URL: https://www.overclockers.at/applications/truecrypt-am-ende-schockzustand-was-ist-hier-genau_239188/page_1 - zur Vollversion wechseln!
[Truecrypt], die weit verbreitete Open-Source Verschlüsselungssoftware für Storage-Volumes auf Datei-, Partitions- und Festplattenbasis scheint entweder an sein Ende gekommen, oder mit seiner Webseite gehacked worden zu sein.
Die Software, die unter Windows, MacOS X, Linux und gewissen UNIX Systemen funktioniert, wurde nun in einer nur mehr zum Entschlüsseln befähigten Version 7.2 veröffentlicht, die einer 7.1a nachfolgt. Die digitalen Signaturen und Schlüssel erscheinen gültig und mit denen der früheren Releases deckungsgleich zu sein. Mittlerweile wurde auch der Quellcode publiziert und analysiert, und es scheint sich dabei um eine stark modifizierte Entwicklungsversion zu handeln, abgeändert um die VERschlüsselungsfähigkeiten zu entfernen.
Wesentlich mehr nach Fisch stinkt aber folgendes:
Auf der nunmehr auf SourceForge umgeleiteten Seite (laut SourceForge Administration gab es keine ungewöhnlichen Auffälligkeiten oder Hackverdacht für den TrueCrypt Account) erhalten User Kurzanleitungen für den Umstieg auf Microsoft Bitlocker und Apple FileVault, unter Linux solle man einfach "alle Pakete installieren die etwas mit Crypto zu tun haben, und die Dokumentation befolgen" (so ca.).
Zudem wurden mehrere Sicherheitswarnungen postuliert, die anzeigen, daß TrueCrypt eventuell nicht mehr sicher sei, da die Entwicklung mit dem Ende von Windows XP gestoppt wurde.
Die Seiten besprechen die dadurch entfallenden Features allerdings nicht (Kein Bitlocker auf kleinen Windows Versionen, keine Cross-Platform Fähigkeiten, keine Plausible Deniability) und das Design der Webseite weicht stark von der alten Truecrypt Seite ab.
Die seltsame Truecrypt 7.2 Webseite. (Klicken zum Vergrößern)
(Beim Versuch, das Originaldesign zu Vergleichszwecken aus der WayBackMachine zu holen wird der Zugriff verwehrt.)
Aktuell kursieren dazu folgende Theorien:
das truecrypt audit team hat vor ein paar stunde was grosses für diese woche angekündigt
https://www.indiegogo.com/projects/...-audit#activity
mal schaun was aus der ecke kommt
die ganze sache stinkt aber schon gewaltig nach nsa/nsl
wenn es etwas ist, dann ist es der Punkt 2 - aber abgewandelt. Ich denke nicht dass sie druck ausgeübt haben sondern vielmehr etwas platziert haben. Wenn es stimmt - Schwarzer Tag.
da sie aber auf bitlocker verwiesen dass in den meisten anwendungsfällen tpm gestützt ist, halte ich es eher für einen simplen hack der Website.
Ich hab gestern Abend noch von der alten Website die 7.1a runtergeladen. Sollte ich mir sorgen machen?
Wenn die NSA selbst etwas platziert (ohne Deckung durch legalen Druck), und das wurde entdeckt, dann reichte ja ein Patch. Zwingt sie dich aber, eine Backdoor einzubauen ohne den Usern etwas davon zu sagen (Warrant Canary gab es bei TrueCrypt nicht), dann gehen dir schnell die Optionen aus...
Die alten 7.1a wurden noch von Usern im Netz geprüft, und die Keys passen. Aber das ist auch bei 7.2 so. Bei 7.1a habe ich selbst schon den Quellcode [umgebaut], aber nur einfachen GUI-related Code. Eine entsprechende Backdoor hat das Audit nicht finden können, und ich sowieso nicht. Solange die Signaturen stimmen würde ich aber trotzdem davon ausgehen, daß 7.1a (das es ja jetzt schon sehr lange gibt) sauber ist.
Edit: Noch eine Theorie: TrueCrypt war von Anfang an ein NSA Projekt, und jetzt wird ihnen die Maintenance zu blöd, also sagens den Usern "Verwendets doch Bitlocker und FileVault (Weil da huck ma sowieso schon drin, und müssn den Schas ned selber schreiben, löller). Und im Linux machts halt irgendwas, uns wurscht...".
Edit 2:
Das wurde schon abgewunken. Das Announcement sollte eine offene Auditorganisation ankündigen, die Cryptosoftware audited, wurde von einem Mitglied leaked, ich denke auf Twitter.Zitat von smashItdas truecrypt audit team hat vor ein paar stunde was grosses für diese woche angekündigt
variante 4 halte ich für eher unwahrscheinlich... wenn man sich den ganzen aufwand schon antut würde man wohl auch ein wenig mehr mühe machen eine exit-strategie zu wählen die nicht so unglaubwürdig ist. selbst wenn es ihnen darum ginge die glaubwürdigkeit von crypto-software an sich zu schädigen... nach dem positiven audit-befund funktioniert dieser plumpe ansatz imho nicht.
wer/wo waren die hauptentwickler hinter true crypt? ein einfacher deface wird es wohl nicht sein, es ist unwahrscheinlich dass jemand der sehr viel wert liegt auf verschlüsselung auf so vielen ebenen gleichzeitig verwundbar ist.
stinkt demnach nach nsa/lavabit und einer frustrierten abstechungsaktion seitens einem entwickler :/
die unseriöse wortwahl bzw. der gezielte verweis auf ms und apple verschlüsselungen könnte man dann als hinweis auf infiltrierte lösungen sehen und als 'stillen protest' weil er nicht sprechen darf über die wahren gründe.
das klingt schon extrem unprofessionell, ich kann mir nicht vorstellen dass das ein echtes statement von den devs sein soll. Ich glaube eher an einen hack oder evtl an eine interne streiterei die ausser kontrolle geraten ist.Zitat"alle Pakete installieren die etwas mit Crypto zu tun haben, und die Dokumentation befolgen"
Naja, dann kannst du immer noch dein Projekt abschießen so wie Lavabit. Wenn sich rausstellt das die NSA was damit zu tun hat, wär das imho der Dolchstoß für "legale" Krypto.Zitat von GrandAdmiralThrawnWenn die NSA selbst etwas platziert (ohne Deckung durch legalen Druck), und das wurde entdeckt, dann reichte ja ein Patch. Zwingt sie dich aber, eine Backdoor einzubauen ohne den Usern etwas davon zu sagen (Warrant Canary gab es bei TrueCrypt nicht), dann gehen dir schnell die Optionen aus...
gibts eigentlich noch wo den sourcecode von 7.1a runterzuladen?
Hier bitte:
[TC 7.1a Source Code für Linux/UNIX] (zipped tar.gz, weil man hier nur ZIP Archive hochladen darf.)
Das ZIP mit den Quellen für Windows finde ich grade nicht mehr.
Zitat von GrandAdmiralThrawnZwingt sie dich aber, eine Backdoor einzubauen ohne den Usern etwas davon zu sagen (Warrant Canary gab es bei TrueCrypt nicht), dann gehen dir schnell die Optionen aus...
Du als Entwickler aber auch wenn deine Familie in den US ist, und du vielleicht ein Einreiseverbot bekommstZitat von AdRyNaja entwicklung ins Ausland verlagern, dann können US Behörden *******en gehn.
zum kopfschütteln. Hätte lange vorher angekündigt werden müssen imo. Ich hoffe truecrypt kommt in alter form irgendwie zurück.
Vermute auch eine "3 letter agency" dahinter
Um Umstieg auf Bitlocker? Das soll wohl ein Witz sein....
Google Cache hat anscheinend truecrypt.org "vergessen" und archive.org hat mir auch grade den Zugriff auf eine alte Version "blocked"... wtf
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2024