Also da mich das Thema auch beschäftigt, möchte ich auch mal antworten.
Zuallererst sollen wir die Frage vom Eingang nochmal hochhängen:
Chibi88 schrieb:
wer sagt uns, wie lange das so sein wird?
Denn Chibi88 hat Recht. Je mehr Zeit seit dem letzten Release bzw. seit dem Audit verstrichen ist, desto wahrscheinlicher
wird es, dass Sicherheitslücken in der letzten Version 7.1a gefunden werden. Die Frage ist jetzt:
Welche Alternative ist objektiv am Vertrauenswürdigsten. Ich denke da sollte man sich Quellenmäßig auf die
aktuelle Fachliteratur stützen (c't, usw.). Aber soweit ich weiß haben die noch keine Alternativ-Empfehlung gegeben.
Wenn ich da nicht auf dem neuesten Stand bin, lasse ich mich gern korrigieren.
Achja. Zu den bisherigen Beiträgen (wen's interessiert, der kann hier weiterlesen - muss aber niemand):
Achja. Die Diskussion wird sehr thoeretisch geführt. Aber das ist auch gut so. Denn nur so kann man eine Beweisführung antreten,
bei der man davon ausgehen kann, dass man wirklich im Recht ist. Ich finde es kommt hier drauf an, dass man korrekt argumentiert.
Viele Menschen schmeissen gerne mal alle Fakten in einen Topf und rühren einmal rum.
_____________________________
Beispiel 1:
Annahme 1: Die Software ist fehlerfrei implementiert
Annahme 2: Das Passwort ist hinreichend sicher
Annahme 3: Die NSA hat begrenzte Ressourcen (Strom, Geld, usw)
Schlussfolgerung: Die NSA kann die Verschlüsselung nicht knacken.
In diesem Fall muss gelten: (Annahme 1;Annahme 2;Annahme 3) => Schlussfolgerung
Beispiel 2:
Annahme 1: Die NSA kann viele Implementierungen bzgl. Verschlüsselungssoftware knacken
Schlussfolgerung: Die NSA kann Truecrypt knacken
Das ist
nicht korrekt: Annahme => Schlussfolgerung
_____________________________
Infotainer schrieb:
solange keiner aus meinem Freundeskreis so einen Container knacken kann
Hast du Crypto-Informatiker im Freundeskreis?
Madman1209 schrieb:
Zumal es nicht darum geht "Truecrypt" zu knacken sondern wenn dann die Verschlüsselung selbst.
Nein. Genau darum geht es ja nicht. Was wir hier diskutieren ist die Implementierung von AES (u.A.). AES ist unzweifelhaft Sicher, solange es korrekt implementiert ist. Dies und die restliche Hülle um den Verschlüsselungsalgorithmus ist das worum es geht.
Marius schrieb:
Nichts ist sicher, bzw. ohne Hintertür. Wäre es sicher bzw. ohne Hintertür, wäre es nicht erlaubt.
Solange wir uns nicht in den USA oder Großbritannien befinden kann ich dir da nicht zustimmen. In Deutschland (und davon gehen wir ja wohl aus) ist die Privatsphäre ein Grundrecht. Und das darf speziell durch Verschlüsselungen geschützt werden. Das ist
Fakt (siehe Abschnitt
"Gewährleistung der Vertraulichkeit").
RED-Bit schrieb:
Wenn du die 7.1a und nicht die aktuellere benutzt, sehe ich keinerlei Probleme.
Das ist ja eben das Problem. Die 7.1a könnte unsicher sein...
Marius schrieb:
@RED-Bit
Dann mach dir Sorgen.
Es dauert nämlich keine Tage und Wochen, sondern geschieht in Echtzeit.
Wäre dem nicht so. wäre das Verfahren verboten.
Das dem so ist, belegt die Tatsache, daß Dienste die sichere, Behördlich nicht genehmigte, Verfahren anboten/anbieten ihre Dienste schließen müssen/mussten.
In Echtzeit. So so
supaman schrieb:
Da gibts andere, nicht-amerikanische Produkte die das eleganter lösen.
Ja. Aber die sind, wenn wir davon ausgehen, dass die 7.1a sicher ist im Vergleich hierzu potentiell unsicher. Das ist eben ihr nachteil. Bei der 7.1a war die Sicherheit bewiesen. Bei allen anderen (speziell Closed-Source) eben nicht.
Marius schrieb:
Dazu bedarf es keiner besonderen Rechtsgrundlage.
Doch bedarf es -> DEUTSCHLAND nicht USA!
HominiLupus schrieb:
Truecrypt könnte sogar das Erste sein, aber wir wissen es nicht.
Ja das ist auch meine Vermutung. Ich denke, dass dort persönlicher Druck auf die Entwickler ausgeübt wurde, weil sie nicht bereit waren mit der NSA zu kooperieren. Wenn du das Produkt nicht knacken kannst, dann demonitiere die Entwickler...
Da man davon ausgehen kann, dass man Angst um Leib und Leben haben muss bei dem Verein, ist es aus Sicht der Entwickler der einzige logische Schritt. Ich persönlich würde meine Gesundheit jedenfalls nicht für eine Software aufs Spiel setzen.
HominiLupus schrieb:
Es gibt einige Alternativen wie z.B. Diskcryptor aber das ist ein Truecrypt Fork. Truecrypt hat einen öffentlichen Audit hinter sich, als einzigstes Programm afaik. D.h. Truecrypt hat, zumindest einmal, "bewiesen" daß es sicher ist. Alle anderen Windowsprogramm: not so much.
Genau so siehts aus.
ibm9001 schrieb:
Ja das würd mich auch interessieren.
Der-Orden-Xar schrieb:
[...] Denn wenn die NSA AES knacken kann, dann müssen die etwas kennen, das die Mathematiker, die ihre Forschungsergebnisse offenlegen noch lange nicht gefunden haben. Und seit wann hat die NSA die besten Mathematiker?
Nach CAESAR ( Cryptanalytic AES ARchitecture = Cryptanalysis of the Full AES Using GPU-Like Hardware) aus dem Jahr 2012 bräuchte ein spezieller Supercomputer, der den besten ´bekannten Angriff in der Theorie auch praktisch Umsetzen kann (2^99,5 für AES256) ca 1 Jahr und ~125% des Gesamtstromverbrauchs des Jahres 2005 der USA. Also: woher soll die NSA 4TW bekommen?
Ja sehe ich genauso. Gibt keinen vernünftigen Grund zu glaube dass die NSA bessere theoretische Möglichkeiten hat als der Rest der Wissenschaft. Da könnte man genauso behaupten, das die NSA die Lösung zur Vereinheitlichung der Quantenthoerie besitzt.
Entilzha schrieb:
NSA und andere Geheimdienste kochen auch nur mit Wasser, zaubern können sie nicht.
Eben.
Entilzha schrieb:
TrueCrypt ist Open Source was willst du da knacken? Sie müssen das Verschlüsselungsalgorithmus z.b. AES knacken und wenn sie es geknackt haben und es Öffentlich wird, dann werden die Leute ein anderes Algorithmus verwenden welches vermutlich noch stärker ist und schon geht das Spiel von vorn (Hase, Igel Spiel).
Außerdem, wenn ein Programm (z.b. TrueCrypt) sehr hohe Qualität hat, ich weiß ist Seltenheit, jedoch es gibt diese, was soll man da noch patchen?
mfg
Zum Zeitpunkt des Audits hättest du Recht. Aber jetzt vielleicht nicht mehr. Fakt ist, solange Mensche was Programmieren, sind auch immer Fehler mit im Spiel. Und das ist das Problem, dass die irgendwann gefunden werden.
Der-Orden-Xar schrieb:
Open Source mit Urheberrechtsverletzung?
Ich mutmaße mal, dass sich die Entwickler von VeraCrypt gedacht haben, dass wenn TC nicht weiterentwickelt wird, der Entwickler weiterhin anoymn bleibt - nun dann wird sicher niemand auf das Urheberrecht pochen...
Ja das ist das Problem. Genaugenommen darf der Code von Truecrypt nicht verwendet werden ohne die Zustimmung der Urheber. Open-Source heisst in diesem speziellen Fall, dass man reinschauen und es für sich selbst ändern darf, aber nicht dass man es danach veröffentlichen darf. Truecrypt hat einen speziellen Lizenzvertrag.
Valhal schrieb:
Truecrypt ist eine komische Software, es ist schon erstaunlich, dass man der überhaupt vertrauen kann z.b.:
- Entwickler sind anonym... selbst wie viele Entwickler es gibt ist unbekannt
- Striktes Kathedrale Modell, ist sehr schlecht für Sicherheitssoftware
https://de.wikipedia.org/wiki/Die_Kathedrale_und_der_Basar
- Open-Source ja, aber nicht frei, weil die Lizenz sehr viel verbietet. VeraCrypt und Co sind damit illegal. Aber wo kein Kläger, da kein Richter?
- Die/Der Entwickler benutzt uralte Compiler (Visual C++ 1.52). Es ist somit sehr schwer TrueCrypt selbst zu kompilieren.
https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/
Ich finde
https://ciphershed.org ist am vielversprechendsten. Sind auch mehrere Leute und nicht nur einer wie bei VeraCrypt.
- Ja. Gute Punkte. Danke für das Aufmerksam machen auf CipherShed