WARNING: Using TrueCrypt is not secure

[DoubleJ]

http://truecrypt.sourceforge.net/

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

This page exists only to help migrate existing data encrypted by TrueCrypt.

The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms (click here for more information). You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.

[Yenz]

http://www.heise.de/newsticker/meldung/ ... 11037.html

[K3X]

Die neue Seite sieht irgendwie aus wie in 5 Minuten hingeschrieben. Auch dann die direkte Werbung für Bitlocker... Irgendwas ist da doch Faul, zumal die angebliche Schwachstelle nicht genannt wird.

Am plausibelsten halte ich die Version von Heise, vermutlich grade weil es sicher ist und die NSA damit ein Problem hat:

Eine andere Erklärung für die kryptische Warnung könnte ein Vorgehen von US-Behörden sein, dass dem ähnelt, mit dem der E-Mail-Anbieter Lavabit zur Schließung gezwungen worden war. Dort hatten die Behörden die Herausgabe privater Schlüssel verlangt und das schließlich vor Gericht durchgesetzt. Daraufhin hatte der Dienst seine Pforten geschlossen. Bei derartigen Maßnahmen werden die Diensteanbieter mit sogenannten National Security Lettern dazu verpflichtet, Stillschweigen zu bewahren.

Die Sicherheit von Bitlocker darf auch bezweifelt werden:
http://mashable.com/2013/09/11/fbi-micr ... -backdoor/
http://de.wikipedia.org/wiki/NSAKEY

Für richtige Betriebssysteme empfehle ich mal http://de.wikipedia.org/wiki/Dm-crypt

[DoubleJ]

Wenn man das Ziel eines Dienstes ist, der BitLocker knacken kann hat man sicherlich noch ganz andere Probleme

http://xkcd.com/538/

Für nahezu jeden dürfte BitLocker vollkommen ausreichen.

[K3X]

Eine Backdoor zu Bitlocker ist für die NSA halt viel einfacher als zu zig Leuten hinzufahren und sie "zu bearbeiten".

Auch sehr lustig:

If you have files encrypted by TrueCrypt on Linux:
Use any integrated support for encryption. Search available installation packages for words encryption and crypt, install any of the packages found and follow its documentation.

Quelle: http://truecrypt.sourceforge.net/OtherPlatforms.html

[DoubleJ]

Naja, die Aussage dieses Comics ist auch eher, dass man sich nicht zu sehr auf eine Sache einschießen sollte - ein leider weit verbreitetes Phänomen, wenn es um Verschlüsselung geht. Das sicherste Schloss der Welt nützt nichts an einer Tür aus Pappe.

Wenn BitLocker-Volumes reihenweise geknackt würden, hätte man davon sicher erfahren. Ich denke mal eher das hebt man sich für wirklich "hochklassige" und ausgewählte Ziele aus. Und wenn man zu diesen zählen sollte... Dann ist die Festplattenverschlüsselung wie gesagt sicherlich das kleinste Problem

Einfach n bisschen realistisch bleiben

[dampfklon]

Ich würde auch sagen das die Meldung selbst Fake ist und es sich dabei um ein Hack der TrueCrypt Infrastruktur handelt.

Meiner Meinung fährt man mit einer TrueCrypt Version vor der die es gerade zum Download gibt, ziemlich sicher besser als mit Bitlocker!

Wenn man das Ziel eines Dienstes ist, der BitLocker knacken kann hat man sicherlich noch ganz andere Probleme

Sicherlich nicht! Das Ziel der NSA ist nicht das gezielte abhören von Personen sondern das Sammeln aller Informationen derer sie habhaft werden können, wenn es eine Hintertür in Bitlocker gibt, wo von man ausgehen muss, dann werden sie diese nicht nur bei Einzelpersonen einsetzten.

[DoubleJ]

Meiner Meinung fährt man mit einer TrueCrypt Version vor der die es gerade zum Download gibt, ziemlich sicher besser als mit Bitlocker!

Das garantierst du? Anhand welcher Fakten? Oder weil Microsoft einfach aus Prinzip böse ist? Stimmt, mit OSS passiert sowas nicht - äh, moment...

Das Ziel der NSA ist nicht das gezielte abhören von Personen sondern das Sammeln aller Informationen derer sie habhaft werden können, wenn es eine Hintertür in Bitlocker gibt, wo von man ausgehen muss, dann werden sie diese nicht nur bei Einzelpersonen einsetzten.

Es werden Daten im Bereich von TB und PB auf NSA-Server hochgeladen und niemand bekommt davon irgendwas mit? Weder eine Person noch ein IDS? Weltweit? Najaaa...
Außerdem erfordert ja auch der Zugriff auf die verschlüsselten Daten erstmal Zugriff auf die Daten überhaupt.

[dampfklon]

Ich garantiere gar nichts aber das letzte Jahr hat gezeigt, das die Aluhut-Fraktion eben nicht unrecht hat.

http://istruecryptauditedyet.com/

[K3X]

Es gibt leute, die das mitbekommen aber wenn sie auspacken bekommen sie massive Probleme. (siehe Snowden)
Und ja, eine gute Backdoor fällt weniger auf als wenn Leute mit dem Schraubenschlüssel bearbeitet werden.

Es werden Daten im Bereich von TB und PB auf NSA-Server hochgeladen und niemand bekommt davon irgendwas mit? Weder eine Person noch ein IDS? Weltweit? Najaaa...

[Sirius]

Meiner Meinung fährt man mit einer TrueCrypt Version vor der die es gerade zum Download gibt, ziemlich sicher besser als mit Bitlocker!

Das garantierst du? Anhand welcher Fakten? Oder weil Microsoft einfach aus Prinzip böse ist? Stimmt, mit OSS passiert sowas nicht - äh, moment...

Schon wahr, das war der größte OSS Fail überhaupt...
Wenn man auf die eigene Propaganda hereinfällt - "Ach, irgendwer wird da schon drüberschauen..."

Das Ziel der NSA ist nicht das gezielte abhören von Personen sondern das Sammeln aller Informationen derer sie habhaft werden können, wenn es eine Hintertür in Bitlocker gibt, wo von man ausgehen muss, dann werden sie diese nicht nur bei Einzelpersonen einsetzten.

Es werden Daten im Bereich von TB und PB auf NSA-Server hochgeladen und niemand bekommt davon irgendwas mit? Weder eine Person noch ein IDS? Weltweit? Najaaa...
Außerdem erfordert ja auch der Zugriff auf die verschlüsselten Daten erstmal Zugriff auf die Daten überhaupt.

Also das ist auf jeden Fall mal sicher. Alles speichern, was die in die Finger bekommen können. Und zwar wirklich alles...
Erst recht, wenn es verschlüsselt ist. Irgendwann wird dann halt der Dataminer drüberlaufen gelassen.

Das ist doch noch der leichte Teil für die, alle Daten abzufangen. Gab doch auch schon mehrfach Medienberichte darüber, wenn herauskam, dass Nachträglich in Rechenzentren neue "Hardware" installiert wurde. Dazu braucht man nur einen Techniker als Insider der Zugang hat, und alle anderen beim ISP o.ä. wissen von nichts.
Und dann noch die Sache mit den angezapften Backbones. An den Enden merkt man nix, wenn die Glasfaserleitung manipuliert wurde. Die haben da doch sogar extra so ein U-Boot, angeblich..

Wegen TrueCrypt würde ich auch erst einfach mal abwarten. Sieht für mich irgendwie nach ner Lavabit Nummer aus.
Die Mathematik dahiner kann man nämlich nicht knacken...
Und der Audit, der letztens veröffentlich wurde, sah doch auch gut aus..

[oTTze]

Solange nichts gegenteiliges bewiesen ist kann man getrost davon ausgehen dass Truecrypt immer noch sicherer einzustufen ist als BitLocker. Allein schon der Fakt dass der Code offen liegt und bis dato keine "echte" kryptographische Lücke gefunden wurde langt mir um erstmal weiter ohne Sorgen mit TC7.1a zu arbeiten. Der Audit der zur Zeit läuft sollte dann das übrige zur Sache tun. Richtung ende des Jahres sollte der abgeschlossen sein, dann wissen wir alle mehr. Und wel der Code offen liegt geht auch die Entwicklung weiter: http://www.computerbase.de/2014-05/true ... ngestellt/

[DoubleJ]

Die Mathematik dahiner kann man nämlich nicht knacken...

Beweisbar sicher ist lediglich OTP. Außerdem greift man selten den Algorithmus selbst an sondern benutzt Seitenkanäle oder Schwächen in der Implementierung (und davon gibt es i.d.R. mehr als genug, angefangen bei vermeintlich trivialen Dingen wie Zufallszahlen.)

[Sirius]

Ja, ich meinte ja auch nicht absolut sicher, im Sinne von nie überwindbar, sondern nicht in endlicher Zeit bzw. realistischer Zeit knackbar.. Ich denke es ist klar, was ich meine

Jedenfalls wäre mir neu, dass AES z.B. jemals geknackt wurde..