TrueCrypt noch die beste Lösung?

[JaXoN111]

Hallo liebe Community,

Ich habe eine Festplatte, die ich momentan mit TrueCrypt 7.1a mit einem Passwort verschlüsselt habe. Nun habe ich irgendwo gelesen, dass diese Sicherheitslücken aufweist und man lieber auf andere Programme zurückgreifen sollte. Stimmt das oder kann ich das so belassen, wie es ist?

Kann mir jemand da helfen bzw einen Tipp geben? Ich meine wie sollte jemand, auch wenn es ein IT Experte ist ohne mein Passwort an die Daten von der Festplatte kommen, wenn ich sie mit TrueCrypt verschlüsselt habe?

Ich danke im voraus.


Lieben Gruß

 

[huuu]

hey, ich glaub du suchst nach dem neuen veracrypt!
https://sourceforge.net/projects/veracrypt/
da truecrypt recht veraltet ist.

greetz :0

hier ein paar reviews
https://sourceforge.net/projects/veracrypt/reviews/

 

[PHuV]

Nimm, wie @huuu, Veracrypt, das kann auch TrueCrypt Container einlesen.

 

[BLJ]

VeraCrypt ist praktischerweise der Nachfolger von TrueCrypt.
Konvertierung ist, wenn es keine System Partition ist, einfach:
https://documentation.help/VeraCrypt/Converting TrueCrypt volumes and partitions.html

 

[ChrisdaKing]

Veracrypt wurde ja bereits genannt, unbedingt wechseln. Aber auch bei Veracrypt bestehen für einen möglichen Fremdzugriff verschiedene Optionen:

• Dein PC ist mit Malware infiziert und es läuft ein Keylogger oder Bildschirmübertragung
• Dein Passwort ist schlecht und kann erraten werden
• Die Software hat Sicherheitslücken die ausgenutzt werden
• etc. ...

 

[S.Kara]

Kann mir jemand da helfen bzw einen Tipp geben? Ich meine wie sollte jemand, auch wenn es ein IT Experte ist ohne mein Passwort an die Daten von der Festplatte kommen, wenn ich sie mit TrueCrypt verschlüsselt habe?

Mir sind ein paar Szenarien bekannt aber bei denen braucht man entweder Zugriff auf den Rechner während das Volume gemountet ist (Passwort rekonstruieren) oder muss vor der Installation/Mounten andere Dateien manipulieren.
So oder so, mit einem Trojaner kommt man schnell an deine Daten, egal ob TrueCrypt oder eine andere Software.

Falls dein Rechner clean ist, niemand Zugriff auf gemountete Volumes hat und du ein starkes Passwort verwendest kommt auch die NSA nicht an deine Daten.

 

[mugabemkomo]

Ich würde einfach Bitlocker verwenden solang dein Mainboard einen TPM Chip hat.

 

[alf420]

VeraCrypt ist praktischerweise der Nachfolger von VeraCrypt.

Und ich dachte immer VeraCrypt wäre der Nachfolger von TrueCrypt. Duck und Weg.

 

[teufelernie]

Kann mir jemand da helfen bzw einen Tipp geben? Ich meine wie sollte jemand, auch wenn es ein IT Experte ist ohne mein Passwort an die Daten von der Festplatte kommen, wenn ich sie mit TrueCrypt verschlüsselt habe?

Indem Truecrypt broken as designed ist:
https://www.heise.de/security/meldu...Seite-Truecrypt-ist-nicht-sicher-2211037.html

Gut möglich, dass dies auch für Veracrypt gilt:
https://www.google.com/search?channel=fs&client=ubuntu&q=veracrypt+unsicher

Ich würde einfach Bitlocker verwenden solang dein Mainboard einen TPM Chip hat.

Nee, das hat auch Wunden. Hier etwas Salz:
https://www.zdnet.de/88356341/sicherheitsforscher-demonstriert-neuen-angriff-auf-windows-bitlocker/


Ich benutze das von google auch in Android verwendete "dmcrypt" auf meinem (Linux) Fileserver. Angewandt auf eine komplette Partition ist das afaik noch "unhacked".


Wie immer gilt:
Nichts in unhackbar.

Aber du musst deine (wertvollen) Daten mit für Angreifer soviel Aufwand sichern, dass diese, bis sie deine Daten lesen können, diese wertlos sind

 

[el.com]

Der TrueCrypt Code wurde schon damals bevor das Projekt eingestampft wurde auditiert. Dabei sind zwar ein paar kleinere Schwachstellen in der Implementierung gefunden worden, aber nichts, was die Verschlüsselung selbst wesentlich beeinträchtigt hätte.
Und auch der Code von VeraCrypt wurde auditiert. Die damals in TC gefundenen Schwachstellen wurden bereinigt. VeraCrypt ist ebenfalls Open Source, also wenn du dem Braten nicht traust, schau einfach selbst in den Quellcode und beurteile selbst, ob du Backdoors findest (der Audit jedenfalls hat keine gefunden). Auch in TC wurden schon keine Backdoors gefunden. Das Projekt ist nur damals unter ziemlich dubiosen Umständen urplötzlich eingestellt worden (siehe deinen Heise-Artikel). Es gab Vermutungen, dass evtl. Druck von Geheimdiensten oder der US-Regierung die Ursache dafür gewesen sein könnte, aber bewiesen wurde das meines Wissens nach nie.

 

[6666david]

Truecrypt ist immer noch unter "gewissen Umständen" sicher du kannst es so lassen aber ich würde dir veracrypt empfehlen weil veracrypt mehr Funktionen hat und "sicherer" sein soll (wenn du auf Nummer sichergehen willst dann verschlüssele deine HDD nochmal mit veracrypt nach)

 

[Thorque]

wenn man true crypt nutzt sollte man unbedingt diese Version 7.1a nutzen und keine neuere:
https://www.heise.de/download/product/truecrypt-25104

 

[Roesi]

Wenn bitlocker und veracrypt beide theoretisch unterwandert werden können wäre es dann nicht besser bitlocker zu verwenden?

 

[el.com]

@Roesi: nein, warum? Bei VeraCrypt ist der Vorteil wenigstens, dass du im Zweifel den Quellcode selbst runterladen, inspizieren und kompilieren kannst. Also für die ganz Paranoiden, die selbst einem unabhängigen Software-Audit nicht trauen. Bitlocker ist Closed Source von Microsoft. Da bist du grundsätzlich von der Gnade des Herstellers abhängig, dass der keine Backdoors einbaut. Dazu gab es ja in Vergangenheit schon genug Vermutungen und Verschwörungstheorien.

 

[Helge01]

So Paranoid muss man da gar nicht sein. Ein Audit wird immer nur vom Quelltext gemacht, aber nicht von der fertig kompilierten Datei. Diese wird aber schlussendlich installiert und man weiß nicht was da alles drin ist. Das kann ein ganz anderer Quelltext sein und den Compiler muss man auch noch vertrauen.

 

[el.com]

Wohl wahr, aber sofern der Hersteller auch den verwendeten Compiler, seine Version und die Kompilieroptionen öffentlich macht, lässt sich auch das nachvollziehen, indem ich das Kompilat dann mit der genannten Config selber nachbaue und mit der vorkompilierten Version des Herstellers vergleichen kann.
Zugegeben, schwierig bis unmöglich wird es dann, wenn das Kompilat zuvor digital signiert wurde. Denn den Private Key von IDRIX (der Hersteller von VeraCrypt) wirst du wohl kaum bekommen...

 

[Helge01]

Das Interesse verschlüsselte Daten zu entschlüsseln ist zu groß. Vermutlich gibt es da so eine Art unfreiwillige Arbeitsteilung. Es gibt die Entwickler die den Quelltext bauen und es gibt z.B. die NSA, die für das Modifizieren und Kompilieren verantwortlich ist. Der ursprüngliche Quelltext ist sauber, bekommt das Audit und wird veröffentlicht. Der Entwickler der den Hut auf hat ist bekannt und wird unter Druck gesetzt. Er darf ausschließlich nur die fertig kompilierten Pakete von den befreundeten Diensten für die jeweiligen Plattformen anbieten, sonst kann er wie auch der Truecrypt Entwickler seine "Würschtelbude" schließen und das Projekt wird eingestellt. So ungefähr könnte z.B. das ganze aussehen.

 

[S.Kara]

Ich meine mich erinnern zu können dass bei TrueCrypt immer alles angegeben wurde (Compiler, Version, usw).
Hier noch ein Bericht vom BSI: Sicherheitsanalyse TrueCrypt

Für den normalen User spielt es wohl keine Rolle ob TrueCryp oder VeryCrypt oder ob die NSA einen SecretKey hat. Um seine "Hausaufgaben" sicher zu verwahren reicht es allemal.

Wer irgendwelchen "Next Level Shit" besitzt der einem Lebenslänglich ins Gefängnis bringt, sollte sich nicht nur auf ein einzelnes Programm verlassen und das Zeug ggf selbst Compilieren. Versteckte Container sind hier sicherlich auch hilfreich.
Wem die Wohnung gestürmt wird helfen verschlüsselte Daten vermutlich aber auch nicht mehr viel weiter.

 

[Helge01]

Ich meine mich erinnern zu können dass bei TrueCrypt immer alles angegeben wurde (Compiler, Version, usw).

Bei Truecrypt war das so, vermutlich hat sich der Entwickler auch auf nichts eingelassen. Deswegen gibt es Truecrypt auch nicht mehr .

Aber hast Recht, für die Allgemeinheit spielt das ganze keine Rolle.

 

[el.com]

Ich meine mich erinnern zu können dass bei TrueCrypt immer alles angegeben wurde (Compiler, Version, usw).
Hier noch ein Bericht vom BSI: Sicherheitsanalyse TrueCrypt

Ist richtig. VeraCrypt gibt dir die Infos aber auch noch. Die brauchst du um den Quellcode selbst zu kompilieren. Problematisch wirds bei den digitalen Signaturen des VeraCrypt-Treibers, die zumindest in der Windows-Version mittlerweile erforderlich sind. Details dazu siehe Kapitel "I. Windows" im offiziellen README. Ohne die digitale Signatur lässt sich der Treiber unter aktuellen Windows-Versionen nicht installieren. Du könntest zwar dazu eine eigene Signatur erstellen und damit kompilieren, aber dann ist das Kompilat eben nicht mehr mit den Binaries des Anbieters identisch.

//Nachtrag:

Um mal ganz nüchtern zu bleiben: Es gibt für Otto Normalverbraucher wenig wirklich effektive Methoden, um Angriffe von Geheimdiensten abzuwehren. Wenn du dich davor garantiert schützen willst, musst du den Quellcode schon komplett selber überprüfen, Zeile für Zeile, und ihn dann selbst kompilieren und im Anschluss jeglichen Internetkontakt auf der Maschine vermeiden. Das macht niemand. Heutige Privatrechner sind doch grundsätzlich mit dem Internet verbunden. Und wenn man jetzt mal den Verschwörungstheoriemodus einschaltet, könnte man sowieso keinem OS mehr trauen. Dann müsste man eh davon ausgehen, dass jedes proprietäre OS (wie Windows) ohnehin schon NSA-Backdoors hat, und vermutlich sogar Open Source Projekte mit entsprechenden Funktionen unterwandert wurden. Dann könnte der Geheimdienst deiner Wahl dir die Daten (oder zumindest die Schlüssel) einfach übers Netz abziehen. Wozu sollten die sich dann noch die Mühe machen, deine Verschlüsselung zu knacken?

Ergo: Der Einsatz von Datenträgerverschlüsselung ist durchaus sinnvoll, um seine Daten vor Privatpersonen zu schützen (z.B. bei Laptopdiebstahl). Aber wenn du wirklich was so heikles treibst, dass sogar die NSA beginnt sich für dich persönlich zu interessieren, dann hast du ganz andere Probleme. Deren finanzielle und technische Mittel sind nahezu unbegrenzt. Die hacken dich einfach übers Internet und fertig.