Umstieg von Truecrypt zu Veracrypt

[HoneyBadger]

Hi,

hat hier schon jemand eine Truecrypt Partition in eine Veracrypt Partition konvertiert? Seit einiger Zeit geht das ja. Ich wollte schon länger umsteigen, habe aber noch warten wollen, bis die üblichen Kinderkrankheiten halbwegs beseitigt sind.
Habe zwar schon lesen können, dass das funktioniert etc., scheue allerdings noch ein wenig. Hintergrund ist, dass meine Kapazitäten nicht ausreichen, um alle Daten einmal zu sichern, bevor ich von TC zu VC konvertiere. Ansonsten hätte ich einfach komplett neue Partitionen erstellt. Hatte auch mal darüber nachgedacht, für einen Monat ausreichend großen Cloudspeicher anzumieten. Nur habe ich hier gerade mal 2 mb Upstream. Das wäre wohl verschenkte Liebesmüh.

Hat da schon jemand Erfahrungen mit sammeln können? Wenn ja, welche?

Grüße

 

[mathmos]

@foesenMurz:

Selbst wenn jetzt 9 Leute dir sagen, dass es bei Ihnen ohne Probleme funktioniert hat, kann bei dir trotzdem etwas schief gehen. Von daher besorg dir genug Speicherplatz für eine Datensicherung oder nutze weiter TrueCrypt. Die derzeit aktuelle Version ist ja auch die, deren Sourcecode auf Herz und Nieren geprüft wurde und bei der keine Hintertüren oder größere Sicherheitsprobleme entdeckt wurden. Somit halte ich TrueCrypt derzeit auch noch für potentiell sicherer als VeraCrypt, da dessen Sourcecode eben noch nicht umfassend geprüft wurde.

 

[Trolling Stone]

Ist es denn überhaupt absehbar, dass Truecrypt irgendwann nicht mehr sicher wäre?

 

[HoneyBadger]

Ist es denn überhaupt absehbar, dass Truecrypt irgendwann nicht mehr sicher wäre?

Das war eigentlich der Grund, warum ich umsteigen wollte. In TrueCrypt selbst steht ja:

WARNING: Using TrueCrypt is not secure

Wenn die Entwickler schon sagen, dass es unsicher ist und nun mittlerweile deutlich über ein Jahr vergangen ist, seitdem die den Support eingestellt haben, wird es in der Zwischenzeit ja nicht sicherer geworden sein?

 

[thom53281]

Um die Sicherheit von Truecrypt ist es so bestellt, wie um die Sicherheit einer jeden anderen Software. Solange niemand eine Lücke findet, ist sie als weitestgehend sicher anzusehen. Findet jemand eine Lücke, ist man froh drum, dass man eine Software einsetzt, die noch Herstellersupport hat.

Beim Truecrypt-Audit wurden bereits mehrere Fehler gefunden, die aber in den meisten Fällen harmlos sind. Sollte man aber gerade ein Setup nutzen, welches von den Löchern betroffen sein könnte, sollte man auf jeden Fall eine andere Software einsetzen. Ansonsten ist die Version 7.1a nach aktuellem Stand wohl immer noch als sicher anzusehen.

 

[HoneyBadger]

You do not have permission to view link please Anmelden or Registrieren

Also ich nutze u.a. ein Mehrbenutzersystem und AES-Verschlüsselung. Sehe ich das also richtig, dass mein System von der zweiten genannten Sicherheitslücke aus deinem Thread betroffen ist?

 

[thom53281]

Sofern der zweite Benutzer gleichzeitig angemeldet ist ("Benutzer wechseln") während Du Deinen Container geöffnet hast und auch dieser wirklich darauf abzielt, dein Container-Passwort zu knacken, dann ja. Halte das aber für eher unwahrscheinlich, ist eher eine theoretische Schwachstelle. Viel wahrscheinlicher wäre das z. B. auf einem Server wo tatsächlich mehrere unbekannte User gleichzeitig arbeiten würden, usw.

 

[Trolling Stone]

Das war eigentlich der Grund, warum ich umsteigen wollte. In TrueCrypt selbst steht ja:
Wenn die Entwickler schon sagen, dass es unsicher ist und nun mittlerweile deutlich über ein Jahr vergangen ist, seitdem die den Support eingestellt haben, wird es in der Zwischenzeit ja nicht sicherer geworden sein?

Das ist ja das Dubiose an der Sache. Warum sollte man dieses Projekt einstellen, nur weil es angeblich unsicher ist? Da entstand nicht unberechtigt bei vielen der Eindruck, dass die Software für diverse Behörden (*hust* NSA *hust*) zu sicher war und evtl noch ist.

 

[HoneyBadger]

Mhmmm,.... das Ganze ist für mich wirklich schwierig abzuschätzen. Ich bin versiert genug, um z.B. die meisten Probleme am PC selbst lösen zu können bzw. mir zumindest recht schnell via Google oder durch Konversation in Foren (wie z.B. hier) Hilfe zu holen, um ein Problem zu lösen. Meine Wohnung ist ganz gut vernetzt. Das ist auch kein Problem. Und ich bin der Typ im Freundeskreis, der gerufen wird, wenn der Rechner abkackt. An Handys doktere ich auch gerne mal rum. Aber eben im Vergleich z.B. zu vielen hier oder auch zu Leuten, die sich hauptberuflich mit solchen Dingen beschäftigen, kratze ich sicherlich nur an der Oberfläche. Anwenderkenntnisse sind sicherlich ganz passabel. Aber das war´s dann halt auch. Von Programmierung habe ich nicht wirklich Ahnung. Entsprechend muss ich mich darauf verlassen, was Leute so sagen, die davon Ahnung haben. Und das ist für mich z.B. Fachpresse oder auch so eine Community wie diese hier.

Für mich klingt das im Moment alles so:

TrueCrypt ist zur Zeit sicher. TrueCrypt ist zur Zeit unsicher. VeraCrypt ist zur Zeit sicher. VeraCrypt ist zur Zeit unsicher.

 

[The_Emperor]

Spricht was dagegen wenn das System zuerst entschlüsselt wird und danach neu verschlüsselt?

 

[mathmos]

Warum sollte man dieses Projekt einstellen, nur weil es angeblich unsicher ist? Da entstand nicht unberechtigt bei vielen der Eindruck, dass die Software für diverse Behörden (*hust* NSA *hust*) zu sicher war und evtl noch ist.

Dass hier irgendeine Behörde der Grund für die Einstellung des Projekts ist, halte ich für ziemlich unwahrscheinlich. TrueCrypt gibt es seit 2004. Kann mir nicht vorstellen, dass "die" 10 Jahre brauchen um ein Projekt zwangsweise zu beenden. Aber selbst wenn. Anstelle das Projekt mit einer inzwischen nachweislich falschen Aussage zu beenden würde ich an "deren" Stelle das Projekt übernehmen und eine Hintertüre einbauen. Bis dann diese Hintertüre entdeckt wird, kann man so fleißig Daten abgreifen.

Ich tippe eher darauf, dass der/die Entwickler einfach keine Lust/Zeit mehr hatten die Entwicklung an TrueCrypt voran zu treiben (auf der Roadmap standen iirc ja einige größere Brocken). Und anstelle das auch so zu kommunizieren hat man halt Blödsinn angegeben. Eventuell um einen Fork zu "verhindern". Ich denke viele wird die Aussage auch hinsichtlich eines Forks abgeschreckt haben. Auf einen kompletten eigenen Audit werden die wenigsten wohl scharf sein.

Aber die absolute Wahrheit werden wir wohl alle nicht erfahren. Den bzw. die Entwickler kennt ja offiziell keiner. Und die waren ja schon in offiziellen Forum sehr schweigsam.

Spricht was dagegen wenn das System zuerst entschlüsselt wird und danach neu verschlüsselt?

Die Möglichkeit, dass auch hier etwas schief gehen kann. Daher würde ich mich erst einmal um eine Datensicherung kümmern. Egal wie es danach weitergehen soll.

 

[HoneyBadger]

You do not have permission to view link please Anmelden or Registrieren

Nein, warum?

 

[The_Emperor]

Bis auf einem Stromausfall würde mir kein Szenario einfallen wo die Datensicherheit beim Entschlüsseln gefährdet wäre. Hab schon ein paar Systeme ent- und wieder verschlüsselt was stets problemlos verlief. Lag vielleicht daran dass ich etablierte und stabile Programme wie TrueCrypt verwendete die nicht einfach mal so abstürzen. Wenn die betroffene Platte nicht gerade einen Terabyte groß ist sollte sich der Zeitaufwand in Grenzen halten.

 

[HoneyBadger]

You do not have permission to view link please Anmelden or Registrieren

Das größte Laufwerk umfasst bei mir 8 TB.

 

[Shinigami]

Oh Gott, ich durfte gerade erst wieder 1 TB mit AES verschlüsseln und musste schon ewig warten. Bei 8 TB dauert das ja ewig.

 

[RolloP]

Dass hier irgendeine Behörde der Grund für die Einstellung des Projekts ist, halte ich für ziemlich unwahrscheinlich.

Stichwort Lavabit
also doch nicht ganz so weit her geholt

Anstelle das Projekt mit einer inzwischen nachweislich falschen Aussage zu beenden würde ich an "deren" Stelle das Projekt übernehmen und eine Hintertüre einbauen. Bis dann diese Hintertüre entdeckt wird, kann man so fleißig Daten abgreifen.

deshalb gibt es ja auch die aktuelle Version 7.2. Die hat wahrscheinlich die Hintertür und deshalb warnen die Entwickler ja davor...

Aber die absolute Wahrheit werden wir wohl alle nicht erfahren.

richtig, aber irgendwann sickert schon noch was durch

 

[ArchLinux]

Das war eigentlich der Grund, warum ich umsteigen wollte. In TrueCrypt selbst steht ja:
Wenn die Entwickler schon sagen, dass es unsicher ist und nun mittlerweile deutlich über ein Jahr vergangen ist, seitdem die den Support eingestellt haben, wird es in der Zwischenzeit ja nicht sicherer geworden sein?

Ich klinke mich hier mal ein:

Nicht verunsichern lassen von dieser Meldung!
Die Betreiber/Programmierer haben einen sogenannten NSA-Brief erhalten. Die dürfen aber nicht sagen, dass dem so ist, deswegen haben die jenen Wortlaut auf ihrer Homepage veröffentlicht.

Die letzte Version - es müsste glaube ich die 7.1a sein - ist sicher. Der Quellcode wurde auch im ersten Audit als sicher eingestuft. Auf das Ergebnis des zweiten warten wir noch ein bisschen.

Bei einer Konvertierung muss man leider immer wieder von Datenverlusten ausgehen oder anderen Problemen, die auch von der jeweiligen Hardware abhängen. Die Kombinationsmöglichkeiten sind groß. Daher rate ich, bei der letzten funktionierenden Version zu bleiben. Über diverse Spiegelserver sind die damaligen Versionen immer noch zu beziehen.

ArchLinux

 

[NbN]

Daher rate ich, bei der letzten funktionierenden Version zu bleiben. Über diverse Spiegelserver sind die damaligen Versionen immer noch zu beziehen.

Für solche Fälle ist ein Downloadbereich im NGB vielleicht eine gute Idee. Statt Spiegelservern, eine wirklich sichere Quelle. Frei nach dem Motto. NGB, das Forum dem die Nutzer vertrauen!

 

[ArchLinux]

Ein Downloadbereich schluckt natürlich auch Bandbreite, aber die Idee ist gut.
Heise, so denke ich, kann man auch vertrauen. Hier der Link zur Version 7.1a

You do not have permission to view link please Anmelden or Registrieren

 

[nopsled]

Ich persönlich bleibe bei Truecrypt v 7.1a (Privat und ach bei der Arbeit).

VeraCrypt ist halt doch nur ein Fork. Sollten Hintertüren in Trecrypt vor 7.2 eingebaut worden sein, wären diese theoretisch auch in VeraCrypt vorhanden.
Einen unabhängigen Audit, wie es ihn bei TrueCrypt 7.1a gegeben hat, hat es bei VeraCrypt bis dato ja auch noch nicht gegeben.

Die Idee mit der angehobenen Anzahl an Wiederholungen beim Hashen ist an sich ja ganz nett. Ich sehe sie jedoch nur als bedingt von praktischem Nutzen.
Die 10 - 20 Sekunden zum mounten eines VeraCrypt Containers, stört mich auch ein wenig, gerade wenn ich nur eine kleine Datei bearbeiten, speichern und dann mein Speichermedium gleich auswerfen will. Aber da bin ich warscheinlich einfach nur von TrueCrypt verwöhnt worden.

Ich wäre mit einer Migration von TC zu VC vorsichtig. Vorallem da du ja von einer Großen Anzahl an Daten sprichst. Ich würde gründlich abwägen.
"If it ain't broken, don't fix it", wie der Nordamerikaner zu sagen Pflegt.