Pleitgengeier
offizielles GEZ-Haustier
Warum hat VC 7.2 und nicht 7.1a geforkt?
Umstieg von Truecrypt zu Veracrypt
- Ersteller HoneyBadger
- Erstellt am
HoneyBadger
Aktiver NGBler
- Registriert
- 7 Sep. 2015
- Beiträge
- 1.913
- Thread Starter Thread Starter
- #22
Danke für die vielen Anmerkungen. Da ich seit meinem letzten Post nicht dazu gekommen bin, hier drüber zu lesen, hat sich bei mir inzwischen allerdings auch etwas getan.
Ich habe mal testweise einen 250 GB Container und eine 2 TB Partition konvertiert. Theoretisch könnte ich also damit noch zurück wechseln. Von der Funktion her, bemerke ich bis dato keine Fehler. Teste aber noch ein wenig.
Habe da mal den Wikipediaeintrag zu gelesen.
Da ging es ja offensichtlich gezielt darum, Snowden an den Einern packen zu können. Mir ist die Analogie zu TC jetzt noch nicht ganz klar. Mal angenommen, da wäre jetzt tatsächlich eine Hintertür seitens der NSA eingebaut. Inwieweit wäre es da realistisch, dass Deutsche Behörden Zugriff bzw. überhaupt Kenntnis davon hätten? Bzw. warum sollte die TC 7.1a mittlerweile nicht dennoch unsicher geworden sein. Es ist ja schließlich eine Menge Zeit ins Land gegangen. Und die Ressourcen der Amerikaner sind dafür ja nicht ganz unerheblich. Kniffliges Thema.
Wo?
Wo kommen denn die Infos von so einem NSA-Brief her?
Das ist mir leider auch schon aufgefallen. Verstehe gar nicht, warum das so lange dauert.
Ich habe mal testweise einen 250 GB Container und eine 2 TB Partition konvertiert. Theoretisch könnte ich also damit noch zurück wechseln. Von der Funktion her, bemerke ich bis dato keine Fehler. Teste aber noch ein wenig.
Habe da mal den Wikipediaeintrag zu gelesen.
Da ging es ja offensichtlich gezielt darum, Snowden an den Einern packen zu können. Mir ist die Analogie zu TC jetzt noch nicht ganz klar. Mal angenommen, da wäre jetzt tatsächlich eine Hintertür seitens der NSA eingebaut. Inwieweit wäre es da realistisch, dass Deutsche Behörden Zugriff bzw. überhaupt Kenntnis davon hätten? Bzw. warum sollte die TC 7.1a mittlerweile nicht dennoch unsicher geworden sein. Es ist ja schließlich eine Menge Zeit ins Land gegangen. Und die Ressourcen der Amerikaner sind dafür ja nicht ganz unerheblich. Kniffliges Thema.
Wo?
Wo kommen denn die Infos von so einem NSA-Brief her?
Das ist mir leider auch schon aufgefallen. Verstehe gar nicht, warum das so lange dauert.
Die kann ja auch nur entschlüsseln, Die Daten offline entschlüsselt kann ja eigentlich nicht gefährlich sein. Vom Schadcode im Installer mal abgesehen kann man das auf einem "extra" System machen, auf einer Vm oder echten Hardware. Aber ohne Verschlüsselungsfunktion ist diese Version doch eigentlich eh nutzlos ausser für die von den Entwicklern vorgeschlagenen Lösungen um TC nicht mehr zu nutzen. Oder was übersehen?
Wenn Veracrypt auf 7.2 aufbaut wäre das für mich die gleiche Frage.
nopsled
Neu angemeldet
- Registriert
- 14 Sep. 2015
- Beiträge
- 3
Ich habe nicht gesagt das VC die 7.2 geforkt hat. Ich habe nur angemerkt, dass eine theoretische Hintertür die bereits vor 7.2 bei Truecrypt eingebaut gewesen wäre, VC auch mit übernommen hätte!.
Die langen Ladezeiten hängen mit dem Hashverfahren zusammen.
Die Sache mit der NSA wurde, soweit ich mich entsinne nie bestätigt. Es wurde spekuliert, da es von Seiten der Entwickler nie eine konkrete aussage gab. Dafür spricht, das es in den Verienigten Staaten bestimmte Gesetzte gibt, wie den Patriot Act, der die Entwickler in große Schwierigkeiten bei ausplaudern oder zuwiederhandlung bringen würde.
Die langen Ladezeiten hängen mit dem Hashverfahren zusammen.
Die Sache mit der NSA wurde, soweit ich mich entsinne nie bestätigt. Es wurde spekuliert, da es von Seiten der Entwickler nie eine konkrete aussage gab. Dafür spricht, das es in den Verienigten Staaten bestimmte Gesetzte gibt, wie den Patriot Act, der die Entwickler in große Schwierigkeiten bei ausplaudern oder zuwiederhandlung bringen würde.
Zuletzt bearbeitet:
Hatte mich nur auf deine These bezogen, mit einem wenn und wäre. Genaues dazu weiss ich nämlich gar nicht.
Gabs doch ein Audit für die letzte Vorgängerversion.
Keine Hintertür, aber zwei kritische Fehler wurden jetzt in TrueCrypt gefunden.
You do not have permission to view link please Anmelden or Registrieren
woodruff
Tobozon-Glotzer
Nö. Phase 2 ist schon seit April (!) abgeschlossen ->
You do not have permission to view link please Anmelden or Registrieren
Der Artikel von heise ist gelinde gesagt FUD. Sollte diese Sicherheitslücke zum Tragen kommen, hat man schon ganz andere Probleme mit seinem System, wenn es denn dann überhaupt noch das eigene System ist.
imho
Der Artikel in der
You do not have permission to view link please Anmelden or Registrieren
ist da wesentlich "besser".
NbN
Webwanderer
- Registriert
- 28 Jan. 2014
- Beiträge
- 191
Timekeeper
Neu angemeldet
Wenn ich das richtig gelesen habe, kann man mit Truecrypt (die neuste Version) nur noch Daten Entschlüsseln aber nicht mehr verschlüsseln. Kann das einer von euch hier bestätigen?
Ich selbst bleibe bei Truecrypt 7.1a und da ich den Behörden so ziemlich alles zutraue, glaube ich auch das TrueCrypt auf Druck der US Behörden eingestellt worden ist. Mittlerweile ist ja jeder Internet Nutzer ein potenzieller Attentäter, anders lässt sich die Datensammelwut nicht erklären. Ich würde auch niemals ein Verschlüsselungsprogramm was von MS oder einer anderen kommerziellen Quelle kommt nutzen. Die Versuchung Lücken einzubauen und die Geldgier der Konzerne ist einfach nicht mehr zu trauen. Erst recht nicht wenn es sich um Amerikanische Firmen handelt.
Ich selbst bleibe bei Truecrypt 7.1a und da ich den Behörden so ziemlich alles zutraue, glaube ich auch das TrueCrypt auf Druck der US Behörden eingestellt worden ist. Mittlerweile ist ja jeder Internet Nutzer ein potenzieller Attentäter, anders lässt sich die Datensammelwut nicht erklären. Ich würde auch niemals ein Verschlüsselungsprogramm was von MS oder einer anderen kommerziellen Quelle kommt nutzen. Die Versuchung Lücken einzubauen und die Geldgier der Konzerne ist einfach nicht mehr zu trauen. Erst recht nicht wenn es sich um Amerikanische Firmen handelt.
mathmos
404
- Registriert
- 14 Juli 2013
- Beiträge
- 4.412
@Timekeeper:
In der letzten "Vollversion" von TrueCrypt (7.1a) wurden vor einigen Wochen zwei Schwachstellen gefunden (https://ngb.to/threads/19002l?p=591976#post591976), welche wohl bei Audit übersehen wurden. Ich würde daher nicht mehr auf TrueCrypt setzen.
Das TrueCrypt aufgrund von irgendwelchen Behörden eingestellt wurde, kann ich immer noch nicht wirklich glauben. Die letzte voll funktionierende Version von TrueCrypt stammt aus dem Jahr 2012. Eingestellt wurde das Projekt 2014. So recht kann ich es mir nicht vorstellen, dass "die" gut 2 Jahre brauchen um ein Projekt abzuschießen. Aus meiner Sicht macht das auch nicht wirklich Sinn. Der Quellcode ist vorhanden, also kann selbst nach einem Abschuss von TrueCrypt das Projekt weitergeführt werden. Stichwort VeraCrypt. Viel mehr Sinn wäre es gewesen, wenn "die" einfach das Projekt übernommen hätten und nach dem Audit ein Backdoor eingebaut hätten. Da hätten "die" viel mehr davon gehabt. Dass die bzw. der Entwickler von TrueCrypt einfach keine Lust mehr hatten halte ich da für wahrscheinlicher.
In der letzten "Vollversion" von TrueCrypt (7.1a) wurden vor einigen Wochen zwei Schwachstellen gefunden (https://ngb.to/threads/19002l?p=591976#post591976), welche wohl bei Audit übersehen wurden. Ich würde daher nicht mehr auf TrueCrypt setzen.
Das TrueCrypt aufgrund von irgendwelchen Behörden eingestellt wurde, kann ich immer noch nicht wirklich glauben. Die letzte voll funktionierende Version von TrueCrypt stammt aus dem Jahr 2012. Eingestellt wurde das Projekt 2014. So recht kann ich es mir nicht vorstellen, dass "die" gut 2 Jahre brauchen um ein Projekt abzuschießen. Aus meiner Sicht macht das auch nicht wirklich Sinn. Der Quellcode ist vorhanden, also kann selbst nach einem Abschuss von TrueCrypt das Projekt weitergeführt werden. Stichwort VeraCrypt. Viel mehr Sinn wäre es gewesen, wenn "die" einfach das Projekt übernommen hätten und nach dem Audit ein Backdoor eingebaut hätten. Da hätten "die" viel mehr davon gehabt. Dass die bzw. der Entwickler von TrueCrypt einfach keine Lust mehr hatten halte ich da für wahrscheinlicher.
Timekeeper
Neu angemeldet
Hi mathmos, das sind neue News für mich.
Ich vertraue VeraCrypt nicht, gibt es sonst noch alternativen?
Ich vertraue VeraCrypt nicht, gibt es sonst noch alternativen?
mathmos
404
- Registriert
- 14 Juli 2013
- Beiträge
- 4.412
Im Grunde bleibt dann nur noch
You do not have permission to view link please Anmelden or Registrieren
übrig.
Timekeeper
Neu angemeldet
Hi und danke, ich werde mich mal einlesen und testen, evt überzeugt es mich ja..
mfg
mfg
Nun ja - aber die "Lücken" bedürfen ja zumindest schon mal Zugriff auf den PC + das Volume muss gerade geöffnet sein....
Das macht die *Lücken* finde ich schon wesentlich weniger kritisch - Egal wie oft ein Audit läuft Software wird Fehler behalten.
Die Neuen programme haben definitiv mehr fehler - von daher würde ich wenn ihr schon auf Verschlüsselung pocht die möglist von *keinem* geknackt werden kann - bei TrueCrypt bleiben.
Das macht die *Lücken* finde ich schon wesentlich weniger kritisch - Egal wie oft ein Audit läuft Software wird Fehler behalten.
Die Neuen programme haben definitiv mehr fehler - von daher würde ich wenn ihr schon auf Verschlüsselung pocht die möglist von *keinem* geknackt werden kann - bei TrueCrypt bleiben.
HoneyBadger
Aktiver NGBler
- Registriert
- 7 Sep. 2015
- Beiträge
- 1.913
- Thread Starter Thread Starter
- #35
Ich teste VeraCrypt zur Zeit noch ausführlich. Bis auf das langsame Hashverfahren ist mir vom Nutzen her noch nichts Negatives aufgefallen. Auch die Portierung von TC zu VC ging problemlos. Evlt. werde ich auch nochmal mit einem Testcontainer verschiedene Dinge wie beispielsweise die Nutzung eines Dongels testen und schauen, ob ich für mich da etwas Schlechtes finden kann. Das Thema wird allerdings generell nicht wirklich besser. Die Einen vertrauen TC und dafür VC nicht, bei den Anderen ist es genau anders herum. Im ungünstigsten Fall sind beide Programme für die Füße und irgendwie kompromitiert, im besten Fall sind beide mehr oder weniger gleich gut. Was nun zutrifft, kann ich aktuell leider nur aus dem Kaffeesatz lesen. Ich finde es gut, dass hier in diesem Thread alle sehr bemüht sind, den richtigen Weg aufzuzeigen. Nur irgendwie fehlt da leider dennoch ein aktuelles lückenloses Audit beider Programme in der jeweils aktuellsten Version und vielleicht noch die ehrlichen Hintergründe, warum die Entwickler TC eingestellt haben. Beides wird wohl leider nicht eintreffen. Bleibt also nur zu hoffen, dass die jeweiligen Nutzer nicht in die Situation kommen, dass die gewählte Verschlüsselung ihr Potential beweisen muss und sich dann doch als unbrauchbar darstellt.
mathmos
404
- Registriert
- 14 Juli 2013
- Beiträge
- 4.412
Eine Lücke mit der man höhere Rechte erhalten kann als das Konto verfügt mit dem man angemeldet ist, finde ich schon kritisch.
So neu ist VeraCrypt ja nun auch nicht, da es ja auf TrueCrypt basiert. Problematisch ist auch nicht das Fehler vorhanden sind bzw. anfangs nicht gefunden wurden. Als problematisch finde ich es wenn bekannte Fehler erst spät oder im Falle TrueCrypt gar nicht behoben werden.
Pleitgengeier
offizielles GEZ-Haustier
Habe ich das richtig verstanden?
Schlimm wäre es, wenn ein Fehler in der Kryptografie gefunden würde, so dass man die HDD in wenig Zeit entschlüsseln könnte...
- Die Fehler betreffen nur Windows
- Ohne physikalischen Zugriff auf den Rechner sind sie nicht nutzbar (derjenige könnte auch gleich die Platte ausbauen und mitnehmen)
- Ist die Partition nicht gemountet, kann auch nichts damit gemacht werden
Schlimm wäre es, wenn ein Fehler in der Kryptografie gefunden würde, so dass man die HDD in wenig Zeit entschlüsseln könnte...
Rakorium-M
NGBler
- Registriert
- 14 Juli 2013
- Beiträge
- 412
Nicht ganz.
Fehler in der Kryptographie, bzw. dem Umgang mit sensiblen Daten wie Schlüsseln, wären tatsächlich der Todesstoß für die Software. Aber danach sieht es (laut Audit) nicht aus.
- Die Fehler betreffen tatsächlich nur Windows
- Die Fehler sind nur nutzbar, wenn jemand ohnehin Zugriff auf den PC hat - nicht zwingend physisch, und nicht zwingend auf deinen Windows-Benutzer. Beispielsweise könnte ein Virus, den sich ein anderer Benutzer des PCs eingefangen hat, die Lücke nutzen
- Die Lücke richtet sich nicht gegen eine verschlüsselte Partition, sondern gegen das Windows-Account-System (der Angriff funktioniert, indem eine speziell präparierte Partition nach C: gemountet wird). Ein Angreifer kann damit Code als System-Benutzer ausführen, selbst wenn er selbst gar keine Adminrechte hat. Mit deinen verschlüsselten Daten hat das erstmal nichts zu tun - außer das ein anderer Benutzer dir evtl. einen Keylogger unterschieben könnte, um dein TC-Passwort abzufangen.
- Bist du die einzige Person, die den PC nutzt, ist die Lücke weniger relevant (solange du dir keine Malware einfängst). Ein bösartiges Programm könnte die Lücke zwar nutzen, um die UAC zu umgehen - könnte aber auch direkt einen Keylogger nutzen, um an dein Passwort zu kommen.
Fehler in der Kryptographie, bzw. dem Umgang mit sensiblen Daten wie Schlüsseln, wären tatsächlich der Todesstoß für die Software. Aber danach sieht es (laut Audit) nicht aus.
Pleitgengeier
offizielles GEZ-Haustier
Dann ist mir das ganze schon wegen Punkt1 egal.
Timekeeper
Neu angemeldet
Beruhigend zu wissen das TrueCrypt auf mein Server mit Debian noch als sicher gilt 
Obwohl das ja auch wieder so ein Ding für sich ist da die Partition ja im Live Betrieb gemountet ist und der Provider wenn er wollte sofort drauf zugreifen könnte und das ganze erst richtig greift wenn der Server komplett herunter gefahren wurde. Naja wer die HDD raus nimmt, wird wenig Freude damit habe.
Vielleicht sollte ich Linux auf auf den Home PC einsetzen, allerdings ist das für zocker extrem uncool.
Ich finde es Super das man die User hier nicht Dumm sterben lässt.. weiter so
Obwohl das ja auch wieder so ein Ding für sich ist da die Partition ja im Live Betrieb gemountet ist und der Provider wenn er wollte sofort drauf zugreifen könnte und das ganze erst richtig greift wenn der Server komplett herunter gefahren wurde. Naja wer die HDD raus nimmt, wird wenig Freude damit habe.
Vielleicht sollte ich Linux auf auf den Home PC einsetzen, allerdings ist das für zocker extrem uncool.
Ich finde es Super das man die User hier nicht Dumm sterben lässt.. weiter so
Zuletzt bearbeitet: