Entwicklung von Truecrypt eingestellt

Wenn man die Entwicklerseite von Truecrypt besucht so erhält man einen Hinweis das die Entwicklung eingestellt wurde weil die Software unsicher sei.

Zudem wird eine neue Version bereit gestellt (7.2) die man nutzen soll um vorhandene Verschlüsselungen entfernen zu können.

Desweiteren wird empfohlen nun die Bitlocker-Verschlüsselung von Microsoft einzusetzen.



Das lässt viel Freiraum für Spekulationen und Verschwörungs-Theorien. :)

Ja dann bring mal eine ein...

@semtex

semtex schrieb:Das lässt viel Freiraum für Spekulationen und Verschwörungs-Theorien.

Find ich nicht!
Welche sollten das sein?

Wieso sollte eine Verschlüsselung mit TrueCrypt unsicher sein?Meine HDDs sind alle mit AES verschlüsselt.Wüsste nicht wie man die entschlüsseln könnte...

Den Haustürschlüssel find ich wichtiger.

semtex schrieb:Wenn man die Entwicklerseite von Truecrypt besucht so erhält man einen Hinweis das die Entwicklung eingestellt wurde weil die Software unsicher sei.

Dass die Weiterentwicklung eingestellt wurde, kann gut sein. TrueCrypt ist aber sicher sicherer als die Alternativen dazu. Dass die Entwicklung eingestellt wurde, interpretiere ich jetzt eigentlich eher so, dass TC wohl "zu" sicher war. Es gibt mehrere Fälle, bei denen es staatlichen Behörden nicht gelungen ist, an die mittels TC verschlüsselten Daten zu gelangen.

semtex schrieb:Desweiteren wird empfohlen nun die Bitlocker-Verschlüsselung von Microsoft einzusetzen.

Falls diese Aussage wirklich von den Entwicklern von TC kommt, dann könnte ich mir schon vorstellen, dass da mit Druck und/oder Geld nachgeholfen wurde. Wer das jetzt für eine paranoide Verschwörungstheorie hält, der soll sich mal mit der Geschichte von PGP befassen.

Einige sehr mächtige Institutionen würden nur zu gerne überall mitlesen. Dass die Weiterentwicklung von TC eingestellt wurde, könnte schon auf diese Bestrebungen zurück zu führen sein.

Emodul

Ich frag mich, ob es überhaupt notwendig ist, Daten die von A nach B wandern zu entschlüsseln.
Die machen das heute doch über backdoors und bekommen direkt Zugriff auf den Rechner, oder wie läuft das?

Also angenommen da ist ein Bankräuber bekannt und er muss überwacht werden, benutzen die
doch staatlich organisierte backdoors über irgendwelche Anwendungen.

@emodul

und offiziell heisst es eigentlich truecrypt wäre zu unsicher...

Orbiter... schrieb:Ich frag mich, ob es überhaupt notwendig ist, Daten die von A nach B wandern zu entschlüsseln.
Die machen das heute doch über backdoors und bekommen direkt Zugriff auf den Rechner, oder wie läuft das?

Das ist sicher die einfachste Methode, einfach sämtliche Tastatureingaben mitzuloggen. Theoretisch wäre das auch über die Hardware alleine realisierbar, so dass es im OS gar keine Hintertüren braucht.

Emodul

Naja... das ist kompliziert und so manches ist geheim. Besser man weiss es nicht lol....
Deswegen bin ich mal raus aus dem thread...

Der erste Satz auf truecrypt ist natürlich aufgelegt:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

;)

http://truecrypt.sourceforge.net/

Also dieses Vorgehen ist bei so einer Software nicht normal. Man kann so was nicht mit ein paar nichts sagenden Sätzen beenden.

Es gibt derzeit verschiedene Spekulationen:

- Die Seite wurde von außen gehackt und verunstaltet und mit der Bitlocker Empfehlung macht sich der Angreifer nur lustig

- Es gab internen Streit im Entwicklerteam, einer ist dann durchgedreht und versucht auf eigene Faust irgendwas zu erreichen

- Die TC Entwickler wurden von der Regierung unter Druck gesetzt und zur Schließung gerichtlich gezwungen und aufgrund einer Verschwiegenheitsverpflichtung, versuchen sie mit der absurden Bitlocker Empfehlung ein Hinweis darauf zu geben (siehe Lavabit Fall).



Jedenfalls macht das ganze kein Sinn. Die Community nimmt Bitlocker nicht mal ernst, alle glauben dass die Scheiße NSA verseucht ist.
Wieso sollten die TC Entwickler so was empfehlen?
Warum kann man TrueCrypt nicht mehr herunterladen? Es steht nur eine eingeschränkte Version zu verfügung. So was ist überhaupt nicht üblich.

Außerdem wird ja praktisch nichts erklärt. Welche Sicherheitslücken? Man kann Lücken schließen?

Die ganze TC Webseite samt Dokumentation und alles ist verschwunden.
Die Vermutung liegt nahe das es irgendeine Verunstaltung von außen ist.

Da es bis jetzt keine Stellungnahme auf einem anderem Kanal gibt gehe ich davon aus das Ende von Truecrypt tatsächlich wahr ist und Werte auch den Bitlocker Hinweis als Wink mit dem Zaunspfahl das die dazu gezwungen wurden.

@behind_eyes

Und die eingeschränkte Version 7.2 die neu compiliert wurde, soll mit dem richtigen Schlüssel signiert sein.

Nach über 12 Std. hätte es eigentlich eine offizielle Erklärung geben müssen.

Im Heise Forum kommen viele aktuelle Informationen zusammen:
http://www.heise.de/security/news/foren/S-Warnung-auf-offizieller-Seite-Truecrypt-ist-nicht-sicher/forum-280432/list/

http://www.heise.de/security/meldung/Warnung-auf-offizieller-Seite-Truecrypt-ist-nicht-sicher-2211037.html

#nsa!

Die Sicherheit von TC wurde ja in letzter Zeit massiv in Frage gestellt. Es gab Bestrebungen TC zu untersuchen und in diesem Zusammenhang hat man wohl auch den Kontakt zu den Entwicklern gesucht. Mir erschien das etwas seltsam, dass man die Entwickler kennen lernen wollte, obwohl TC ja im Quellcode vorliegt.

Wie auch immer, ich kann mir gut vorstellen, dass die Entwickler den Fehler gemacht haben, bei diesen Audits mitzumachen und in diesem Prozess ihre Anonymität verloren haben. Als ihre Identität einmal bekannt war, war es wohl einfach, sie entsprechend unter Druck zu setzen.

Emodul

Also ich erkenne da schon ein paar Wiedersprüche.

Erst heisst es, "es sei nicht sicher" und jetzt soll der Entwickler "angeblich sein Interesse" verloren haben.

http://www.heise.de/newsticker/meldung/Ende-von-Truecrypt-Entwickler-hat-angeblich-Interesse-verloren-2211228.html

Ich kann mir gut vorstellen, dass die Behörden da ihre dreckigen Finger im Spiel hatten. Vermutlich weil True Crypt noch immer nicht so einfach für die zu knacken ist.

@emodul

emodul schrieb:Es gab Bestrebungen TC zu untersuchen und in diesem Zusammenhang hat man wohl auch den Kontakt zu den Entwicklern gesucht. Mir erschien das etwas seltsam, dass man die Entwickler kennen lernen wollte, obwohl TC ja im Quellcode vorliegt.

Es kann sehr mühselig sein, sich in einen großen Quellencode einzuarbeiten. Das man Kontakt zu den Entwicklern sucht, ist eigentlich normal.
Es ging um Email Kontakt. Das kam nicht mal zustande, es gab keine Antwort.

Die Überprüfung von TC ist noch nicht fertig. Es ist in zwei Phasen aufgeteilt. Die erste Überprüfung ist abgeschlossen, die zweite folgt noch.


@Regenerate

Regenerate schrieb:Erst heisst es, "es sei nicht sicher" und jetzt soll der Entwickler "angeblich sein Interesse" verloren haben.

Ich glaube das eine schließt das andere nicht aus. Es ist offenbar unerwünscht das TC von anderen weiter entwickelt wird, es heißt, nur das TC Team würde den Code ausreichend gut kennen.
Und wenn TC nicht weiter gepflegt wird, werden zukünftige Sicherheitslücken nicht mehr geschlossen und das war vielleicht Grund genug, TC als potenziell unsicher zu bezeichnen.

Das TC Team ist sowieso etwas sonderbar. Können anscheinend nicht mal ein ordentlichen Abschied schreiben und Klartext reden :D
Wenn die Story denn so stimmt.

Normalerweise haben Entwickler, die viele Jahre an einer Software gearbeitet haben, eine gewisse emotionale Bindung an ihr Baby :D
Hinzu kommt das TC auch von Millionen anderen Menschen geschätzt wird.

Und dann, klatschen die da ein zwei irritierende Sätze hin und beenden das Projekt? Hmja, entweder die TC Entwickler sind sehr sonderbare Menschen oder das ganze ist einfach ein schlechtes Theater.

Das sie ernsthaft auf ihrer Website Bitlocker als Alternative vorschlagen sieht eher nach einen verdeckten ''Hilfe, die Typen halten mir eine Pistole in den Rücken''-Ruf aus.

Ich meine MS geht Hand in Hand mit der NSA. Ihre Beziehung ist so weit das die NSA von MS sogar ein paar Schlüssel für MS Einrichtungen bekommen hat....

Hier ein kleines Video dazu von Semper Video, er erklärt kurz die Story hinter dem Ganzen und nennt auch ein Paar der Möglichkeiten warum das passiert ist. Natürlich noch offenem Ausgang und er will die komplette Sicherheitsüberprüfung, die momentan stattfindet, abwarten.

https://www.youtube.com/watch?v=TtMILYcwrCM (Video: TrueCrypt gehackt)

grad gefunden

Was stand auf der Seite von TrueCrypt?
"Using TrueCrypt is not secure as it may
contain unfixed security issues"

Jetzt die anfangsbuchstaben isolieren:

"uti nsa im cu si"

google translator (latein > englisch)

Ist es noch zufällig dass dieses rauskommt?

"If I wish to use the NSA"

quelle : http://www.heise.de/security/news/foren/S-Experts-Find-11-Issues-in-TrueCrypt-but-No-Backdoors-or-Malicious-Code/forum-280432/msg-25294139/read/