[Technik] Truecrypt-Audit: Kleine Sicherheitsprobleme in Version 7.1a

Jump to last post
Auch die zweite, nun beendete, Phase des Truecrypt-Audits gibt Grund zur Hoffnung. Hier wurden vor allem die kryptographischen Funktionen der Verschlüsselungssoftware unter die Lupe genommen. Die Version 7.1a des Programms enthalte zwar laut dem vorliegenden
You do not have permission to view link please Anmelden or Registrieren
des Open-Crypto-Audit-Projekts vier Schwachstellen (davon zwei kritische), diese treten aber nur in sehr seltenen Fällen auf. Der Verdacht auf versteckte Hintertüren und absichtliche Programmierfehler der anonymen Programmierer bestätigte sich nicht.

Die kritischen Lücken umfassen eine Codezeile wo der Rückgabewert einer Funktion nicht korrekt geprüft wird, so dass nicht-zufällige Zufallszahlen für einen Schlüssel benutzt werden könnten. Dieses Problem soll aber nur auftreten, wenn der Zugriff auf den Windows-Zufallsgenerator durch eine Gruppenrichtlinie gesperrt wurde, aber nicht im Normalbetrieb von Windows. Ein weites genanntes Problem ist, dass die AES-Implementierungen von Truecrypt anfällig für Cache-Timing-Angriffe sind. In Mehrbenutzersystemen könnte ein zweiter gerade angemeldeter Benutzer die Daten eines Truecrypt-Nutzers entschlüsseln.

Auch wenn die gefundenen Schwachstellen eine Weiterbenutzung der Truecrypt-Version 7.1a nicht ausschließen, die Zukunft der Verschlüsselungssoftware bleibt weiterhin unklar, nachdem die Entwicklung im Mai 2014 eingestellt wurde. Der Quellcode der Software ist zwar offen, steht aber nicht unter einer gängigen freien Lizenz und enthält diverse Code-Bestandteile unter abweichenden Lizenzen. Es ist derzeit immer noch fraglich, ob ein Fork der Software überhaupt zulässig wäre.


Quelle:
You do not have permission to view link please Anmelden or Registrieren
 
Zum Vergrößern anklicken....
You do not have permission to view link please Anmelden or Registrieren


Sagen wir mal so, die Dinge die in deinem Kopf vorgehen müssen nicht zwingend wahr werden. Erst wenn du dein Denken in eine Handlung bzw. Planung umsetzt ist man de facto strafbar so fern dies etwas verbotenes ist - so verstehe ich unseren Rechtsstaat.

Sagen wir mal so, ich kann in eine Word Datei schreiben was ich plane oder es ganz klassisch auf Papier schreiben, das Medium ist egal, aber das können Beweise sein die mein Denken, nach außen hin, zeigen, gefestigt/gebannt/gebrannt auf einen "Datenträger" (ganz abstrakt). Daher der große Wert dieser Daten.

Lustiges Beispiel, wenn wir alle nur denken würden wir sind Terroristen und wir planen unsere Vorhaben nur in unseren Kopfen, würde daraus vermutlich nicht viel werden weil wir quasi nur Denken das wir es tun und oder wir würden Details vergessen wie wir es tun wollen würden, wir würden es aber vermutlich nicht tun bzw. gar nicht schaffen - außer wir wären Autistisch/Genies :D
 
so einfach ist das nicht mit den gedankenverbrechen.. es reichen ja auch bloß worte (z.b. beim psychiater), um einen hinter gitter zu bringen.. und was du sagst oder "niederschreibst", muss auch nicht wahr sein oder werden - ich verstehe daher immernoch nicht die große differenzierung.. andererseits kann gedankeninformation sehr wohl einen substantiellen wert haben und ggf. maßnahmen zur beschaffung (z.b. folter) legitimieren.. wenn so etwas aber für die gesellschaft "tabu" ist, warum sollte es mit verschlüsselten daten anders sein?
 
KLDKO schrieb:
@Pleitegeier: Firmen z.B. sind eben nicht Otto-Normal-User :unknown: Entwickler sollten doch wohl auch eher nur in Open Source Projekten arbeiten und kein Geld abschöpfen. Jedenfalls behauptet ihr sowas nebenan in dem Thread.
Zum Vergrößern anklicken....
Du liest offenbar Threads die mir (und vielleicht sogar fast allen hier) nicht zugänglich sind.
Ich habe in diesem Forum noch keinen gesehen der es verteidigt, sich Daten zu saugen, sich als U(h)rheber auszugeben und diese dann zu vermarkten...
 
You do not have permission to view link please Anmelden or Registrieren
Du solltest richtig lesen lernen. Zum Thema Passwörter, wer die fest in einer App speichert ist selber Schuld an seinem Elend. Ich speichere Passwörter mit KeePass, das reicht durchaus. Aber dafür brauche ich nicht die komplette Festplatte verschlüsseln.


MfG KLDKO


P.S. Ich schliesse meine Wohnungstür nicht ab.
 
das ist aber wiederum etwas schizophren, oder nicht? ;) - du verschlüsselst ein dokument voll mit login-daten, aber nicht die festplatte, auf der diese daten in diversen caches unverschlüsselt landen? und wieso sind login-daten schützenswerter als alle möglichen privaten dokumente auf der platte?

achja, machst du denn die wohnungstür überhaupt zu, d.h. so dass sie nur mit gewalt oder einbrecherwerkzeug geöffnet werden kann (da muss man nicht extra abschließen, wenn es von außen keine klinke gibt)?
 
KLDKO schrieb:
You do not have permission to view link please Anmelden or Registrieren
Du solltest richtig lesen lernen.
Zum Vergrößern anklicken....
Ich habe vorhin das Szenario gebracht, dass jemand in den PC einbricht, Ergebnisse saugt und sich als deren Urheber ausgibt.
Daraufhin hast du geantwortet (du hast ja explizit mich angesprochen) dass wir doch genau sowas im Thread nebenan rechtfertigen...
Ich bin also lediglich auf dein Argument eingegangen - aber im Kontext des Threads.
 
KLDKO schrieb:
Ich weiß wirklich nicht in welchem Universum ihr lebt.blabla
MfG KLDKO
Zum Vergrößern anklicken....

Die Verweigerungshaltung finde ich bei der "Ich hab nix zu verbergen Spezies" mitlerweile mit Abstand am langweiligsten...
lasst euch mal was neues einfallen, die Realität kriegt man damit nicht weg.

You do not have permission to view link please Anmelden or Registrieren
 
Zu Truecrypt gibts wieder etwas Neues...

Fraunhofer SIT analysiert TrueCrypt

Eine vom BSI in Auftrag gegebene Studie zeigt, was TrueCrypt, die Anwendung zum Verschlüsseln von Festplatten, gut macht und wo es noch Verbesserungspotential gibt.

Die Analyse soll eine Grundlage bilden, um die Sicherheit vieler Nachfolgeprojekte, wie etwa TrustedDisk und VeraCrypt, besser einschätzen zu können, erläutert das BSI. Die Studie gebe aber auch Auskunft, was Entwickler besser machen können.

You do not have permission to view link please Anmelden or Registrieren
Zum Vergrößern anklicken....
Danke an das Fraunhofer Institut und an das, von mir ab und an gescholtene, BSI.
Genau so müsste man es machen. Der Staat beauftragt unabhängige Institutionen, die gängige Open Source Projekte analysiert und somit der Bevölkerung hilft, sich gegen Kriminelle, jeglicher Art zu schützen.
 
TBow schrieb:
Danke an das Fraunhofer Institut und an das, von mir ab und an gescholtene, BSI.
Genau so müsste man es machen. Der Staat beauftragt unabhängige Institutionen, die gängige Open Source Projekte analysiert und somit der Bevölkerung hilft, sich gegen Kriminelle, jeglicher Art zu schützen.
Zum Vergrößern anklicken....
Ich frage mich ja ob das wirklich das Ziel dahinter ist...
Vielleicht erhofft man sich ja eher eine Möglichkeit, verschlüsselte Datenträger auszulesen...
 
@Pleitgengeier
Wenn der Anaylist nicht vertrauenswürdig ist, dann ist das in der Tat möglich.
Wahrscheinlicher wäre es dann eher, dass sie die Schwachstellensuche an eine Firma vergibt, die die Klappe hält und sich nicht an das Fraunhoferinstitut wendet.
Perfekt wäre natürlich, wenn es 2 Analyseteams gibt, die zB in verscheindenen Ländern sitzen.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben