[Netzwelt] Truecrypt.org warnt vor weiterem Einsatz des Tools

Seltsame Dinge geschehen gerade auf der Website des beliebten Verschlüsselungstools. Die offizielle Homepage (http://truecrypt.org) leitet seit heute auf eine Sourceforge-Projektseite (http://truecrypt.sourceforge.net/) um. Dort wird vor kritischen Sicherheitslücken in der Software und einem geplanten Ende der Truecrypt-Entwicklung zum Supportende von Windows XP gewarnt. Als Alternative wird die Windows-eigene Bitlocker-Laufwerksverschlüsselung empfohlen.

Ob Unbekannte Zugriff auf den Server erlangt haben oder ob es sich dabei um eine (überraschende) Meldung der Truecrypt-Entwickler handelt, ist bisher noch unklar. Bis auf weiteres sollte man Abstand von den Downloads der Website halten.

Update: Neue Informationen zum Thema finden sich hier.


Quelle: Fefe/caschy

 

[MSX]

Interessant dazu finde ich diese beiden Kommentare bei heise, wobei ich bei letzterem nicht sicher bin, ob es ein Scherz ist:

Zumindest würde ich davon nicht ausgehen, denn es taucht keine
SourceForge-Seite im Google-Index zu Truecrypt auf!
https://www.google.com/search?q=truecrypt+faq

Auch auf der Projektseite an sich, in den downloadbaren Dateien sind
keine älteren Versionen zu finden:
http://sourceforge.net/projects/truecrypt/files/TrueCrypt/

Ich gehe davon aus, dass diese Seite NICHT offiziell ist.
Zumal der zum Download angebotene Signaturschlüssel auch erst vor
wenigen Stunden erstellt wurde...

NACHTRAG:
Auch die derzeit nur 11 Downloads insgesamt sprechen eher dagegen,
dass es sich um eine offizielle Projektseite handelt.

hab gerade meine pladde mit dem frischen 7.2 entverschlüsseln wollen,
jetzt soll ich geld an die NSA überweisen.

ich trau mich nich mehr runterfahrn, was soll ich tun, hilfeee!!!

Ein anderer meinte, er habe den Source-Code gesichtet und die Funktion zum Verschlüsseln von Volumes sei entfernt worden, was nun aber wiederum dem Kommentar mit der Zahlung an die NSA widerspricht, oder? Seine Resultate gibts hier: http://noteboxie.com/truecrypthack

Ich geh da eher von einem Hack aus, oder davon, daß die NSA die Entwickler irgendwie erpresst, weil wer das ist, wissen die sicherlich.

So oder so würde ich Bitlocker nicht trauen, wobei es vermutlich eh schon egal ist, wenn man Windows selbst nutzt. Andererseits dürfte es vermutlich wenn, dann bestenfalls für die NSA Backdoors geben, die sicher nicht für den Wald und Wiesen-Raubkopierer und Hanfanbauer offengelegt/benutzt werden oder gar an BND/BKA weitergegeben und zur Verfügung gestellt werden.

Nunja, wohl erstmal abwarten, bevor man in Hysterie verfällt.

 

[Pleitgengeier]

Es wurde doch gerade erst der Source durch ein Crowdfunding-Projekt analysiert.
Und da TC open Source ist, wird es sicher einen Fork geben.

Ich hoffe nur - falls die Seite kompromitiert wurde - dass dies nicht schon vor längerer Zeit passiert ist.

Nicht dass die dort seit Monaten gefälschte Packete verteilen.
Ich fand es schon immer ärgerlich, dass viele Linux-Distributionen (zB (K)ubuntu) Truecrypt nicht über das rep verteilen, obwohl doch alle Packete und Packetlistings dort digital signiert sind und man schon kompromitierte Isos verteilen müsste um gefälschte Software durch diese Barriere zu bringen...

 

[Asseon]

wer auch immer das war, hat wahrscheinlich das vertrauen, in das einzige halbwegs freie disk encryption tool für windoof, fundamental gestört …
ich hoffe nicht zurecht
wobei das Ergebnis des audits bisher her ja durchaus für truecrypt spricht wenn auch nicht für die code qualität

auch schön die Umstiegsanleitung für linux

Use any integrated support for encryption. Search available installation packages for words encryption and crypt, install any of the packages found and follow its documentation.

hmm gucken wir mal
oh ist sogar das richtige dabei ^^

Spoiler

bcprov
botan
ccrypt
crypto++
cryptsetup
dnscrypt-proxy
duplicity
ecryptfs-utils
encfs
gambas3-gb-crypt
gcr
gpg-crypter
kdepim-kleopatra
lib32-libgcrypt
lib32-libgpg-error
lib32-nettle
libcryptui
libdvdcss
libgcrypt
libgpg-error
libgringotts
libgringotts
libmcrypt
libsodium
nemo-seahorse
nettle
perl-crypt-blowfish
perl-crypt-cbc
perl-crypt-des
perl-crypt-openssl-bignum
perl-crypt-openssl-random
perl-crypt-openssl-rsa
perl-crypt-passwdmd5
perl-crypt-simple
perl-crypt-smbhash
perl-crypt-ssleay
php-mcrypt
pidgin-encryption
pwsafe
python-crypto
python-cryptography
python-cryptography-vectors
python2-crypto
python2-cryptography
python2-cryptography-vectors
python2-m2crypto
qca
qca-gnupg
qca-ossl
scrypt
seahorse-nautilus
stunnel
tarsnap
tcplay
truecrypt

ich schau dann in 2-3 drei tagen mal wieder vorbei wenn ich mit doku lesen fertig bin

 

[TBow]

Da wird Microsofts Bitlocker Programm angepriesen, dass man als potentiell kompromitiert ansehen muss, da es von einem Konzern vertrieben wird, der per Gesetz gezwungen ist, seine Kunden in Sachen Spionage zu betrügen und zu belügen.

Was für ein Gag.

 

[Annika]

Davon abgesehen ist Bitlocker nur in den teuren Windows-Versionen verfügbar... die Home-Version hat das gar nicht... diese Ankündigung ist irgendwie ein Joke, zumal, wie bereits mehrfach erwähnt, ja eh schon ein Audit lief. Höchst verwirrend das alles.

 

[Pleitgengeier]

@Annika: Es hat wohl jemand Angst davor, dass das einzige Verschlüsselungsprogramm, das kostenlos, frei und (verhältnismäßig) einfach anzuwenden ist auch bald noch ein Expertengutachten hat, dass ihm hohe Sicherheit bescheinigt - was dann vermutlich auch von den PC-Magazinen berichtet werden wird und somit die Bekanntheit massiv erhöht.

Wäre nur interessant wer das ist?
Für eine frustrierte Behörde passt das Vorgehen einfach nicht, bleiben noch die komerziellen Hersteller konkurrierender Software oder ein Geheimdienst - oder jemand, der einfach nur die Welle der NSA-Aufregung nutzt um Panik zu verbreiten.

 

[TRON2]

Höchst verwirrend das alles.

Maschinen lösen komplizierte Dinge

 

[tm98]

Also meine 7.1a Version werde ich jedenfalls hüten und doppelt weg sichern... Die ganze Sache ist schon sehr mysteriös. Wenn es ein Hack der Seite ist, ist er großartig gemacht. Aber da könnte tatsächlich auch mehr hinter stecken.

 

[thom53281]

Ich fand es schon immer ärgerlich, dass viele Linux-Distributionen (zB (K)ubuntu) Truecrypt nicht über das rep verteilen, obwohl doch alle Packete und Packetlistings dort digital signiert sind und man schon kompromitierte Isos verteilen müsste um gefälschte Software durch diese Barriere zu bringen...

Was aber vor allem an zwei Dingen liegt. Erstens gibt es unter Linux durchaus andere und gebräuchlichere Arten, Daten zu verschlüsseln wie z. B. cryptsetup/LUKS. Zweitens ist die Lizenzfrage unter Truecrypt alles andere als geklärt. Es handelt sich dabei zwar laut Lizenz um OpenSource-Software, die allerdings einige Programmteile mit abweichenden Lizenzen enthält. Daher ist es zum jetzigen Zeitpunkt auch fraglich, ob man überhaupt einen Fork von TrueCrypt erstellen und die Software eigens weiterentwickeln/verteilen könnte.


Grüße
Thomas

 

[TheOnly1]

Ich würde auch eher in Richtung Webseiten-Hack tippen, wo dann neben der "Bitlocker-Anleitung" auch eine veränderte TC-Version 7.2 drüber verbreitet wird.
Bezüglich der Sicherheit der 7.1x bin ich im Moment noch nicht sonderlich beunruhigt.

Trotzdem stellt sich die Frage, wer von so einer Aktion profitieren würde.
Microsoft? Unwahrscheinlich. Der Imageschaden wenn das raus kommt ist irreparabel.
NSA oder ähnliches? Möglich. Vielleicht scheitern sie an TC und wollen das Tool nun so loswerden.
Irgendwelche "Just4Fame-Hacker"? Klar...das ist immer eine Option.

 

[gelöschter Benutzer]

Das Truecrypt-Team ist nicht bekannt, könnte also auch von einem Geheimdienst sein. Eventuell ist man hier auf den Zug Snowdens aufgesprungen und macht dem ganzen Treiben nun ein Ende.

Auch könnten die Entwickler der Meinung sein, dass ein Tool nicht ausreicht und möchten damit die Entwicklergemeinde wachrüttel. AFAIK gibt es noch keinen Fork von Truecrypt oder auch nur den Ansatz, ein ähnliches Tool auf Open-Source-Basis zu entwickeln. LUKS, eCryptFS und Co. sind alle sehr geil, aber entweder nur für Linux oder für DAUs nicht zu bedienen.

Dass die Seite gehackt wurde, halte ich für relativ unwahrscheinlich. Allerdings hätte man die Release-Nummer mal auf 7.3 anheben können, die Funktionalität hat sich ja stark geändert

 

[HerrMaulwurf]

Bestimmt hat irgendeine Behörde die Private Keys, die zum signieren der Truecrypt-EXE verwendet werden, in die Finger bekommen, und der/die Entwickler will jetzt zaunpfahlwinkend darauf aufmerksam machen.

 

[Cyperfriend]

Wenn jetzt Microsoft am nächsten Patchday einen Patch raushaut der die (erneute) Installation von True Crypt verhindert dürfte die Sache klar sein. Ich meine alleine die Empfehlung auf Bitlocker umzusteigen stinkt dermaßen, dass klar sein dürfte aus welcher Richtung der Takedown kommt.

 

[Pleitgengeier]

Trotzdem stellt sich die Frage, wer von so einer Aktion profitieren würde.
Microsoft? Unwahrscheinlich. Der Imageschaden wenn das raus kommt ist irreparabel.

Wie bitte?
Internet explorer vs Netscape inkl. absichtliche Missinterpretation des HTML-Standards
Direct3d vs OpenGL, C# vs Java: Beides die gleiche Geschichte, M$ wurde wegen untragbarem Fehlverhalten aus dem Konsortium geworfen, hat schmollend was eigenes zusammengekocht und dann mit Arschloch-Monopolpolitik der IT-welt aufgezwungen.
Unzählige Bugs, Fehler, Beta-Versionen als Finals (Millenium, Vista, 8.0), Sicherheitslücken,...

Diese Firma hatte noch nie ein gutes Image - die haben es nur geschafft, sich durch geschickte Monopolpolitik und absichtliche Inkompatibilität unentbehrlich zu machen.

aber entweder nur für Linux oder für DAUs nicht zu bedienen.

Auf Windows oder Mac OS ist sowas meiner Meinung nach ohnehin sinnlos.
Und bevor mir nun wieder jemand entgegen hält dass in Windows noch nie Backdoors nachgewiesen wurden: M$ ist eine Firma mit Hauptsitz auf Boden der USA und somit per Gesetz ("patriot act", ect.) verpflichtet, den Behörden auf jede Art zu helfen.
Sowas wird niemals nachgewiesen werden, eher lassen die den Typ verschwinden der den Beweis findet - dagegen war Snowden nämlich noch harmlos.

Bestimmt hat irgendeine Behörde die Private Keys, die zum signieren der Truecrypt-EXE verwendet werden, in die Finger bekommen, und der/die Entwickler will jetzt zaunpfahlwinkend darauf aufmerksam machen.

Es gab doch ohnehin nie eine Möglichkeit, den public key gesichert zu erhalten - die hätten die neue Exe nur mit irgend einem private key signieren und den dazugehören Public statt dem originalen auf die Seite stellen müssen.
Darum ärgert es mich ja so, dass man TC nicht in den Reps der Linux-Distries findet.
Da ist nämlich von anfang an alles signiert - auch neue Signaturen - und um diese Sicherung zu überwinden müsste man eben manipulierte Isos verteilen.

 

[NewIdenty]

Momentan gibt es diese Theorien:

1. Die Entwickler wollen nicht mehr weitermachen und versuchen die Benutzer zum Umstieg zu bewegen (unwahrscheinlich, da Bitlocker wohl Hintertüren hat)
2. Eine Regierung verlangte von den Entwicklern, dass sie eine Hintertür einbauen, was sie nicht wollen (wie anscheinend auch bei Lavabit?)
3. Ein Kill-switch der aus Versehen ausgelöst wurde
4. Die Seite wurde gehackt und die Keys zum Signieren des Programmes wurden entwendet und jetzt für Version 7.2 benutzt

 

[poesie noire]

Wer keine Setupdateien von Truecrypt 7.1a mehr hat - die Software ist aktuell noch ladbar auf Heise:

http://www.heise.de/download/truecrypt-5a86c2306b44cfaef9b773c32fa58946-1401366695-2625104.html

Der Download ist anscheinend auch in Ordnung:

Die Hashes der Dateien des Heise downloads stimmen mit meiner
portablen Version überein (Seit Ewigkeiten im Tools Ordner):
; Checksums generated by ExactFile 1.0.0.15
; http://www.exactfile.com
; 29.05.2014 02:21:25
7a23ac83a0856c352025a6f7c9cc1526 *truecrypt_setup_7.1a.exe
;3466248 bytes
;SHA1: 7689d038c76bd1df695d295c026961e50e4a62ea

4c268628db6c83fe878897412487f58c *License.txt
48538c19abe905d22e147b1c25d90880 *TrueCrypt Format.exe
60b1ea96c0dcb7238da39844f0c11910 *TrueCrypt User Guide.pdf
370a6907ddf79532a39319492b1fa38a *truecrypt-x64.sys
fa8f08013422a4eb68072668b3a73293 *TrueCrypt.exe
ed5e4ce36c54f55e7698642e94d32ec7 *truecrypt.sys

Quelle


p n

 

[thom53281]

Ich meine alleine die Empfehlung auf Bitlocker umzusteigen stinkt dermaßen, dass klar sein dürfte aus welcher Richtung der Takedown kommt.

Oder jemand möchte Microsoft ein schlechtes Image aufzwingen. Oder jemand möchte von sich selbst ablenken. Usw. Ich denke wohl kaum, dass der Takedown von Microsoft veranlasst wurde. Ich sehe hier keinerlei Gewinn für die Firma in irgendwelcher Richtung. Von ein paar Leuten mal abgesehen, die ein höherwertigeres Windows wegen Bitlocker kaufen.


Grüße
Thomas

 

[Kugelfisch]

Grundsätzlich schiene mir durchaus nicht ausgeschlossen, dass die Entwickler, sofern sie denn die Entwicklung einstellen wollten, den Benutzern verantwortungsbewusst mitteilen, dass sie auf eine andere Lösung umsteigen sollten, da TrueCrypt zukünftig Schwachstellen enthalten könnte, die nicht mehr behoben würden. Allerdings kommt die Entwicklung dazu meines Erachtens doch sehr plötzlich und weshalb die Entwickler ihrerseits nicht Nachfolger gesucht haben, um das Projekt zu übernehmen (die hätte man unter den TC-Anwendern sicherlich gefunden), kann ich nicht nachvollziehen. Auch hätte man dann eine quelloffene Alternative empfehlen und mit einer kurzen Erklärung zur Empfehlung, TC nicht länger einzusetzen, Zweifel ausräumen können. Insofern scheint mir das eine wenig wahrscheinliche Erklärung. Ausserdem wäre unlogisch, sich erst um einen unabhängigen Code-Audit zu bemühen (vgl. https://opencryptoaudit.org/), um das Projekt wenige Wochen nach dessen Publikation einzustellen. Auszuschliessen ist es natürlich nicht, doch wenn das tatsächlich die Erklärung ist, hätten die Entwickler die aktuelle Unsicherheit sehr leicht vermeiden können.

Sollte den Entwicklern tatsächlich eine konzeptionelle Schwachstelle bekannt geworden sein, deren Behebung grosse Änderungen erfordert hätte, wäre der richtige Weg gewesen, diese komplett offenzulegen oder zumindest klarzustellen, dass eine konkrete Schwachstelle existiert. Da das nicht geschehen ist, gehe ich nicht davon aus.

Insofern würde ich durchaus nicht ausschliessen, dass Dritte entweder den Rechner eines oder mehrerer Entwickler kompromittiert haben, oder die Entwickler dazu angestiftet/gezwungen wurden, das Projekt einzustellen. Daher würde ich aktuell empfehlen, abzuwarten und keine weiteren Schritte zu unternehmen. Insbesondere rate ich stark vom Einsatz der Version 7.2 ab, zumal sie ohnehin bloss Funktionalität entfernen soll.

 

[Boesmann]

Momentan gibt es diese Theorien:

Da fehlt noch eine sehr glaubwürdige:

5. Die Entwickler sind angekotzt vom Mißverhältnis der Spenden für Truecrypt zu den Spenden für das Truecrypt-Audit und reagieren in beleidigter Kindergartenmanier.