Container abgreifen möchte.
    Bei Bitlocker wäre es anders - man würde im Nachhinein an die verschlüsselten Daten rankommen. Aber auch hier brauch sich der Nicht-Terrorist keine Sorgen zu machen - denn gäbe/gibt es eine gewollte Lücke in Bitlocker und sie würde ausgenutzt kommt das auch raus.

    Also nochmal für dich ;-) : Bomben bauen und werfen == schlecht; Rest == Bitlocker und Windows ausreichend.


    Dein Kommentar "Und die wäre, im Gegensatz zu einer Backdoor in Bitlocker, dann u.U. sogar noch FUD, denn ein Virenscanner oder eine Desktopfirewall werden ja erst nach dem Start von Windows aktiv." zeigt ja ziemlich gut, wie wenig Ahnung du von Anti-Malware Themen und der Funktionsweise der entsprechenden Software hast. Bitte hier nochmal recherchieren und dann herausfinden, warum das Quatsch ist.

    Aus oben genannten Gründen falsch. Closed Source ist in der Regel genau so gut, wie Open Source - wobei man das natürlich genauso wenig verallgemeinern kann, wie die Aussage "Open Source ist prinzipiell besser als Closed Source". Alles hat seine Vor- und Nachteile

    [...] keine Sicherheitslücke enthält [...]
    Und der nächste Punkt, an dem du zeigst, wie wenig du das alles verstehst. Nur weil bei einem Audit keine Lücke gefunden wurde heißt das noch lange nicht, dass keine da ist ;-)
     
  21. 4. Juni 2014
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    Vielleicht solltest du mal begreifen, dass das sicherste Verschlüsselungstool nichts nutzt, wenn die Umgebung (hier Windows), in der es benutzt wird, nicht sicher ist.
    Wenn bspw. die Passworteingabe für den TC-Container, vom Nutzer unbemerkt, aufgezeichnet, versendet oder gespeichert wurde, ist der Container per se nicht mehr vor Zugriff geschützt. Denn das Passwort ist bekannt bzw. auslesbar.

    Verbrannt ist eine Backdoor nur, wenn bemerkt wird, dass sie vorhanden ist oder benutzt wird/wurde. "Irgendwann" ist nur ein Allgemeinplätzchen, denn so lange eine Backdoorfunktion anwendbar ist, ist ein wirkungsvoller Schutz der zu schützenden Daten nicht mehr gewährleistet.

    Warum klärst du mich bzw. uns denn nicht auf? Als Fachmann mit umfangreichem Wissen sollte das für dich doch kein Problem darstellen.

    Welche Vorteile hat Closed Source denn ganz konkret für den Anwender?

    Im Übrigen liegst du auch hier wieder falsch. Dass OSS die Möglichkeit bietet, Software mithilfe des Quellcodes auf Funktionen (hier Backdoors) zu überprüfen, sollte allgemein bekannt sein. Das geht bei Closed Source in Ermangelung des Quelltextes natürlich nicht, wie jeder halbwegs denkfähige Mensch sicher nachvollziehen kann.
    Somit ist die Aussage, OSS wäre prinzipiell besser, durchaus gerechtfertigt, eben weil sie durch die mögliche Überprüfbarkeit zumindest potentiell sicherer ist.
    Dass in der Praxis Sicherheitslücken (vielleicht auch Backdoors) u.U. sogar über Jahre nicht auffallen (siehe Heartbleed), steht auf einem anderen Blatt.

    In freudiger Erwartung, dass du deine unendliche Weisheit mit uns teilst, beende jetzt aber diese Diskussion mit dir, denn dies...
    ...scheint wohl eher auf dich zuzutreffen.
     
  22. 5. April 2015
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    Audit abgeschlossen: TrueCrypt 7.1 weitgehend sicher

    Audit abgeschlossen: TrueCrypt 7.1 weitgehend sicher | heise online

    nehmt nur die 7.1a, keine andere versionen.
     
  23. 5. April 2015
    AW: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

    Verschlüsselung via Software auf SSD ist immer nicht so vorteilhaft, gibt es eine Softwarelösung die auf die Verschlüsselungshardware der SSD zurückgreift? So wäre die Performance natürlich deutlich besser.

    Verschlüsselte SSD ist halt wie eine Randvolle. Deshalb sollte man immer 20% der Kapazität frei lassen um die Performance einigermaßen zu erhalten.

    Ansonsten bleibt halt nur die SSD eigene Verschlüsselung des kompletten Speichers. Wie da die Sicherheit ist wird vermutlich je nach Hersteller unterschiedlich sein, auch wenn alle die gleiche Verschlüsselungstechnik verwenden.


    Edit, hab was gefunden:

    Test: SSDs mit Selbstverschlüsselung und langer Laufzeit | ct

     
  24. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.