ComputerBase Menü
Aktuelles

News VeraCrypt: TrueCrypt-Alternative ist laut Audit sicher

Wird nicht lange dauern und der Herr von VC wird das Projekt entweder auch einstellen oder einen Unfall erleiden.
 
Ja sowas wird passieren, halt unter "leicht mysteriösen Umständen"
 
hab jetzt 3 mal hintereinander "Aldi" statt "Audit" gelesen. Zeit für einen Kaffee :D
 
Wird Zeit dass es endlich vollen GPT-Support gibt, damit ich auch mein Bootcamp-Windows komplett verschlüsseln kann :)
 
Ich hab weiterhin TC im Einsatz, allerdings auch nicht die aktuellste Version.
Vielleicht wird es Zeit auf VC umzusteigen. Allerdings traue ich dem einfach nicht ganz.

fethomm schrieb:
Die Experten von QuarksLab hielten die Implementierung für unsicher.
Zum Vergrößern anklicken....

Natürlich. Man kann doch keinen bösen, russischen Mechanismus drin lassen!

fethomm schrieb:
Ein 2015 durchgeführter Audit in mehreren Teilschritten ergab keine Hintertüren und relativ wenige sicherheitsrelevante Probleme. Auch ein weiterer Audit des Fraunhofer Instituts im gleichen Jahr ergab keine gravierenden Probleme.
Zum Vergrößern anklicken....

Damit ist jetzt TC gemeint, oder?
 
Ap2000 schrieb:
Ich hab weiterhin TC im Einsatz, allerdings auch nicht die aktuellste Version.
Vielleicht wird es Zeit auf VC umzusteigen. Allerdings traue ich dem einfach nicht ganz.



Natürlich. Man kann doch keinen bösen, russischen Mechanismus drin lassen!
Die Sicherheitsevaluierung aus https://eprint.iacr.org/2011/211.pdf sieht es auch kritisch


Damit ist jetzt TC gemeint, oder?
Zum Vergrößern anklicken....
Ja, ging zwar aus dem Link hervor, habs aber ergänzt.
 
NVD schrieb:
Was von beidem ist jetzt wahr?
Zum Vergrößern anklicken....

Den Text bei Golem hast du aber gelesen ?
Die schwerwiegenden Lücken sind alle schon im aktuellen Release behoben.
In der Berichterstattung ähneln sich CB und Golem doch (vorausgesetzt, man hat den Text gelesen).
Nur die überschriften sind mehr oder weniger reißerisch.

Golem schrieb:
Die schwerwiegenderen Probleme aus diesen Audits wurden in Veracrypt behoben, einige kleinere Probleme blieben jedoch bestehen.
Zum Vergrößern anklicken....
 
Hab immer noch die letzte Version von TC (7.1a wohlgemerkt) im Einsatz und verrichtet immer noch sehr gute Dienste. Auf VC werde ich erst umsteigen, wenn es TC ebenbürtig geworden ist.
 
NVD schrieb:
Was von beidem ist jetzt wahr?
Zum Vergrößern anklicken....

Die gefundenen "Lücken" sind eher mehr Schein als Sein. Falls der PC schon in dem Ausmaß kompromittiert wurde dass diese Punkte schlagend werden würden, ist es so oder so schon vorbei mit jeglichem Schutz.

Die Annahme bei TC damals und bei VC jetzt ist und bleibt dass, nachdem das Passwort eingetippt wurde, man der Software welche auf dem Gerät läuft und der Person die vor dem Gerät sitzt, vertrauen kann. Wenn das nicht gegeben ist, dann bewegt sich das gebotene Niveau an Sicherheit irgendwo zwischen schlecht bis sehr schlecht. Wo es in diesem Spektrum aber genau liegt macht dann auch keinen so großen Unterschied mehr - beides davon ist unzureichend.

Die Lücken aus Softwaretechnischer Sicht u.U. als "schwer" einzustufen und sollten behoben werden, am effektiv gebotenen Sicherheitsniveau ändert dies (zumindest derzeit) aber wenig. Entsprechend ist das Ergebnis vom Audit auch eher als Bestätigung der Sicherheit von VC einzustufen, auch unabhängig diverser Patches.

Hyourinmaru schrieb:
Auf VC werde ich erst umsteigen, wenn es TC ebenbürtig geworden ist.
Zum Vergrößern anklicken....

Leider ist es nicht ganz so einfach. VC verwendet ein wesentlich sichereres Verfahren um Verschlüsselungskeys aus Passwörtern zu generieren als TC, sowie ein besseres Verfahren um Schlüsseldateien zu erzeugen.
 
Okay, verstehe ich das richtig?

​VeraCrypt nutzt PGP und die NSA liebt PGP, weil, Zitat: "It lights you up like a Vegas casino"
​Artikel: http://www.theregister.co.uk/2016/01/27/nsa_loves_it_when_you_use_pgp/

​Dokumentation von VeraCrypt:
https://veracrypt.codeplex.com/wikipage?title=Digital Signatures
Types of Digital Signatures We Use

We currently use two types of digital signatures:

  • PGP signatures (available for all binary and source code packages for all supported systems).
  • X.509 signatures (available for binary packages for Windows).
Zum Vergrößern anklicken....

​P.S:
Was soll man von einer Verschlüsselungssoftware halten, bei denen bekannten Lücken nicht geschlossen sind? Ein paar, von mir aus die Meisten wurden geschlossen, schön und gut, aber was ist mit den Anderen? Sind das vielleicht Lücken, die man nicht schließen kann? Vielleicht weil das Know-How fehlt oder weil es technisch einfach nicht möglich ist?

​Und selbst wenn es zu 100% sicher verschlüsselt ist, was ist mit Trojanern, die einfach das Passwort auslesen und die Entschlüsselung damit absolut wertlos machen?
​Und wenn man Passwort-Tools nutzt: Wer garantiert die Sicherheit des Tools?
​Und wenn man Verschlüsselungsdateien nutzt, die als Schlüssel dienen: Welches Gesetz kann einem garantieren, dass man diese Dateien (bspw. auf einem USB-Stick) nicht herausgeben muss?
​Und wie versteckt man so einen Datenträger, den man vielleicht täglich nutzt? Der wird wohl offensichtlich im Zimmer, Wohnung, Haus oder Grundstück sein, welches man einfach durchsuchen kann.

​Fragen über Fragen und die einfache Antwort, dass es keine Sicherheit gibt und die Sicherheit der Menschheit von Jahr zu Jahr schwindet, unter anderem weil es der Menschheit einfach absolut egal ist, wirft weitere Fragen auf.

​Kurz:
Warum sollte man seine Zeit "verschwenden?" etwas zu verschlüsseln oder darüber nachzudenken, wenn der Staat, der einen schützen soll, alle Kräfte und Mittel nutzt, dass Gegenteil zu erzielen?

​Meine einzige Idee, etwas wirklich sicher zu "verschlüsseln" ist, Daten offline abzulegen und mit einer mechanischen Vorrichtung bei falscher Handhabung den Datenträger vernichten zu lassen.
Magneten? Sprengstoff? Chemie?
 
Zuletzt bearbeitet:
Ich glaube du bringst ein paar Dinge durcheinander. In deiner News geht es darum, wenn PGP als Verschlüsselung zum Einsatz kommt. Entschlüsseln können sie das zwar nicht, aber aufgrund der Metadaten den ausschlagebenden Rechner ausfindig machen und kompromittieren.


It might happen that a VeraCrypt installation package you download from our server was created or modified by an attacker. For example, the attacker could exploit a vulnerability in the server software we use and alter the installation packages stored on the server, or he/she could alter any of the files en route to you.
Zum Vergrößern anklicken....

Darum geht es wie schom in Link gesagt. Es soll dir einfach nur sagen, dass du das original Package benutzt.


Edit:
nemo tenetur se ipsum accusare – niemand ist verpflichtet, sich selbst zu belasten/anzuklagen
Zum Vergrößern anklicken....

Einfach mal googlen

Natürlich gibt es keine 100% Sicherheit darum geht es bei solchen Tools aber auch nicht.
 
Zuletzt bearbeitet:
Highspeed Opi schrieb:
Okay, verstehe ich das richtig?
Zum Vergrößern anklicken....

Wenn du dir die verwendeten Begriffe etwas näher ansiehst, dann wirst du feststellen das der Artikel sich auf E-Mails bezieht ... und wenn bei dir die Kommunikation zw. Festplatte und CPU per E-Mail erfolgt hast du vermutlich schon ganz andere Sorgen als die NSA.

Davon abgesehen, wird Verschlüsselung im Rahmen diverser Normen und Zertifizierungen auch so schon immer gebräuchlicher - und wenn dann jeder aufleuchtet, leuchtet eben keiner mehr auf.

Und nochmal davon abgesehen, die meisten von uns sind ja auch keine Terroristen bei denen es schon reicht das sie "aufleuchten", damit man ihnen die Drohnen vorbeischicken kann.

kumpert schrieb:
niemand ist verpflichtet, sich selbst zu belasten/anzuklagen
Zum Vergrößern anklicken....

Naja, außer in den USA ... wo man dann wegen "Missachtung des Gerichts" eingesperrt wird. Andererseits gibt es in den USA, im Gegensatz zu uns, die Regelung das illegal gewonnene Beweise als ungültig einzustufen sind. Ist also ein hin und her mit den Rechtssystemen.
 
Zuletzt bearbeitet:
Falsch.

Cytrox schrieb:
Andererseits gibt es in den USA, im Gegensatz zu uns, die Regelung das illegal gewonnene Beweise als ungültig einzustufen sind.
Zum Vergrößern anklicken....
Bei uns ist das auch so, kommt aber auch manchmal auf den Einzelfall drauf an.
Und in den USA ist das immer je nach Bundesstaat total anders. Man kann das dort nie so krass verallgemeinern.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
VeraCrypt | SSD vollständig & sicher löschen - Meine Fragen
Antworten
7
Aufrufe
2.167
DerKeinPcProfi
D
SVΞN
News VeraCrypt: M1, M1 Pro und M1 Max werden jetzt nativ unterstützt
2
Antworten
22
Aufrufe
10.272
Cool Master
Cool Master
B
Alternatives Setup als Ersatz für Google Cloud Dienste
Antworten
6
Aufrufe
1.274
bookie
B
1
Verschiedene Spiele starten nicht/stürzen ab
2 3
Antworten
52
Aufrufe
3.386
LugiBetrugi
L
tarifa
  • Gesperrt
die KDE community kommt mit Plasma 6, Frameworks 6 und Gear 24.02
Antworten
15
Aufrufe
1.219
Wau
W
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz