Entwicklung von Truecrypt eingestellt

Wenn ihr wüsstet wie True Crypt Daten verschlüsselt dann wäre hier gar keine Diskussion darüber nötig. Und die Entwickler werden jetzt halt keinen Bock mehr drauf haben sich kostenlos weiter damit zu beschäftigen...

@sybert
Wenn ich wüsste was du mit deinem Posting meinst, dann müsste ich hier jetzt nicht diese Frage stellen, was du denn mit deinem Posting meinst.


@I_Motion
Interessant, werde ich mir auch mal anschauen.

Btw. @all für kurze Zeit verschenkt hier Steganos nun die Ver.14 seiner "Safe" Software die ähnliche Features anbietet. http://www.chip.de/downloads/Vollversion-Steganos-Safe-14_58015435.html

Man bekommt da bei Eingabe einer Email, eine kostenlose Seriennummer ohne jegliche Registrierung zugeschickt.

Ist zwar closed source klar dass man sich nicht allein auf das verlassen darf. Aber was ich auch gedacht habe, wenn man bei bestimmten Daten wirklich auf Nummer sicher gehen will, verschlüsselt man einfach eine Datei mit mehreren Anbietern, damit spielt keine Rolle ob das nun closed source ist oder nicht, sofern man verschiedene Passwörter benutzt. Es reicht dann wenn eines der verwendeten Programmen dann sicher ist. Selbst wenn bei einer Verschachtelung z.B. 3 von 5 komprommitiert sind, scheitert der Hack an den 2 sicheren.

Das hat mich auch schon an der mutmaßlichen Denkweise (man weiss nicht wer genau das geschrieben hat) des TC Teams gestört. Sie wissen es nicht ob die Software unsicher ist und vermuten es nur. Wieso also das Risiko eingehen und die Daten ent-schlüsseln und woandern in eine garantiert unsichere Umgebung zu verschieben (Closed source) wenn man die doch im verschlüsseltem Zustand von TC z.B. in Bitlocker kopieren.... Oder besser Steganos usw. kopieren kann

Das wäre dann OK und würde die Sicherheit wie oben beschrieben verdoppeln bzw die Wahrscheinlichkeit dass es nicht gehackt werden kann X-mal vervielfachen.

sybert schrieb:Und die Entwickler werden jetzt halt keinen Bock mehr drauf haben sich kostenlos weiter damit zu beschäftigen...

Unwahrscheinlich, und wenn ja dann verstehe ich diese fast schon panisch zusammengeschusterte Webseite mit einer dubiosen Version 7.2 nicht, mit der man einfach nur "aussteigen" kann, nicht zu vergessen die unverständlichen Anweisungen bzw. Bitlocker und die Screenshots aus dem MacOS wo die einfach mal "vergessen" haben eine Verschlüsselungsart zu wählen. Stattdessen stand da "none". also "keine"

Das Design und die ganzen Daten an sich konnten doch bleiben, wie gesagt sie wussten es selber nicht genau, es war nur eine Vermutung.

Alles was ausreichen würde wäre eine kurze Notiz an die Homepage.

I_Motion schrieb:Ich bin der Frage auch etwas nachgegangen und habe außerdem eine Suche nach einer Alternative
angestoßen, die sich ab jetzt benutzen lässt.
Dabei bin ich auf "Veracrypt" gestoßen, ein Fork, wenn man so will, von Truecrypt, jedoch mit einer nochmals weitaus stärkeren Verschlüsselung.

Im Normalfall wird ja auch nicht die Verschluesselung geknackt sondern irgendein Modul zwischen User und verschluesselten Daten. In dem Fall haette Veracrypt vermutlich dieselbe Sicherheitsluecke.

@McNeal
Ne DAU-Protection^® hat eben noch keiner erfunden. :troll:

Wenn ich so manche Kritik höre, werden immer sehr hohe und sehr unrealistische Anforderungen gestellt, oder seltene Begebenheiten als Beispiele genannt, wenn speziell an TrueCrypt irgendwas bemängelt wurde. Das verzerrt das Bild natürlich für Leute die das gleich pauschal als unsicher betrachten nur weil ein Artikel besteht der es in kleinste Details zerpflückt und solche Szenarien entwickelt.


Klar kann man das Password wohl z.B. aus dem RAM Speicher auslesen oder auf andere Arten wenn man physischen Zugang zum Rechner hat. Oder sich ein Virus auf dem System befindet.

Von Keyloggern auf Fremdrechnern oder sogar auf eigenen Rechnern, Videoüberwachung in dem Raum wo man das Password eingibt, oder andere Gefahren muss glaub ich keine Rede sein, denn das ist klar. Und wenn das Geheimniss so enttarnt wird hilft nichtmal die beste Software.

Damit irgendwelche Geheimagenten (so wie es z.B. in einem Blog dargestellt wurde) an der Tür klopfen und einer von denen gleich zum Rechner mit dem Kältespray läuft um die Daten im RAM-Speicher nach dem ausschalten zu erhalten um das gecachte Password später in einem Labor auszulesen, muss man wohl schon Staatfeind Nr. 1 sein. :troll:

Und diese werden dann sicherlich entsprechende Gegenmaßnahmen ergreifen.

Von daher denk ich, ja sicherlich gibt es tricks vor allem bei laufenden Systemen... denn wo irgendwas läuft impliziert dass auch (wenn auch nur temporär) irgendwas entschlüsselt werden muss damit das System arbeiten kann und dafür muss eben im Speicher der Schlüssel vorhanden sein, aber eine rein mobile Festplatte die man offline verschlüsselt, und die evtl. beschlagnahmt/geklaut wird oder Ähnliches wird meiner meinung nach so ohne weiteres nicht so einfach geknackt werden können..

Außer eben mit der gewöhnlichen Brute Force Methode (so lange probieren bis es klappt) und die kann je nach Passwordkomplexität und Leistung des Rechners, auch locker paar Jahre bis Jahrtausende betragen.

Es gibt auch noch Invisible Secrets von East-Tec. Das Programm kann encrypten und decrypten als auch Steganographie.

http://www.invisiblesecrets.com/

kostet allerdings 39.95$ haben aber 60 Tage Geld zurück Garantie.

@the_georg
Bruteforce klappt ja eben bei den Verschlüsselungsmethoden nicht.Die Methoden sind so entwickelt dass man jedes Passwort verwenden kann.Bei den falschen bekommst du Datenbrei und bei dem einen richtigen passts.Das Bruteforcen würde dir nach Eingabe des ersten Passwortes sagen es hätte den Pass gefunden.
Und nur mal am Rande kann das Bruteforcen bei relativ einfachen Passwörtern mit 15 Zeichen Milliarden Jahre dauern. (http://www.1pw.de/brute-force.html)

@sybert
Müsste man natürlich eine Erkennung einbauen die bei "Datenbrei" einfach weiter macht, bis irgendwas "bekanntes" wie z.B. ein Dateisystem vorkommt.

the_georg schrieb:Damit irgendwelche Geheimagenten (so wie es z.B. in einem Blog dargestellt wurde) an der Tür klopfen und einer von denen gleich zum Rechner mit dem Kältespray läuft um die Daten im RAM-Speicher nach dem ausschalten zu erhalten um das gecachte Password später in einem Labor auszulesen, muss man wohl schon Staatfeind Nr. 1 sein. :troll:

Ein Flachzange für 2 Euro ist vermutlich ausreichend. Spätestens wenn einem der zweite Fingernagel ausgerissen wird, teilt man das Passwort sicher "freiwillig" mit.

Emodul

@emodul
Stimmt auch, aber in solchen Fällen wie z.B. Snowden nicht machbar, da er schneller war.

sybert schrieb:Bruteforce klappt ja eben bei den Verschlüsselungsmethoden nicht.

Das waere eine Sensation :)

@the_georg
Seit Snowden haben wir aber die traurige Gewissheit, dass all diese Dinge auch in der Praxis Anwendung finden. Wobei ich solche Methoden eigentlich garnicht meinte. Normalerweise passiert genau das, was bei heartbleed passiert ist. Irgendwo ist ein kleiner Fehler im Code wo ein Exploit ansetzen kann und dann hat man flaechendeckend Zugriff.
Meine Argumentation zielt auch eher darauf ab Truecrypt zu verwenden anstatt wild nach Alternativen zu suchen. Ohne eine konkrete Sicherheitsluecke gibt es keine Veranlassung dazu.

@McNeal
@the_georg
@emodul
@sybert
@Regenerate
@I_Motion
@O.G.
@Zeo
@semtex
Mal ne ganz pragmatische Frage: wie Merkt ihr euch eure Passwörter?
Schreibt ihr die euch auf? Also mit Papier/Bleistift?
Oder vertraut ihr eure Passwörter einer Software an?

Und wie geht man mit so einer Software um?

@Negev
Das Passwort für TrueCrypt existiert nur in meinem Kopf. Es ist über 20 Zeichen lang und beinhaltet Groß/Klein-Schreibung, sowie Zahlen und Sonderzeichen.

Unter den dort verschlüsselten Files gibts ein Dokument, das ebenfalls passwortgeschützt ist und alle anderen Passwörter enthält.

Zeo schrieb:Unter den dort verschlüsselten Files gibts ein Dokument, das ebenfalls passwortgeschützt ist und alle anderen Passwörter enthält.

Dann müsste man in Deinem Fall dem Vorschlag von @emodul folgen. Oder die Hardware deines Rechers etwas anpassen. Es sollte für jemanden, der wirklich Interesse an Deinen Por, sorry, an Deinen Daten hat, keine allzu große Herausforderung sein, an diese zu gelangen.
Damit will ich nicht die Notwendigkeit einer Verschlüsselung anzweifeln - nur ganz so paranoid muss es wohl nicht sein. Oder?

kleinundgrün schrieb:Damit will ich nicht die Notwendigkeit einer Verschlüsselung anzweifeln - nur ganz so paranoid muss es wohl nicht sein. Oder?

Wieso nicht? Wenn du sagst, dass das immer noch nicht ausreichen würde, kann es gar nicht paranoid genug sein. Wenn mich jemand foltert, hab ich das Passwort eben im Schock vergessen. ^^

Da gibts ja immernoch die Sponagechips aus China :D...
*setzt aluhut wieder auf*

Zeo schrieb:Wenn du sagst, dass das immer noch nicht ausreichen würde, kann es gar nicht paranoid genug sein.

Ich meine damit, dass in Deinem Fall nicht die Verschlüsselung selbst das Problem ist, das ein potentieller Angreifer bewältigen müsste. Selbst wenn Du deren Effektivität noch erhöhst, indem Du ein 40-stelliges PW benutzt und zwei verschiedene Methoden der Verschlüsselung bemühst, hast du noch immer nichts gegen die Gefahr getan, dass Deine Daten auf andere Weise gelesen werden.

Um das mal mit einem Beispiel zu verdeutlichen:
Du hast Dir eine Sicherheitstür mit fünf Schlössern und einem Stahlband zugelegt. Aber Deine Fenster sind noch immer die selben.
Was ich damit sagen will: Es ist eher unsinnig, einen Bereich besonders zu sichern, wenn andere Bereiche diesem Standard nicht entsprechen. Es wäre nicht sinnvoll, an Deiner Tür noch weitere Stahlbänder anzubringen, weil die Tür am einem bestimmten Punkt nicht mehr das Ziel der Einbrecher ist.

@kleinundgrün
Und was sollte ich deiner Meinung noch verbessern? Ich hab schon die meistmöglichen Windows-Spygeschichten abgedreht, unnötige Dienste beendet und nutze die Bildschirmtastatur von Kaspersky Internet Security gegen Keylogger.

@Zeo
Wäre ich auf Datenschutz aus, würde ich nicht mit einem Windowsrechner durchs Internet surfen...

@Negev
Ich weiß, dass das nicht gerade optimal ist. Deswegen mach ich alles, was sonst noch möglich ist.

Zeo schrieb:Und was sollte ich deiner Meinung noch verbessern?

Du verstehst mich falsch. Ich habe lediglich ausdrücken wollen, dass eine allzu paranoide Ausgestaltung eines Angriffsweges wenig sinnvoll ist, wenn andere Angriffswege noch vorhanden sind.
Deine Verschlüsselung ist sicher super und sehr wahrscheinlich wird diesen Weg kein Angreifer erfolgreich beschreiten können. aber Dein Sicherheitsniveau würde vermutlich nicht sinken, wenn Du nur ein 10stelliges PW hättest. Oder?

Dein Hauptschutz ist, dass Du in der Masse unter gehst. Wenn Du eine einigermaßen gute Verschlüsselung benutz, die besser ist, als die der meisten anderen, macht sich keiner die Mühe, ausgerechnet Dich auszuspionieren.

Du kennt Doch den Witz mit den beiden Touristen, die von einem Löwen verfolgt werden?