Truecrypt am Ende? Schockzustand? Was ist hier genau passiert, und warum? Wahr?!

Seite 1 von 8 - Forum: Applications, Apps & Drivers auf overclockers.at

URL: https://www.overclockers.at/applications/truecrypt-am-ende-schockzustand-was-ist-hier-genau_239188/page_1 - zur Vollversion wechseln!

GrandAdmiralThrawn schrieb am 29.05.2014 um 01:35

[Truecrypt], die weit verbreitete Open-Source Verschlüsselungssoftware für Storage-Volumes auf Datei-, Partitions- und Festplattenbasis scheint entweder an sein Ende gekommen, oder mit seiner Webseite gehacked worden zu sein.

Die Software, die unter Windows, MacOS X, Linux und gewissen UNIX Systemen funktioniert, wurde nun in einer nur mehr zum Entschlüsseln befähigten Version 7.2 veröffentlicht, die einer 7.1a nachfolgt. Die digitalen Signaturen und Schlüssel erscheinen gültig und mit denen der früheren Releases deckungsgleich zu sein. Mittlerweile wurde auch der Quellcode publiziert und analysiert, und es scheint sich dabei um eine stark modifizierte Entwicklungsversion zu handeln, abgeändert um die VERschlüsselungsfähigkeiten zu entfernen.

Wesentlich mehr nach Fisch stinkt aber folgendes:

Auf der nunmehr auf SourceForge umgeleiteten Seite (laut SourceForge Administration gab es keine ungewöhnlichen Auffälligkeiten oder Hackverdacht für den TrueCrypt Account) erhalten User Kurzanleitungen für den Umstieg auf Microsoft Bitlocker und Apple FileVault, unter Linux solle man einfach "alle Pakete installieren die etwas mit Crypto zu tun haben, und die Dokumentation befolgen" (so ca.).

Zudem wurden mehrere Sicherheitswarnungen postuliert, die anzeigen, daß TrueCrypt eventuell nicht mehr sicher sei, da die Entwicklung mit dem Ende von Windows XP gestoppt wurde.

Die Seiten besprechen die dadurch entfallenden Features allerdings nicht (Kein Bitlocker auf kleinen Windows Versionen, keine Cross-Platform Fähigkeiten, keine Plausible Deniability) und das Design der Webseite weicht stark von der alten Truecrypt Seite ab.

Die seltsame Truecrypt 7.2 Webseite. (Klicken zum Vergrößern)

(Beim Versuch, das Originaldesign zu Vergleichszwecken aus der WayBackMachine zu holen wird der Zugriff verwehrt.)

Aktuell kursieren dazu folgende Theorien:

Die Truecrypt Webseite wurde gehacked, sowie auch der SourceForge Account. Die Signierschlüssel wurden gestohlen, um ein neu erzeugtes, gefährliches Binary zu signieren und zu verbreiten.
Eine 3-Letter Agency hat die TrueCrypt Foundation unter gerichtlichen Druck gesetzt, eine Backdoor einzubauen (NSA?), da das crowd-funded Audit keine kritischen Lücken hat aufdecken können. Die Entwickler fackeln die Software lieber ab.
Die TrueCrypt Entwickler hatten die Nase voll vom völlig fehlenden finanziellen Support durch die Community und hauen den Hut selbst drauf.

Fakt bleibt, daß das ganze hochgradig seltsam aussieht, was Formulierung der Texte, Formatierung der Seite und die "Migrations-Version" angeht, die nur noch ENTschlüsseln kann, um auf BitLocker/FileVault/dm-crypt zu migrieren. Speziell das Statement zu Linux sieht hochgradig unprofessionell und "schnell hingefetzt" aus.

Aktuell gibt es keine weiteren offiziellen Statements, Verantwortliche des TrueCrypt Source Code Audits sind auf Anfrage genauso ratlos wie alle User. Die Entwickler zu erreichen ist nunmehr ganz ausgeschlossen, da auch der Mailserver an der TrueCrypt Domain keine eMails mehr annimmt. Auch das äußerst wertvolle Userforum - von sehr vielen sehr fähigen Leuten frequentiert - scheint ausgelöscht worden zu sein, sofern es sich hier nicht um einen "einfachen" Defaceangriff auf die Webseiten handelt (Der Verlust der Forenkontakte dort tut mir nebst der Softwareseite besonders weh, wenns echt für immer gekillt ist).

Durch die ziemlich unklare Situation würde ich persönlich dringendst empfehlen, die Finger von der TrueCrypt 7.2 "Migrationsversion" zu lassen, was die Binaries angeht, und den Quellcode zu studieren wenn man dazu in der Lage ist (diffs zwischen 7.1a und 7.2 existieren bereits). Abzuwarten erscheint hier vorerst die beste Strategie zu sein, bis etwas mehr Gewißheit herrscht.

Weitere Links:

[Userdiskussion auf YCombinator]
[Meldung auf SlashDot]
[Meldung auf Ars Technica]
[Matthew Green (TC Audit), Aussage auf Twitter, keine Ahnung was los ist]
[Kenn White (TC Audit), Aussage auf Twitter], Warnung möglicher Kompromittierung von [http://www.truecrypt.org]

smashIt schrieb am 29.05.2014 um 03:10

das truecrypt audit team hat vor ein paar stunde was grosses für diese woche angekündigt
https://www.indiegogo.com/projects/...-audit#activity

mal schaun was aus der ecke kommt

die ganze sache stinkt aber schon gewaltig nach nsa/nsl

Smut schrieb am 29.05.2014 um 04:24

wenn es etwas ist, dann ist es der Punkt 2 - aber abgewandelt. Ich denke nicht dass sie druck ausgeübt haben sondern vielmehr etwas platziert haben. Wenn es stimmt - Schwarzer Tag.

da sie aber auf bitlocker verwiesen dass in den meisten anwendungsfällen tpm gestützt ist, halte ich es eher für einen simplen hack der Website.

creative2k schrieb am 29.05.2014 um 06:44

:eek:
Ich hab gestern Abend noch von der alten Website die 7.1a runtergeladen. Sollte ich mir sorgen machen?

GrandAdmiralThrawn schrieb am 29.05.2014 um 09:10

Wenn die NSA selbst etwas platziert (ohne Deckung durch legalen Druck), und das wurde entdeckt, dann reichte ja ein Patch. Zwingt sie dich aber, eine Backdoor einzubauen ohne den Usern etwas davon zu sagen (Warrant Canary gab es bei TrueCrypt nicht), dann gehen dir schnell die Optionen aus...

Die alten 7.1a wurden noch von Usern im Netz geprüft, und die Keys passen. Aber das ist auch bei 7.2 so. Bei 7.1a habe ich selbst schon den Quellcode [umgebaut], aber nur einfachen GUI-related Code. Eine entsprechende Backdoor hat das Audit nicht finden können, und ich sowieso nicht. Solange die Signaturen stimmen würde ich aber trotzdem davon ausgehen, daß 7.1a (das es ja jetzt schon sehr lange gibt) sauber ist.

Edit: Noch eine Theorie: TrueCrypt war von Anfang an ein NSA Projekt, und jetzt wird ihnen die Maintenance zu blöd, also sagens den Usern "Verwendets doch Bitlocker und FileVault (Weil da huck ma sowieso schon drin, und müssn den Schas ned selber schreiben, löller). Und im Linux machts halt irgendwas, uns wurscht...".

Edit 2:

Zitat von smashIt
das truecrypt audit team hat vor ein paar stunde was grosses für diese woche angekündigt

Das wurde schon abgewunken. Das Announcement sollte eine offene Auditorganisation ankündigen, die Cryptosoftware audited, wurde von einem Mitglied leaked, ich denke auf Twitter.

Master99 schrieb am 29.05.2014 um 10:43

variante 4 halte ich für eher unwahrscheinlich... wenn man sich den ganzen aufwand schon antut würde man wohl auch ein wenig mehr mühe machen eine exit-strategie zu wählen die nicht so unglaubwürdig ist. selbst wenn es ihnen darum ginge die glaubwürdigkeit von crypto-software an sich zu schädigen... nach dem positiven audit-befund funktioniert dieser plumpe ansatz imho nicht.

wer/wo waren die hauptentwickler hinter true crypt? ein einfacher deface wird es wohl nicht sein, es ist unwahrscheinlich dass jemand der sehr viel wert liegt auf verschlüsselung auf so vielen ebenen gleichzeitig verwundbar ist.

stinkt demnach nach nsa/lavabit und einer frustrierten abstechungsaktion seitens einem entwickler :/
die unseriöse wortwahl bzw. der gezielte verweis auf ms und apple verschlüsselungen könnte man dann als hinweis auf infiltrierte lösungen sehen und als 'stillen protest' weil er nicht sprechen darf über die wahren gründe.

wergor schrieb am 29.05.2014 um 10:45

Zitat
"alle Pakete installieren die etwas mit Crypto zu tun haben, und die Dokumentation befolgen"

das klingt schon extrem unprofessionell, ich kann mir nicht vorstellen dass das ein echtes statement von den devs sein soll. Ich glaube eher an einen hack oder evtl an eine interne streiterei die ausser kontrolle geraten ist.
Anyway, bin schon gespannt was rauskomm

Hansmaulwurf schrieb am 29.05.2014 um 11:27

Zitat von GrandAdmiralThrawn
Wenn die NSA selbst etwas platziert (ohne Deckung durch legalen Druck), und das wurde entdeckt, dann reichte ja ein Patch. Zwingt sie dich aber, eine Backdoor einzubauen ohne den Usern etwas davon zu sagen (Warrant Canary gab es bei TrueCrypt nicht), dann gehen dir schnell die Optionen aus...

Naja, dann kannst du immer noch dein Projekt abschießen so wie Lavabit. Wenn sich rausstellt das die NSA was damit zu tun hat, wär das imho der Dolchstoß für "legale" Krypto.
Ich seh das ziemlich genauso wie Master

smashIt schrieb am 29.05.2014 um 11:37

gibts eigentlich noch wo den sourcecode von 7.1a runterzuladen?

GrandAdmiralThrawn schrieb am 29.05.2014 um 13:12

Hier bitte:

[TC 7.1a Source Code für Linux/UNIX] (zipped tar.gz, weil man hier nur ZIP Archive hochladen darf.)

Das ZIP mit den Quellen für Windows finde ich grade nicht mehr.

AdRy schrieb am 29.05.2014 um 13:39

Zitat von GrandAdmiralThrawn
Zwingt sie dich aber, eine Backdoor einzubauen ohne den Usern etwas davon zu sagen (Warrant Canary gab es bei TrueCrypt nicht), dann gehen dir schnell die Optionen aus...

Naja entwicklung ins Ausland verlagern, dann können US Behörden *******en gehn.

Hansmaulwurf schrieb am 29.05.2014 um 13:50

Zitat von AdRy
Naja entwicklung ins Ausland verlagern, dann können US Behörden *******en gehn.

Du als Entwickler aber auch wenn deine Familie in den US ist, und du vielleicht ein Einreiseverbot bekommst

Nico schrieb am 29.05.2014 um 14:07

zum kopfschütteln. Hätte lange vorher angekündigt werden müssen imo. Ich hoffe truecrypt kommt in alter form irgendwie zurück.

xyto schrieb am 29.05.2014 um 14:54

Vermute auch eine "3 letter agency" dahinter :mad: :rolleyes:

Um Umstieg auf Bitlocker? Das soll wohl ein Witz sein....

NeM schrieb am 29.05.2014 um 21:16

Google Cache hat anscheinend truecrypt.org "vergessen" und archive.org hat mir auch grade den Zugriff auf eine alte Version "blocked"... wtf :confused: