ComputerBase Menü
Aktuelles

News TrueCrypt: Keine Hintertür gefunden

oreally schrieb:
Amerikanische Unternehmen sind grundsätzlich amerikanischen Gesetzen unterworfen. Und diese Gesetze sind das Problem....
Zum Vergrößern anklicken....
Genau das ist auch meine Sorge und ich bin auch dbzgl.sehr misstrauisch, allerdings relativiert sich das wieder durch das vorige "Audit" des kanadischen Studenten.

Ich nehme sehr gerne TC aber ominös sind dennoch, das die Leute hinter TC noch immer anonym sind.... Wollen die sich schützen oder sind die von der NSA/CIA?

Eine gesunde Paranoia ist nicht schlecht, da sie uns doch wachsam hält.....
 
Als nächstes: Auch die NSA meldet keine Hintertür gefunden zu haben... ganz toll. Vor allem wegen der Tatsache das Obama befohlen hat, Hintertüren, Bugs, Lücken zu verschweigen oder Beweise hierfür nicht zu bestätigen.

Und ganz nebenbei: Selbst wenn TrueCrypt 100% sicher wäre, würde es nichts bringen. Das ist so, als würde man seinen Bank-PIN inkl. TAN auf ein Blatt Papier in einem Raum der NSA voller Überwachungskameras aufschreiben und anschließend essen.

Passwort und Schlüsseldatei gesehen und gespeichert/kopiert. Wie? Drittsoftware... Trojaner, Spyware, Virus, oder was man sich ausdenkt.

TrueCrypt ist nur absolut offline sicher, wenn es keine Lücken haben sollte.
 
Der beste Schutz ist, wenn man Sicherheitssoftware nicht zu 100% vertraut.
Mit einem gesunden Misstrauen und Menschenverstand kann man problemlos Truecrypt und andere Sicherheitssoftware wie auch z.B. AV-Programme einsetzen.
Blindes Vertrauen wäre aber der falsche Ansatz.
 
TrueAzrael schrieb:
Jedem Unternehmen in den Staaten bzw. hier im speziellen iSEC Falschmeldungen anzudichten obwohl man hier im wesentlichen mit dem bereits vorhandenen Audit eines kanadischen Studenten übereinstimmt, ist für mich keine gesunde Paranoia mehr.
Zum Vergrößern anklicken....
Du weißt aber schon dass der Student nur überprüft hat ob die Binär Dateien wirklich aus dem compilierten Code entstehen?

@Naddel_81:
Richtig.
 
Kann man ja auch als gutes Zeichen verstehen, dass nicht ständig dran rumgepatcht werden muss, weil es eben schon gut ist :p
Euromaster00 schrieb:
Wird das überhaupt noch weiterentwickelt ? Die letzte Version ist ja von Februar 2012.
Zum Vergrößern anklicken....

JuggernautX schrieb:
Eine gesunde Paranoia ist nicht schlecht, da sie uns doch wachsam hält.....
Zum Vergrößern anklicken....
gesunde Paranoia ist ein schönes Oxymoron
 
Zuletzt bearbeitet:
@ MysWars: danke für die bestätigung. also als fazit bleibt festzuhalten: trueCrypt taugt für den ottonormalverbraucher, um seine privaten daten vor der polizei/der tante/dem haustier zu verstecken, aber nicht, um wirklich sicherheitsrelevante daten for BND/NSA und Co oder anderen staaten zu schützen, weil man immer davon ausgehen muss, dass jede verschlüsselung, die man nicht selbst erfunden hat, irgendwie zu knacken sein könnte, oder?

btw: ich bin mir sicher, dass NSA und Co einen "master-key" (private oder public key, ich weiß nicht mehr welcher noch fehlt. halt der zum encrypten) wie den der PS3 sicher berechnen könnten, wenn sie den müssten. wie restliche welt würde sich an dem ding wundrechnen und mehr energie und zeit aufwenden als zur verfügung steht, weil wir nicht das wissen um die backdoors haben, mit denen sich eine verschlüsselung austricksen lässt.
 
Kennt jemand ein gutes Programm mit welchem es möglich ist, einzelne Ordner zu verschlüsseln und mit Passwort zu versehen?
Also keine Container- oder Vollverschlüsselungslösung wie bei TrueCrypt. Das Sicherheitsniveau muss auch nicht so hoch sein.
 
JuggernautX schrieb:
Ich nehme sehr gerne TC aber ominös sind dennoch, das die Leute hinter TC noch immer anonym sind.... Wollen die sich schützen oder sind die von der NSA/CIA?
Zum Vergrößern anklicken....

Also mir ist ganz klar, weshalb die Macher von Truecrypt anonym bleiben wollen! Mit ihrer Software werden weltweit die wichtigsten Geheimnisse verschlüsselt, da hätte ich auch Angst davor, dass mich hin und wieder mal jemand entführt (sei es ein Geheimdienst oder die Mafia) und versucht mich zu erpressen.
Bzw. meine Familie entführt und zu mir sagt: "du machst da jetzt ein Backdoor rein, sonst siehst du deine Tochter nie wieder!"

Also diese gesunde Paranoia der Entwickler von Truecrypt kann ich absolut verstehen!
 
@Franca: Winzip, Winrar, etc.
Wenn du nicht richtig verschlüsselst, kannst du es auch gleich sein lassen.

Ansonsten gibt es beim Kauf eines USB-Sticks (z.B. SanDisk Extreme USB 3.0) eine kostenlose Software dazu.
 
Zuletzt bearbeitet:
hallo7 schrieb:
Das ist die beste uns sichereste Möglichkeit. Eine einfache Schiffre, welche bitweise funktioniert, aber nur du weißt welche bits usw. zu implementieren ist nicht sonderlich schwierig.
Wichtig ist nur, dass man den Schlüssel sicher hält, also am besten nur auf einem Gerät ohne Internet anwendet und sich unter Umständen das OS gut aussucht. (umso einfacher umso besser)

Achja, den Algorithmus sollte man natürlich auch sicher halten also am besten nach der Verschlüsselung vernichten und erst beim entschlüsseln wieder implementieren usw.
Damit ist so gut wie sicher, dass man nur selbst auf die Daten Zugriff hat. Lohnt sich das bei irgenwelchen Daten? Muss jeder selbst wissen.
Zum Vergrößern anklicken....

Gerade davon wird dringendst abgeraten....
https://www.youtube.com/watch?v=KxTh45_VhFk
 
Naddel_81 schrieb:
@ MysWars: danke für die bestätigung. also als fazit bleibt festzuhalten: trueCrypt taugt für den ottonormalverbraucher, um seine privaten daten vor der polizei/der tante/dem haustier zu verstecken, aber nicht, um wirklich sicherheitsrelevante daten for BND/NSA und Co oder anderen staaten zu schützen, weil man immer davon ausgehen muss, dass jede verschlüsselung, die man nicht selbst erfunden hat, irgendwie zu knacken sein könnte, oder?
Zum Vergrößern anklicken....

Es gab mal in der Presse einen Fall eines südamerikanischen Bankers, der wegen Betrug vor Gericht stand (es ging um sehr hohe Summen) und die Strafermittler kamen nicht an seine TC verschlüsselte Platte ran. Schließlich haben sie die US-amerikanischen Behörden um Hilfe gebeten, die aber nach mehreren Monaten auch aufgeben mussten. Die Platte konnte nicht entschlüsselt werden!

Für einen echten Verschwörungstheoretiker ist das natürlich nur ein PR-Stunt der amerikanischen Behörden, um uns in Sicherheit zu wiegen - aber ich glaube schon, dass Truecrypt das Sicherste ist, was man tun kann. Ein gutes Passwort natürlich vorausgesetzt!

Wie der Artikel in der englischen Zeitung ja auch erwähnt, hat Großbrittanien das Problem für sich ja schon einfach gelöst: man ist dort verpflichtet, das Passwort von verschlüsselten Daten den Behörden zu geben. Tut man es nicht, kann man mehrere Jahre ins Gefängnis wandern, völlig egal, was auf der Platte drauf ist! Problem solved! :(
 
Zuletzt bearbeitet von einem Moderator:
Handysurfer schrieb:
@Franca: Winzip, Winrar, etc.
Wenn du nicht richtig verschlüsselst, kannst du es auch gleich sein lassen.
Zum Vergrößern anklicken....

Stimmt macht keinen Unterschied ob meine Freundin den XXX-Ordner am Desktop sieht, oder eine passwortgeschützte "Work in progress.rar" unter Eigene Dokumente.
Das man auch gleich immer davon ausgehen muss, das jeder alles vor den Aliens von Grumpitz, die uns technologisch 60000 Jahre voraus sind geheim halten will. Manchmal will man auch einfach Bekannte, Verwandte, oder den ordinären Einbrecher davon abhalten die Daten auslesen zu können. In manchen Fällen könnte auch die Änderung von *.doc auf *.jpeg schon genug Schutz sein.
 
highks schrieb:
Also mir ist ganz klar, weshalb die Macher von Truecrypt anonym bleiben wollen! Mit ihrer Software werden weltweit die wichtigsten Geheimnisse verschlüsselt, da hätte ich auch Angst davor, dass mich hin und wieder mal jemand entführt (sei es ein Geheimdienst oder die Mafia) und versucht mich zu erpressen.
......Also diese gesunde Paranoia der Entwickler von Truecrypt kann ich absolut verstehen!
Zum Vergrößern anklicken....

Würde Dir uneingeschränkt recht geben aber Du glaubst doch nicht im Ernst, dass Geheimdienste nicht an die Macher hinter TC kommen.....

Staatsgeheimnisse werden ausspioniert aber diese Kerle werden nicht gefunden?.....also ich weiß nicht, vielleicht bin ich ja doch zu Paranoid.....:D
 
Gorerotic schrieb:
Gerade davon wird dringendst abgeraten....
Zum Vergrößern anklicken....

Hier nicht das Thema verwechseln. Ich hab den Vortrag kurz überflogen und soweit ich mitbekommen habe redet er hauptsächlich von verschlüsselter Kommunikation. Und da geb ich ihm teilweise recht. (Eine Schiffre ist auch hier wirkungsvoll nur muss man die Schlüssel manuell austauschen. Die Geheimdienste setzen teilweise noch immer auf dieses Verfahren und Broadcasten verschlüsselte Nachrichten. Nur der mit dem richtigen Schlüssel kann damit etwas anfangen)

Hier geht es aber nicht um Kommunikation sondern um etwas das nur ich kenne und nur ich kennen muss. Es ist alles unspezifiziert, Schlüssellänge sowie Algorithmus und auch Gegendaten. Für Kommunikation kann man das natürlich überhaupt nicht verwenden aber um etwas sicher zu lagern. Eine Schiffre ist da sehr wirkungsvoll, vor allem wenn niemand außer man selbst weiß was man überhaupt verschlüsselt hat. (Man kann Text ganz einfach in Bildern usw. verstecken ohne das es auffällt)

Nur einen 10 GB Film sollte man nicht in ein Bild verschlüsseln, das könnte auffallen...
 
@JuggernautX
Das ist genau das was ich mit einem gesunden Misstrauen und Menschenverstand meine ;)

Mir konnte auch noch niemand verraten, für was die verschlüsselten Zufallszahlen im Header ab Block 512 mit einer Länge von 65024 byte benötigt werden. Unter Linux ist dieser Bereich 0 Bytes groß.

Eventuelle Möglichkeiten:

☐ Entwickler hatte Langeweile
☐ verborgener Zweitschlüssel

Weiterhin lässt sich ein Zweitschlüssel im Salt vom Block 0 - 64 unterbringen, das würde dann alle Versionen betreffen.
 
Helge01 schrieb:
@JuggernautX
Das ist genau das was ich mit einem gesunden Misstrauen und Menschenverstand meine ;)

Mir konnte auch noch niemand verraten, für was die verschlüsselten Zufallszahlen im Header ab Block 512 mit einer Länge von 65024 byte benötigt werden. Unter Linux ist dieser Bereich 0 Bytes groß.

Eventuelle Möglichkeiten:

☐ Entwickler hatte Langeweile
☐ verborgener Zweitschlüssel

Weiterhin lässt sich ein Zweitschlüssel im Salt vom Block 0 - 64 unterbringen, das würde dann alle Versionen betreffen.
Zum Vergrößern anklicken....

Könntest Du das bitte etwas ausführlicher erklären? Wo und bei welcher Version bzw. Datei werden undefinierte Zufahlszahlen gespeichert? In einem TC-Container? Unterscheidet sich dieser von einem unter Linux erstelltem Container? Oder wie habe ich das zu verstehen?
Danke :)
 
@valnar77
Das betrifft Container die unter Windows erstellt wurden. Container die unter Linux erstellt wurden, haben in diesem Header-Bereich keine Zufallszahlen.
 
Zuletzt bearbeitet:
iks-deh schrieb:
Nur sicher, solange man davon ausgeht, dass der Compiler keine Hintertüren einbaut ;): (interessantes Paper dazu: http://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf)
Zum Vergrößern anklicken....

Was auch der Grund für die "völlig veraltete Build-Umgebung" sein dürfte (die stammt meines Wissens nach aus der Zeit vor 1999, als Serpent, Twofish und Rijndael noch nicht durch den AES-Wettbewerb im Licht der Öffentlichkeit standen und Compiler daher noch nicht gegen sie manipuliert sein konnten).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
  • Artikel
Leserartikel GrapheneOS auf dem Google Pixel 8 Pro
2
Antworten
33
Aufrufe
9.316
homer0815
homer0815
DevPandi
Leserartikel Pandi kann es doch nicht lassen - Ryzen 7 7800X3D gegen Ryzen 7 5800X3D
3 4 5
Antworten
83
Aufrufe
16.884
DevPandi
DevPandi
Yann1ck
  • Angepinnt
Leserartikel Anleitung und Regeln für das Schreiben eines Leserartikels
Antworten
11
Aufrufe
16.721
andi_sco
andi_sco
Baal Netbeck
Leserartikel Update zu "Suche nach den Energiefressern im PC"
Antworten
6
Aufrufe
1.598
Baal Netbeck
Baal Netbeck
Verangry
Leserartikel CPU und Bios Guide für Ryzen 3000 (und älter)
5 6 7
Antworten
130
Aufrufe
150.154
Tanzmusikus
Tanzmusikus
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz