TrueCrypt oder VeraCrypt ?

[Boindil]

Hallo,

ich bin etwas durcheinander was die Einschätzung der Sicherheit der beiden Tools TrueCrypt und VeraCrypt angeht.

Ich nutze nun wieder Windows und möchte meine Platten verschlüsseln. Truecrypt war mir noch von damals ein Begriff, jedoch hab ich irgendwo aufgeschnappt das dort nun zwei kritische Lücken entdeckt wurden sind, die ja logischweise nicht mehr gestopft werden können. Weiß jemand etwas näheres über die Lücken ? Sind die wirklich als kritisch einzustufen ? Wegen der Lücken hatte ich mich dann für den Klon VeraCrypt interessiert. Hier jedoch ist ja wohl nicht wirklich klar, ob dort auch nun alles sicher ist. Die beiden entdeckten Löcher wurden dort zwar angeblich gestopft, aber überprüft hat den Code im ganzen dort wohl noch niemand. Ist denn zumindest etwas über die Personen hinter dem Projekt bekannt ? Vertrauenswürdig ?

Welches Verschlüsselungstool würdet ihr daher zur Zeit am ehesten empfehlen, wenn man auf der möglichst sicheren Seite sein möchte ?

 

[sia]

VeraCrypt hat iirc kein Audit hinter sich.

Warum kein LUKS und Windows in ner VM?

 

[The_Emperor]

Ich vertraue seit vielen Jahren auf DiskCryptor. Ist genau so Open Source wie TrueCrypt. Hat gegenüber TrueCrypt ein paar Vorteile wie zB. bessere Performance auf der gleichen Hardware bei gleicher Kryptographie als TC und Kompatibilität zu Multi-Volumen Systeme.

 

[Boindil]

@phre4k

Ich vermisse LUKS...bin aber nun wieder auf Windows umgestiegen und möchte erstmal auch dort voll bleiben. Windows in der VM ist mir zumindest im Moment zu unbequem. Das warum möchte hier jetzt nicht ausufernd besprechen. Nehmen wir es -zumindest im Moment- als gegeben hin. Halte mir eine Rückkehr zu Linux aber offen.

@The_Emperor

DiskCryptor hat ja wohl das gleiche Problem wie VeraCrypt. Keiner weiß genau ob es auch wirklich sicher ist. Ein Audit hat ja soweit ich weiß auch DiskCryptor nicht hinter sich.

@all

Aufgrund der geringen Beteilligung an diesem Thread hier gehe ich davon aus, das man wohl wirklich nichts annähernd zuverlässsig empfehlen kann. Mich würde nun interessieren, wie kritisch die Lücken in TrueCrypt tatsächlich sind und wie etwaige Angriffszenarien aussehen könnten. Auch interessant wäre für mich, wie die Personen hinter VeraCrypt und von mir aus auch DiskCryptor gesehen werden. Sind es bekannte Gesichter aus der Szene, die man einnigermassen Vertrauen kann oder gänzlich unbekannte Leute ?

Mir ist klar, das mir hier keiner 100% Sicherheit bieten kann, aber vielleicht kann man eine Richtung aufzeigen ?

 

[bevoller]

@all

Aufgrund der geringen Beteilligung an diesem Thread hier gehe ich davon aus, das man wohl wirklich nichts annähernd zuverlässsig empfehlen kann.

Das liegt vielleicht daran, vielleicht liegt es aber auch daran, dass es dazu bereits einen Diskussionsthread gibt. Letzteres halte ich für wahrscheinlicher.

Mich würde nun interessieren, wie kritisch die Lücken in TrueCrypt tatsächlich sind und wie etwaige Angriffszenarien aussehen könnten.

Soll dir einer die entsprechenden Artikel vorlesen?

Ein Audit hat ja soweit ich weiß auch DiskCryptor nicht hinter sich.

Wenn du das als Ausschlusskriterium nehmen willst, darfst du gar keine Software benutzen. TrueCrypt hatte übrigens auch jahrelang kein Audit - und trotzdem hat es sich wohl recht großer Beliebtheit erfreut.

Was kann man empfehlen?
Such dir was aus, relativ sicher dürften alle sein, sonst hätte man vermutlich schon etwas Negatives darüber gelesen. (Damit ist natürlich nicht die neueste TC-Version gemeint, die ja keine Container mehr erstellen kann.)
Bei mehreren großen TC-Containern etc. würde ich auf jeden Fall erst mal TrueCrypt weiter benutzen. Zumindest VeraCrypt kommt mit TC-Containern ja nicht zurecht. Für den Hausgebrauch ist TrueCrypt wohl sicher genug. Siehe auch den anderen Thread.

 

[m6ld8ywqya]

Bei mehreren großen TC-Containern etc. würde ich auf jeden Fall erst mal TrueCrypt weiter benutzen. Zumindest VeraCrypt kommt mit TC-Containern ja nicht zurecht.

https://veracrypt.codeplex.com/wikipage?title=TrueCrypt Support

 

[Boindil]

War ja klar, das ich wieder zu dämlich für die Suchfunktion war Hast du vielleicht einen Link für mich für den entsprechenden Thread ? Wär wirklich nett.

TrueCrypt ist auch weiterhin mein Favorit. Aber ich will mir erstmal wirklich über die Angriffsszenarien im klaren sein, bevor ich eine Entscheidung fälle.

 

[RolloP]

einfach mal google bemühen, dann erfährst Du das wichtigste zu beiden Programmen.
TrueCrypt 7.1a ist weiterhin sicher. man muss nur mal zwischen den Zeilen lesen. Die angeblichen Sicherheitslücken wurden nie wirklich benannt, aber es gibt dann eine neue Version, die allerdings keine Container mehr erstellt. Der Wahre Grund für das Aus wurde auch nie erklärt sondern mit einem zu deutenden Kommentar auf der Homepage hinterlegt.
VeraCrypt entstand merkwürdigerweise gleich nach dem Rückzug von TrueCrypt und baut auf dessen Code auf. Wird jetzt überall als das Non-Plus-Ultra propagiert.
Vielleicht sollte man einfach nur mal drüber nachddenken.

Ich gehe nicht davon aus, dass meine Meinung von allen geteilt wird und behaupte auch nicht, dass sie unbedingt richtig ist. Aber so sehe ich das nun mal.

 

[mathmos]

TrueCrypt 7.1a ist weiterhin sicher. man muss nur mal zwischen den Zeilen lesen. Die angeblichen Sicherheitslücken wurden nie wirklich benannt,

ngb.to/threads/15267

Im dort zu findenden Bericht steht sehr wohl welche Schwachstellen es gibt. Ob diese ein Problem darstellen muss jeder Nutzer für sich selbst entscheiden, da diese wohl nur unter bestimmten Voraussetzungen gültig sind (Mehrbenutzersystem z. B.)

aber es gibt dann eine neue Version, die allerdings keine Container mehr erstellt.

Mit Version 7.2 lässt sich um ganz genau zu sein nur noch entschlüsseln. Verschlüsselte Partitionen lassen sich also auch nicht mehr anlegen.

Der Wahre Grund für das Aus wurde auch nie erklärt sondern mit einem zu deutenden Kommentar auf der Homepage hinterlegt.

Die letzte "Vollversion" von TrueCrypt müsste aus dem Jahre 2012 stammen. Von daher halte ich es für gar nicht mal so abwegig, dass die bzw. der Entwickler einfach keine Lust bzw. Zeit für das Projekt hatten.

VeraCrypt entstand merkwürdigerweise gleich nach dem Rückzug von TrueCrypt und baut auf dessen Code auf. Wird jetzt überall als das Non-Plus-Ultra propagiert.
Vielleicht sollte man einfach nur mal drüber nachddenken.

Die erste offizielle Version von Veracrypt ist vom 22.06.2013. Das Projekt TrueCrypt wurde im Mai 2014 eingestellt.

Das Veracrypt von vielen empfohlen wird, liegt halt meiner Meinung nach daran, dass es eben nicht wirkliche Alternativen gibt. Die letzte Version von DiskCryptor zum Beispiel, welche inkompatibel mit TrueCrypt-Volumes ist, stammt von Juli 2014. Aus dem Bauch heraus wird sich hier vermutlich auch nichts mehr tun. Zudem hat man bei dem Programm auch das "Problem" dass es keinen Audit gibt. Hier dann auf das quelloffene und aktive Projekt Veracrypt zu setzen ist meiner Meinung nach durchaus sinnvoll.