ComputerBase Menü
Aktuelles

News TrueCrypt: Keine Hintertür gefunden

Wenn man den Artikel und das verlinkte PDF so liest, dann ist TrueCrypt irgendwie gar nicht mehr so vertrauenswürdig.
Buildtools von 1993 und diverse Codeschlampereien die für Angriffe verwendet werden könnten lassen doch eher gemischte Gefühle zurück.
 
Helge01 schrieb:
@valnar77
Das betrifft Container die unter Windows erstellt wurden. Container die unter Linux erstellt wurden, haben in diesem Header-Bereich keine Zufallszahlen.
Zum Vergrößern anklicken....

Ich denke, dass es für den NSA-Erfüllungsgehilfen Microsoft sehr viel einfacher wäre an Passwörter zu kommen (hypothetisch!): Das Betriebssystem weiß natürlich, welche Eingaben hinter Asterisken (=Sternchen) verborgen werden, also weiß es, dass es sich dabei um ein Passwortfeld handeln muss. Dessen Eingabe könnte es speichern und unauffällig versenden, da sowas ja nur wenige Bytes lang ist.
 
Locutus2002 schrieb:
Das Betriebssystem weiß natürlich, welche Eingaben hinter Asterisken (=Sternchen) verborgen werden, also weiß es, dass es sich dabei um ein Passwortfeld handeln muss. Dessen Eingabe könnte es speichern und unauffällig versenden, da sowas ja nur wenige Bytes lang ist.
Zum Vergrößern anklicken....

Mal angenommen dass dieser hahnebüchene Unsinn zutreffen könnte, frage ich mich wozu Microsoft hundert fantastilliarden potentielle Passwörter ohne Bezug zu Nutzer oder Anwendung abgereifen wollen würde. Als Referenz hätte man bestenfalls ein Handle oder einen Speicherbereich. Es wäre wohl effizienter zu raten, weil der überwiegende Teil der User immer noch gerne einfach zu merkende Passwörter verwendet.

Sowas würde ich im Übrigen eher dem Chinalinux zutrauen als Windows, denn Windows ist das Kernprodukt von Microsoft und wenn da auch nur der Anflug einer solchen Manipulation auffallen würde, dann wäre die Firma über Nacht so gut wie erledigt. Das wollen weder die US-Regierung, noch die NSA.
 
Warum wird das Tool eigentlich nicht mehr weiterentwickelt? Da tut sich schon seit Jahren nichts mehr, irgendwie schade.

Gibt es mindestens genauso gute Alternativen die aktiv weiterentwickelt werden und auf dem technisch neusten Stand sind?

Darf auch Kostenpflichtig sein.
 
Warum sollte es weiterentwickelt werden wenn es genau das macht was es soll und nicht angreifbar ist? Auch bei Software gilt zu viele Köche verderben die Köchin.
 
DocWindows schrieb:
Mal angenommen dass dieser hahnebüchene Unsinn zutreffen könnte, frage ich mich wozu Microsoft hundert fantastilliarden potentielle Passwörter ohne Bezug zu Nutzer oder Anwendung abgereifen wollen würde. Als Referenz hätte man bestenfalls ein Handle oder einen Speicherbereich. Es wäre wohl effizienter zu raten, weil der überwiegende Teil der User immer noch gerne einfach zu merkende Passwörter verwendet.

Sowas würde ich im Übrigen eher dem Chinalinux zutrauen als Windows, denn Windows ist das Kernprodukt von Microsoft und wenn da auch nur der Anflug einer solchen Manipulation auffallen würde, dann wäre die Firma über Nacht so gut wie erledigt. Das wollen weder die US-Regierung, noch die NSA.
Zum Vergrößern anklicken....

Nunja, ich hatte es ja deutlich als hypothetisch gekennzeichnet. Ich glaube selbst ja auch nicht daran, habe aber meine Freude an (solchen und anderen) Gedankenspielen und sei es nur um Ende zu erfahren, warum etwas nicht geht. Und was die Bezeichnung "hanebüchener Unsinn" angeht: Theoretisch wäre es doch möglich, neben den Passwörtern auch der Programmname und/oder Memory-Dump zu speichern. Oder irgendeine andere Identifizierungshilfe (wirklich rein theoretisch!).

Aber: Wenn so etwas auffliegen würde, glaube ich nicht, dass die Leute groß darauf reagieren würde. Das sieht man bereits an der Gleichgültigkeit der meisten Nutzer gegenüber den NSA-Enthüllungen oder dem Heartbleed-Bug. Außerdem: Wenn MS das täte (wenn!), dann auch Apple und Google und dann gibt es schon keine Alternative mehr. Und Linux ist den meisten zu kompliziert, deswegen werden sie aus Gewohnheit nichts ändern. Aber auch das ist nur ein reines Gedankenspiel. ;-)
 
Zuletzt bearbeitet:
DocWindows schrieb:
Wenn man den Artikel und das verlinkte PDF so liest, dann ist TrueCrypt irgendwie gar nicht mehr so vertrauenswürdig.
Buildtools von 1993 und diverse Codeschlampereien die für Angriffe verwendet werden könnten lassen doch eher gemischte Gefühle zurück.
Zum Vergrößern anklicken....

DocWindows schrieb:
Mal angenommen dass dieser hahnebüchene Unsinn zutreffen könnte, frage ich mich wozu Microsoft hundert fantastilliarden potentielle Passwörter ohne Bezug zu Nutzer oder Anwendung abgereifen wollen würde. .....

Sowas würde ich im Übrigen eher dem Chinalinux zutrauen als Windows, denn Windows ist das Kernprodukt von Microsoft und wenn da auch nur der Anflug einer solchen Manipulation auffallen würde, dann wäre die Firma über Nacht so gut wie erledigt. Das wollen weder die US-Regierung, noch die NSA.
Zum Vergrößern anklicken....

1.) Warum glaubst Du bei TC nicht an Sicherheit, bei Windows schon? Hast Du MS überprüft? Sogar docx basiert noch auf Word6, ist also recht alt. Man sollte schon gleiche Maßstäbe anwenden. Das gilt auch dafür, daß Du
2.) Windows für sicher hälst, Chinalinux aber nicht. Warum? Chinalinux wurde entwickelt damit China nicht abhängig wird vom Westen, vielleicht auch abhörsicher. Es soll gar nicht in den Westen exportiert werden. Warum sollte es dann unsicherer sein? Windows soll exportiert werden, gerade das würde es für Geheimdienste interessanter machen, daß es Hintertüren besitzt. Da es closedsource ist, sind diese sogar schwer zu finden.
3.) Paßwörter ohne Bezug? Warum ohne Bezug? Stichwort Metadaten. Es geht um online Rechner, diese produzieren dann auch Traffic und der enthält Metadaten. Schon hast Du einen Bezug. Oder einfacher: Warum speichert die NSA soviele Daten von Unschuldigen.
Letztlich will ich Dir in einem Punkt nicht widersprechen: Was will MS mit solchen Daten? MS sicherlich nichts, es ist kein FB, das Daten verkauft. Aber warum fragst Du was MS will? Frage lieber warum MS soll. Denn es untersteht US-Recht. Und wenn Du nun an die Problematik mit SSL Masterkeys aus dem letzten Jahr denkst, was zu Aufgabe eines sicheren Maildienstes führte, kannst Du Dir vielleicht auch vorstellen daß MS etwas macht, was es nicht wirklich will, aber soll.
 
Morphy2k schrieb:
Warum wird das Tool eigentlich nicht mehr weiterentwickelt? Da tut sich schon seit Jahren nichts mehr, irgendwie schade.

Gibt es mindestens genauso gute Alternativen die aktiv weiterentwickelt werden und auf dem technisch neusten Stand sind?

Darf auch Kostenpflichtig sein.
Zum Vergrößern anklicken....

Vielleicht ist die Software einfach "fertig"? Was fehlt dir denn?

Neue Funktionen bringen nur wieder Sicherheitslücken rein, wie wir bei SSL gesehen haben.

Vielleicht wurden die Entwickler auch schon lange umgebracht? Was auch der Grund sein dürfte, wieso die anonym bleiben wollen.
 
Creeed schrieb:
Warum sollte es weiterentwickelt werden wenn es genau das macht was es soll und nicht angreifbar ist? Auch bei Software gilt zu viele Köche verderben die Köchin.
Zum Vergrößern anklicken....

Helmpflicht schrieb:
Vielleicht ist die Software einfach "fertig"? Was fehlt dir denn?

Neue Funktionen bringen nur wieder Sicherheitslücken rein, wie wir bei SSL gesehen haben.

Vielleicht wurden die Entwickler auch schon lange umgebracht? Was auch der Grund sein dürfte, wieso die anonym bleiben wollen.
Zum Vergrößern anklicken....
-Unterstützung von GPT überhaupt in Sachen Full System Encryption.
-Unterstützung anderer Bootloader als Windows, wenn man unter Win eine Fullsys Encryption anstößt.

In ein paar Jahren wird es nur noch UEFI Systeme neu geben - Windoof installiert sich da nur mit GPT, und TC kann das bisher nicht verschlüsseln.

Nice to have wäre noch eine Möglichkeit, einen Portablen Stick im OneClick Mode zu erstellen - also den ganzen Stick verschlüsseln und TC legt sich eigenständig einen kleinen Bereich an, wo es sich portable drauf ablegt. Im Moment muss man immer einen Container erstellen und daneben ein bisschen Platz lassen. Damit geht dann auch keine In-Place Encryption. Bei einer ext. HDD mit nem Terabyte oder so ist das schon ganz nervig.
 
D1rty schrieb:
Ok, eine amerikanische "Sicherheitsfirma" überprüft ein so wichtiges Open Source Projekt? Wer sind die Idioten, die den Auftrag an ein amerikanisches UNternehmen gegeben haben? :D
Zum Vergrößern anklicken....

Exakt meine Idee ... wenn Sie etwas aus der Welt räumen wollen, dann doch bitte kein Amerikanisches Unternehmen, wo bekannt ist, das die den Geheimdiensten Zugriff gewähren müssen.
 
Laut den Snowdens Veröffentlichungen kann man sich gegen die NSA unter Windows trotz Kryptographie nicht schützen, egal was für ein Aufwand man in Sicherheit investiert. Microsoft und die NSA werden da schon Hand in Hand zusammenarbeiten, immerhin hat ja Microsoft eine Regierungsabteilung mit zahlreichen Mitarbeitern, dort Arbeitet zufällig auch Julian Assange (Ex?) Frau.

Von der NSA mal abgesehen mag Truecrypt sicher helfen seine Daten unter Windows zu schützen. Vielmehr würde mich Interessieren wieviel Backdoors in aktuellen Antivirensoftware sind die man für Regierungen bereitstellt.
 
@CB / fethomm

es sollte heisen: "TrueCrypt Audit: Bisher noch keine Hintertür gefunden."

der audit ist noch nicht zu ende, das war nur ein teil. die korrektur der überschift wäre
angebracht, weil es so nicht stimmt.
 
also ein audit, das so keine hintertuer bekannt ist. aber wie jedes schloss, kann man auch an anderer stelle zugriff erlangen, beispiele wurden genannt.

daher ist die news quasi nur ein step-1 der falschen sicherheit.

punkt 2 waere das finden der umgehung.

punkt 3 wie seit monaten bekannt, das vorgehen von nsa und co. die daten werden erstmal auch verschluesselt gespeichert und man schaut spaeter mal nach einer luecke.

quasi das angeschlossene fahrrad komplett mitnehmen und dann gucken, wie man es knackt.
 
löbliche news


prinzipiell ist mir pers. Wurschdd, ob irgend eine Behörde da rum wurstelt ( weil die haben eh Zugang ) Löblich ist, dass auf dem Notebook, wenn mal ge-mopst, die Daten für den Dritten nicht einsehbar sind.

Löblich: dass man trueCryptfiles via osx, win oder linux nutzen kann. Umständlicher geht es auch, aber warum nur?
für mich ein löbliches Programm...neben Softmaker, Planmaker, gimp, jDownloader ...

Auch PGP hat/hatte backdoors: ( die code-Länge ist auch in den USA auf nsa-Rat auf xx bit verkürzt worden )
http://forum.golem.de/read.php?22306,1182533

muss man locker sehen...
 
Zuletzt bearbeitet:
...und nachdem die diese 50.000€ eingestrichen haben, kamen die Männer im Trenchcoat und übergaben einen Koffer und und ein Dokument zur Verschwiegenheitsverpflichtung, weil die sonst gegen irgendeinen XYZ-Act verstossen...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
  • Artikel
Leserartikel GrapheneOS auf dem Google Pixel 8 Pro
2
Antworten
33
Aufrufe
9.189
homer0815
homer0815
DevPandi
Leserartikel Pandi kann es doch nicht lassen - Ryzen 7 7800X3D gegen Ryzen 7 5800X3D
3 4 5
Antworten
83
Aufrufe
16.760
DevPandi
DevPandi
Yann1ck
  • Angepinnt
Leserartikel Anleitung und Regeln für das Schreiben eines Leserartikels
Antworten
11
Aufrufe
16.687
andi_sco
andi_sco
Baal Netbeck
Leserartikel Update zu "Suche nach den Energiefressern im PC"
Antworten
6
Aufrufe
1.549
Baal Netbeck
Baal Netbeck
Verangry
Leserartikel CPU und Bios Guide für Ryzen 3000 (und älter)
5 6 7
Antworten
130
Aufrufe
149.863
Tanzmusikus
Tanzmusikus
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz