[Technik] Truecrypt-Audit: Kleine Sicherheitsprobleme in Version 7.1a

TBow · 2 Apr. 2015

Gute Nachrichten.

TC war und ist immer nocht ne tole Sache.

epiphora · 2 Apr. 2015

Hört sich für mich ebenfalls gut an. Trotzdem bin ich TrueCrypt seit der Einstellung des Projekts zwiegespalten gegenüber eingestellt.

Cyperfriend · 3 Apr. 2015

Bestätigt den Verdacht, dass das Projekt von "höheren Institutionen" zur Einstellung gezwungen wurde, weil zu gut.

thom53281 · 3 Apr. 2015

Schön an der ganzen Sache ist in der Tat, dass man mit Truecrypt 7.1a verschlüsselte Systeme als sicher ansehen kann, solange sie nicht den oben genannten Kriterien entsprechen. Die Einstellung der Software ist immer noch ein Rätsel, das wohl niemand beantworten kann (oder möchte). Man kann die Software zwar in seiner jetzigen Form weiterbenutzen, allerdings bleibt die IT-Welt nicht stehen. Früher oder später werden Betriebssysteme kommen, unter denen die Software nicht oder nur noch eingeschränkt lauffähig ist. Spätestens das ist das Aus für Truecrypt in seiner jetzigen Version.

Zu den inoffiziellen Nachfolgern habe ich persönlich noch kein Vertrauen.

theSplit · 6 Apr. 2015

Auch wenn das vielleicht kein Thread zum Thema, der Sinn oder Unsinn von Truecrypt ist würde ich doch gerne folgendes erwählen.

Ich nutze selbst Truecrypt um wirklich private Daten oder Projekte zu schützen, in die Zeit geflossen sind und bei denen ich nicht möchte das diese einfach so verfügbar gemacht werden können, aber...

... was mir bei Truecrypt immer wieder einfällt:
Der eine baut eine Mauer, der andere eine Leiter. Daraufhin baut der andere die Mauer höher, der andere verlängert seine Leiter... .

Da stellst sich bei mir immer die Frage, wie weit will man das Spiel treiben will bzw. muß?
In Zeiten wo wir einander nicht wirklich vertrauen oder Angst haben ausspioniert zu werden, sonst würden wir uns nicht so paranoid schützen, schaffen wir nur noch mehr Kluften und Verdachtsfälle. Das ist doch paradox.

Wenn man sich mal überlegt das eine Wohnungstür auch nur eine gedanklichen Mauer ist die theoretisch (so fern es sich nicht um eine Panzertür handelt) ausgehebelt werden kann aber dennoch von jedem als Grenze respektiert wird.

Spinnt man die Idee mit der Tür mal weiter kann man auch argumentieren: "Ohne *Tür* würde ich *überfallen* werden" - Abschreckung/das Hindernis sei dank. Das kann zwar richtig sein, aber der Grund wäre doch ein anderer der dieses "Abschotten" erst nötig macht.
Zum Beispiel Ungleichheit//Neid/Habgier - aber das sind menschliche Probleme; will nur mal diesen Gedanken mit einbringen.

Und wenn man diese Logik noch etwas fort trägt fällt mir noch folgendes ein:
Je weniger ich zu verbergen habe oder schützen muß, desto freier bin ich.

Pleitgengeier · 6 Apr. 2015

@theSplit: Der Unterschied ist:
Wenn du deine Wohnung mit einer Tür abgrenzt, wird diese Tür als Grenze anerkannt und wenn sie jemand aufbrechen will, kommt die Staatsgewalt und nimmt denjenigen fest (zumindest in der Theorie)
Wenn du deine Daten mit einer Verschlüsselung sicherst, kommt die Staatsgewalt und nimmt dich fest, weil du deren gottgegebenes(?) Recht auf verdachtsunabhängige und unbemerkte Überwachung behinderst - noch nicht, aber bald(TM).

accC · 7 Apr. 2015

Ich denke eher:

Wenn jemand deine Tür aufbrichst, dann bekommst du das mit.
Wenn jemand in deinen PC einbricht, dann bekommst du das in der Regel nicht mit.

Wenn jemand in dein Haus eindringt, dann ist der Schaden auf das Inventar beschränkt.
Wenn jemand in deinen PC einbricht, dann ist der Schaden potentiell nach oben unbeschränkt.

Wenn eine Hausdurchsuchung ansteht, dann liegt ein Verdacht vor und du hast weiter deine Persönlichkeitsrechte.
Wenn dein Computer virtuell durchsucht wird, dann (a) muss nicht unbedingt ein konkreter Verdacht vorliegen und (b) hast du keine Rechte.

KLDKO · 7 Apr. 2015

accC schrieb:
I
Wenn jemand in deinen PC einbricht, dann ist der Schaden potentiell nach oben unbeschränkt.
Wenn eine Hausdurchsuchung ansteht, dann liegt ein Verdacht vor und du hast weiter deine Persönlichkeitsrechte.

Ich möchte in aller mir vorliegender Naivität mal zwei Fragen stellen.
Welcher Schaden soll mir entstehen? Ok, man könnte mir meinen WoW- Account stehlen, aber ansonsten?
Warum zum Teufel sollte jemand auf die Idee kommen bei mir eine Hausdurchsuchung vorzunehmen? Wegen meiner Mitgliedschaft im NGB? Sollte diese Gefahr bestehen bitte ich um sofortige Löschung meines Accounts hier.
Mir entgeht immer noch der Sinn und Zweck einer Festplattenverschlüsselung bei Privatleuten die als "Otto-Normal-Verbraucher" im Internet unterwegs sind. Mir ist es auch egal wer alles weiß wo ich rumsurfe. Ich sehe mir Artikel bei Amazon an, wayne interessierts? Ich bestelle dort, die wissen eh meine Adresse, die wissen sogar meine Kontonummer. Ob Goggle das jetzt auch weiß, wayne interessierts? Wenn die NSA meine Adresse will: Die fragen bei der Meldestelle nach, dort werden Adressdaten an jeden herausgegeben. Ihr müsst nur behaupten das die betreffende Person bei euch zur Miete gewohnt hat und noch Mietschulden hat. Kontodaten: Die Schufa gibt bereitwillig alles raus was man haben möchte, vorausgesetzt man fragt sie richtig.

MfG KLDKO

Novgorod · 7 Apr. 2015

die frage, ob man das "braucht", muss sich nur derjenige stellen, der zwischen der herausgabe eines passworts und knast als alternative ernsthaft abwägen muss.. aber diese art der abwägung ist nicht aufgabe der technik, sie muss einfach nur funktionieren - denn wenn information im eigenen gehirn geschützt ist (noch), dann gibt es keinen grund, warum sie das auf einer festplatte nicht sein muss..

für privatleute kann es durchaus sinn machen, geheimnisse zu haben - nicht nur vor dem staat, sondern auch vor (anderen) bösewichten.. ob das nun login-daten oder liebesbriefe sind, muss jeder selber wissen.. wenn ich meiner wohnungstür vertraue, meine physischen dokumente zu schützen, dann kann ich ihr auch vertrauen, meine virtuellen dokumente zu schützen und muss deshalb daheim nicht unbedingt alles verschlüsseln.. aber sobald man durch diese tür geht, steigt auch die gefahr, das was man dabei hat zu verlieren (sei es durch schusseligkeit oder diebstahl) - hier erlaubt einem die verschlüsselung, auch sensible daten unbesorgt außer haus zu tragen (auf dem datenträger oder auch übers netz), während man z.b. mit einem koffer voll geld, das man nicht verschlüsseln kann, nicht ganz so gelassen durch die straßen geht..

aber auch unabhängig davon spricht doch eigentlich überhaupt nichts dagegen, private daten wirklich privat zu halten, oder? deine privaten emails oder notizen kann weder google noch die NSA mitlesen oder in erfahrung bringen, wenn du sie verschlüsselst.. das meiste davon mag vielleicht belanglos sein, aber warum sollte man nicht selbst entscheiden können, wem man zugang gewährt, so wie man es mit seinen gedanken tut? private daten in diesem sinne sind natürlich nur solche daten, die auch ausschließlich in gedanken existieren können und die man nur aus bequemlichkeitsgründen auf einem datenträger speichert (wie z.b. dieser post hier).. darunter fällt weder die adresse noch die kontonummer, weil diese daten nicht nur in deiner gedankenwelt existieren, sondern mit realen dingen oder einrichtungen verknüpft sind, die außerhalb deiner kontrolle liegen (hier: einwohnermeldeamt bzw. bank)..

accC · 7 Apr. 2015

KLDKO schrieb:
Welcher Schaden soll mir entstehen?

Hast du ein Amazon-, eBay-, Paypal-Konto?
Wenn ich schon Zugriff auf deinen Computer habe, könnte ich auch gleich mal ein Sky-Abo abschließen, auf deinen Namen+Konto oder ich könnte deinen Vertrag mit deinem ISP kündigen.

Warum zum Teufel sollte jemand auf die Idee kommen bei mir eine Hausdurchsuchung vorzunehmen? Wegen meiner Mitgliedschaft im NGB? Sollte diese Gefahr bestehen bitte ich um sofortige Löschung meines Accounts hier.

Weil du kein gebürtiger und in den USA lebender US Bürger bist, der fleißig Fähnchen schwingt?
Die Frage ist nicht, warum Geheimdienste dich überwachen sollten, sondern Fakt ist, dass sie es tun.

Mir entgeht immer noch der Sinn und Zweck einer Festplattenverschlüsselung bei Privatleuten die als "Otto-Normal-Verbraucher" im Internet unterwegs sind. Mir ist es auch egal wer alles weiß wo ich rumsurfe. Ich sehe mir Artikel bei Amazon an, wayne interessierts? Ich bestelle dort, die wissen eh meine Adresse, die wissen sogar meine Kontonummer. Ob Goggle das jetzt auch weiß, wayne interessierts? Wenn die NSA meine Adresse will: Die fragen bei der Meldestelle nach, dort werden Adressdaten an jeden herausgegeben. Ihr müsst nur behaupten das die betreffende Person bei euch zur Miete gewohnt hat und noch Mietschulden hat. Kontodaten: Die Schufa gibt bereitwillig alles raus was man haben möchte, vorausgesetzt man fragt sie richtig.

Das Problem ist jedoch, dass die NSA stündlich mit Milliarden Datensätzen umgehen muss. Deren Auswertung funktioniert erst mal - wer hätte das gedacht - automatisiert. Wir alle wissen, dass Programme und Algorithmen, je komplexer sie sind, zu Fehlern neigen. Leider vertrauen Menschen allerdings all zu häufig in Technik, ohne sich Gedanken darüber zu machen, wird blind vertraut, was der Computer sagt.
Bestes Beispiel dafür ist der kanadische Geschäftsmann, den sie bei der Einreise in die USA kassiert haben, weil ein Algorithmus eine SMS fehlinterpretiert hatte. Seine Kollegen wollten ihm viel Erfolg wünschen und haben ihm (in Etwa) geschrieben, dass er die Konkurrenz wegfegen wird. Leider hat der Algorithmus die Formulierung ein wenig anders interpretiert und die Exekutive dahinter hatte sich exakt 0 Gedanken gemacht. War sicherlich ein ganz tolles Erlebnis mehrere Tage verhört zu werden, bis festgestellt wurde, dass er wirklich nur ein harmloser Geschäftsmann war.
In dem Sinne solltest du dir nicht überlegen, was du zu verbergen hast, sondern was alles falsch verstanden werden und dich in Erklärungsnot bringen könnte. Und ein "ja, hum, da habe ich mich wohl schlecht ausgedrückt" hilft nicht unbedingt viel, wenn sie dich für einen Terroristen halten.

Hector · 7 Apr. 2015

@KLDKO:
Nichts kriegt man heute so schnell wie eine Hausdurchsuchung. Da reicht in der Tat ein falsches Wort in einem Forum. Es gab z.B. schon Fälle, in denen jemand seine Diplomarbeit oder sowas, weiß nicht mehr genau, jedenfalls eine Arbeit von ihm online gestellt hat und kurze Zeit später wurde die Bude durchsucht. Warum? Weil irgendein Beamter bzw deren Software der Meinung war, dass der von ihm benutzte Sprachstil bzw die Wortwahl der eines Terroristen gleicht. Und wenn man sonst nichts hat, sagt man einfach "Gefahr im Verzug" und schon steht die Bude offen.

Ein Richtervorbehalt ist btw zumindest bei uns kein Hindernis. Da wird eben am Morgen um 5 beim Richter an die Tür geklopft: "Ey, hier schnell, weil wichtig und so!" - "Hä was? Habt ihr mal auf die Uhr geschaut....da habt ihr eure Unterschrift, damit ich wieder ins Bett komme!"

Wer das nicht glaubt, sollte sich mal u. a. den Vortrag von Udo Vetter anhören "Sie haben das Recht zu schweigen".

KLDKO · 7 Apr. 2015

Ich weiß wirklich nicht in welchem Universum ihr lebt. "Ich habe gelesen, weiß aber nicht wo. Ich habe gehört, weiß aber nicht von wem." In der normalen Welt ist es "leider" etwas anders. Ich habe das alles noch nie erlebt und ich kenne auch keinen dem etwas ähnliches passiert wäre.
Zum Thema USA: Ich Will in den nächsten 10 Jahren nicht dorthin, sollte ich danach reisen bin ich 68 Jahre alt und falle damit garantiert durch jedes Raster.
Wortwahl ist auch immer so eine Sache, in der Kneipe/Disco einmal die falsche Wortwahl......... :unknown:

Man kann alles übertreiben, so auch das Thema Sicherheit. Eure Vorbehalte grenzen für mich an Schizophrenie.

MfG KLDKO

mathmos · 7 Apr. 2015

KLDKO schrieb:
Mir entgeht immer noch der Sinn und Zweck einer Festplattenverschlüsselung bei Privatleuten die als "Otto-Normal-Verbraucher" im Internet unterwegs sind.

Beispiel 1: Ich sitze im Zug, habe mein Notebook dabei auf dem private Daten gespeichert sind. Weil ich es eilig habe um den Anschlusszug nicht verpassen (weil er jetzt nicht auf Gleis 6 sondern 12 abfährt) lasse ich das Notebook unabsichtlich liegen. Nun findet jemand mit etwas zu viel Neugierde und zu wenig Anstand das Gerät. Dank Verschlüsselung kann ich nun sicher sein, dass er keinen Zugriff auf meine Daten erhält. Und nein das sind keine Pläne für einen funktionierenden Fusionsreaktor usw. Aber meine privaten Daten gehen nun mal Fremden nichts an.

Beispiel 2: Bei mir wird eingebrochen. Meine Rechner sind nicht von der Stange und daher durchaus interessant für Diebe. Auch hier kann ich einen Zugriff auf meine persönlichen Daten verhindern.

Pleitgengeier · 7 Apr. 2015

@KLDKO: Stell dir vor, es gibt Leute die sehen sich auf ihrem PC nicht nur Katzenbilder und Pornos an sondern forschen, entwickeln, schaffen,...

Wenn dann ein Konkurrent deine Arbeit zum Patent anmeldet und sich dafür als Urheber ausgibt, dann hast du den Schaden der dir entstehen kann.

--- [2015-04-07 12:01 CEST] Automatisch zusammengeführter Beitrag ---

@Anarchox: Es wurde zum Beispiel mal bei allen, die in einem Chemieversand Eisen-III-Chlorid bestellt hatten, eine Hausdurchsuchung vorgenommen weil irgend ein inkompetenter Beamter von Chemie keine Ahnung hatte.

Eisen-III-Chlorid ist eine völlig harmlose Chemikalie die dazu verwendet wird, Kupfer-Platinen zu ätzen.
Mit dem Zeug kann man sich gerade mal die Kleidung unglaublich schmutzig machen...

TBow · 7 Apr. 2015

KLDKO schrieb:
Ich weiß wirklich nicht in welchem Universum ihr lebt. "Ich habe gelesen, weiß aber nicht wo. Ich habe gehört, weiß aber nicht von wem."

wir leben inj einer Welt, wo man sich im Internet über derartige Vorfälle informieren kann.
Investiere 5 Minuten in eine Internetrecherche und auch du wirst eingestehen müssen, dass wir in einem Universum leben, wo man eine Hausdurchsuchung sehr schnell an der Backe hat.
Bei Wunsch ertränke ich dich in Links zu zweifelhaften Hausdurchsuchungen.

Hier eine kleine Quizfrage für dich.
Wie hoch ist wohl der Prozentsatz an Hausdurchsuchungen, die zu einer Verurteilung führen...

In Österreich sind es ca 33%. 2/3 aller Hausdurchsuchungen führen zu keiner Verurteilung.
http://derstandard.at/2000004277476/Ein-Drittel-aller-Hausdurchsuchungen-endet-mit-Verurteilung

accC · 7 Apr. 2015

KLDKO schrieb:
Ich weiß wirklich nicht in welchem Universum ihr lebt. "Ich habe gelesen, weiß aber nicht wo. Ich habe gehört, weiß aber nicht von wem."

Es tut mir wirklich leid, dass ich kein Authist bin und mir alles merken kann, was ich jemals gesehen oder gelesen habe, insbesondere jede 1097348034785-Zeichen-URL.
Du kannst aber gerne Google bemühen, wenn dich so sehr die Quelle interessiert.

KLDKO schrieb:
Zum Thema USA: Ich Will in den nächsten 10 Jahren nicht dorthin, sollte ich danach reisen bin ich 68 Jahre alt und falle damit garantiert durch jedes Raster.

Du bist aber nicht Kernpunkt der Welt. Es gibt Leute, die regelmäßig geschäftlich dort hin müssen. Zumal das alles nur Beispiele sind. Es gibt mutmaßlich abzählbar unendlich viele Gründe, warum man den Rechner verschlüsseln möchte. Aus offensichtlichen Gründen können hier nicht alle genannt werden.

KLDKO · 7 Apr. 2015

Naja, du musst ja wohl nicht geschäftlich in die USA accC. @Pleitegeier: Firmen z.B. sind eben nicht Otto-Normal-User :unknown:

Entwickler sollten doch wohl auch eher nur in Open Source Projekten arbeiten und kein Geld abschöpfen. Jedenfalls behauptet ihr sowas nebenan in dem Thread. Ihr lebt aber auch alle in einem gefährdeten Umfeld. Dagegen habe ich eine heile Welt.

MfG KLDKO

theSplit · 7 Apr. 2015

Irgendwie werde ich das Gefühl nicht los das eine Verschlüsslung nur dazu beitragen soll, so ein wenig der Tenor, das man nach begehen einer Straftat doch noch straffrei bleiben kann...

Wenn ich ein Auto klaue, mir also besitzt aneigne der mir in erster Linie nicht gehört - werde ich verknackt, findet jeder normal und berechtigt.
Eigne ich mir aber die Arbeit anderer Leute an - darf ich verschlüsseln weil es sich ja nur um Bits und Bytes handelt und mich einfach so dem Tatbestand entziehen - das ist doch paradox.

Der Grund, man vergisst Gerät *name* an einem öffentlichen Ort und würde ohne Verschlüsslung um seine Privatssphäre bangen müssen stimme ich aber voll zu.
Es kann sich ja auch um Daten wie der Zugang einer Bank-App handeln die fest eingespeichert sind oder ähnliches. Man schützt sich also vor weiterem Schaden, wurde genannt und ist mehr als berechtigt.

Kurzer Exkurs über die Content Industrie (kann aber geskipped werden)
Das die Content-Industrie in erster Linie darauf abziehlt das jeder der sich etwas downloaded auch gleich ein Käufer gewesen wäre, so ist ja in der Regel diese Diskussion, und deßhalb Milliarden einbußen vorhanden sind ist auch quatsch. Wenn etwas gefällt so wird man sich auch das Original zulegen, wird allerdings ein Film schlecht "produziert" (einsetzen was passt) - wird ein Produkt auch nicht gekauft werden; vielleicht wäre die Person ohne den Download auch überhaupt nicht auf das Produkt aufmerksam geworden.

Try before buy - macht wohl doch Sinn...
Mit "Try before Buy" hat man zumindest eine Chance etwas wirklich zu testen, wie wäre es in einem Bettengeschäft, in dem die Betten alle eingepackt stehen - ich aber nicht zur Probe liegen darf? Man würde die Katze im Sack kaufen. Wäre lustig aber entspricht der Realität bei DVDs, CDs und anderen Medien.. die zu mal auch nicht einfach umgetauscht werden können und der Kauf quasi final wird nach öffnen der Ware.

Aber auch dafür gibt es Einwände, bei Musik hat man die Möglichkeit vorher in ein Album rein zu hören, Ausschnitte oder gar in voller Länge. Zu Filmen gibt es Trailer. Manche Software hat Demoversionen.

Lange Rede kurzer Sinn - ich wollte damit nur mal sagen das es zwei Seiten gibt. Aber das Verschlüsslung nicht dazu dienen sollte kriminelle Machenschaften zu verdecken sondern dazu eingesetzt werden sollte die Privatsphäre oder geistiges Eigentum im Informationszeitalter zu schützen. Leider ist dies allerdings ein zweischneidiges Schwert.. und die Software verschlüsselt alles - ob recht- oder unrechtmäßig.

Und ich glaube kaum das letzte ist das größte Problem, die Technologie die eigentlich etwas gutes tun sollte kann zu leicht mißbraucht werden und wird sie vermutlich auch rücksichtslos.

Novgorod · 7 Apr. 2015

KLDKO schrieb:
Man kann alles übertreiben, so auch das Thema Sicherheit. Eure Vorbehalte grenzen für mich an Schizophrenie.

warum findest du verschlüsselung übertrieben? der aufwand dafür ist heutzutage extrem gering - vergleichbar mit dem aufwand, seine haustür abzuschließen und immer den schlüssel bei sich zu tragen.. warum ist für dich das tür-abschließen in ordnung (nehme ich jetzt mal an), aber das daten-abschließen gleich schizophrenie? :confused:

@theSplit: es geht hier eigentlich niemandem um so etwas banales wie raubmordkopien; da ist es sowieso eher unerheblich, was sich auf deiner festplatte befindet, sondern nur was du wem zur verfügung gestellt hast - da kannst du auch gleich über die rechtmäßigkeit von VPN & co. diskutieren

..
was ich nicht verstehe ist: wieso sind für dich daten auf einer festplatte offenbar etwas anderes als daten im eigenen gehirn? könnten mehr verbrechen aufgeklärt werden, wenn verschlüsselung nicht möglich wäre? - bestimmt.. aber ebenso könnten sehr viel mehr verbrechen aufgeklärt werden, wenn man auch an die daten im gehirn kommt, z.b. indem man folter erlaubt.. wo ist da die verhältnismäßigkeit? ein möglicher missbrauch zum vernichten von beweisen rechtfertigt doch noch lange nicht das verbot von toiletten, kaminen und feuerzeugen - wieso willst du ausgerechnet verschlüsselung hier anders bewerten?

[Technik] Truecrypt-Audit: Kleine Sicherheitsprobleme in Version 7.1a

TBow

The REAL Cheshire Cat

epiphora

aus Plastik

Cyperfriend

Der ohne Avatar

thom53281

SYS64738

theSplit

1998

Pleitgengeier

offizielles GEZ-Haustier

accC

gesperrt

KLDKO

Picasso Besitzer

Novgorod

ngb-Nutte

accC

gesperrt

Hector

Board-Paladin

KLDKO

Picasso Besitzer

mathmos

404

Pleitgengeier

offizielles GEZ-Haustier

TBow

The REAL Cheshire Cat

accC

gesperrt

KLDKO

Picasso Besitzer

theSplit

1998

Novgorod

ngb-Nutte