Sicheres Truecrypt?

[Tron]

Hi Leuts,

ich hab gerade dies hier gelesen

You do not have permission to view link please Anmelden or Registrieren

Schon lange ist vielen Sicherheitsexperten ein Dorn im Auge, dass die meisten TrueCrypt-Nutzer nicht imstande sind, den Quellcode selbst zu kompilieren. Um den Code unter Windows in Binärdateien zu übersetzen, ist unter anderem Version 1.52 des Microsoft-C-Compilers von 1994 nötig. Für den Artikel Artikel Tarnkappen in c't 16/2013 versuchte c't-Redakteur Andreas Stiller, Binärdateien nachzubauen, die mit denen vom TrueCrypt-Projekt bereitgestellten Dateien identisch sind. Der Versuch bedeutete viel Mühe und war nur annähernd erfolgreich: Letztlich blieben doch ungeklärte Differenzen.

Also Frag ich mal hier ist jemand da der eine selbst kompilierte Version von Truecrypt nutzt?

 

[accC]

Damit du auf der sicheren Seite bist, müsstest du den Code nicht nur selbst kompilieren, du müsstest ihn davor auch vollständig gelesen und verstanden haben.
Bringt dir ja nichts, wenn du Backdoors mitkompilierst, dann kannst du auch die vorkompilierte Version nehmen.
Klar, je mehr Leute, die rein schauen können, desto höher die potentielle Chance, dass Backdoors erkannt werden, aber eben nur potentiell.

Außerdem müsstest du ja noch sicherstellen, dass der Compiler keinen Unfug macht. Der müsste also auch open source und selbst kompiliert sein.
Zumindest bei MS bin ich mir da nicht sicher..

 

[MSX]

Hab ich heute auch gelesen und bin wirklich mehr als gespannt, was dabei rauskommt. Ansich seh ich es, wie accC. Was bringt mir der Quellcode, wenn ich eh keine Ahnung hab, was das Ding macht. Und ob der richtig ausgeliefert wurde, weiß ich auch nicht. Da helfen mir auch keine MD5-Summen, weil auch die mittels MitM-modifiziert sein könnten. Insofern reicht mir meine Vollverschlüsselung hier soweit aus, weil ich davon ausgeh, daß kein Geheimdienst seine Super-Backdoor wegen mir ausspielen würde.

 

[kramel]

Hi Leuts,

ich hab gerade dies hier gelesen

You do not have permission to view link please Anmelden or Registrieren

Also Frag ich mal hier ist jemand da der eine selbst kompilierte Version von Truecrypt nutzt?

Ein kanadischer Student hat den Source-Code gerade erst vor ner Woche kompiliert:

Ein gut dokumentierter Versuch, die vom TrueCrypt-Projekt angebotenen Binärdateien für Windows aus dem öffentlichen Quellcode nachzubauen, zeigt: die Binaries stimmen mit den Quellen überein. Ob das Verschlüsselungs-Tool sicher ist, müssen weitere Analysen des Quelltextes zeigen. Aber zumindest ist jetzt klar, dass die vom Projekt zum Download angebotenen Dateien keine Hintertür enthalten, die nicht auch im Quelltext zu finden wäre.

You do not have permission to view link please Anmelden or Registrieren

Desweiteren gibt es ein Crowd-Funding Projekt zur Cryptoanalyse von Truecrypt:

You do not have permission to view link please Anmelden or Registrieren

So ein Projekt find ich super, hab mal ein paar Euro beigesteuert.

 

[Mr_J]

Grundsätzlich wäre es gut wenn der Quellcode mal komplett durchgeschaut werden würde. Diesen Grundstein könnte man dann jederzeit nutzen um spätere Änderungen genauso zu prüfen, allerdings wäre dort der Aufwand dann um ein Vielfaches geringer weil man nur noch die modifizierten Stellen des Codes prüfen müsste.

MfG
Mr. J