Truecrypt

stonefred

Aktives Mitglied
Thread Starter
Dabei seit
20.11.2007
Beiträge
10.765
Reaktionspunkte
8.543
Es gibt in der Bar noch kein Truecryptthema. Zur Erinnerung: in 2014 wurde das Opensource Projekt ja unter ominösen Umständen eingestellt. Der Sourcecode wurde auditiert und Truecrypt galt offiziell als "sicher". Hier zum Nachlesen (Quelle: Zeit) und hier zum zweiten Audit des Source Codes (Quelle: Golem)

Heute bin ich über eine neue Schlagzeile gestolpert, die sich anhört wie ein Aprilscherz: "Paul Le Roux: Der Truecrypt-Erfinder, ein Drogenbaron und Auftragskiller" (Quelle: Golem) Habe noch keine deutschsprachige seriöse Quelle (entschuldigung Golem Redaktion) gefunden, die das Thema aufgegriffen hat. Für mich klingt das wie eine Kampagne, um das Image des Programmierers und die von Truecrypt zu zerstören. Irgendwie von irgendjemanden gelenkt.

Wem nutzt es?

Auf jeden Fall ein interessantes Thema.
popcorn.gif
 
Also für mich zerstört das in keiner Weise das Image von TC.
Gerade als Drogenbaron habe ich doch ein Interesse, dass meine Software sicher verschlüsselt. :)
 
  • Gefällt mir
Reaktionen: Saloice
Interessant. :)

Letzter Absatz im Artikel:
Ungeklärt bleibt, wie weit Le Roux' Kooperation mit den amerikanischen Behörden geht und ob es einen Zusammenhang zwischen seiner Festnahme 2012, seiner Freilassung 2013 sowie der plötzlichen Einstellung von Truecrypt 2014 durch die damaligen anonymen Entwickler gibt.

Der sinnvollste Deal zwischen US Behörden und Le Roux wäre doch aber, tc weiter zu betreiben und den USA eine Backdoor einzubauen. Anstatt die Entwicklung einzustellen, oder? Würde aber Sinn machen, wenn nicht Le Roux, sondern andere Entwickler von tc von dem Deal Wind bekommen hätten und darauf hin tc eingestellt hätten. Ich habe das damals in Echtzeit mitverfolgt, war ein richtiger Krimi. :D
 
Auch wenn die Entwicklung nicht eingestellt worden wäre, könnten unabhängige Auditoren Backdoors finden oder etwa feststellen, dass Binarys und Sorucecode nicht zusammenpassen.

Die Geschichte ist wirklich spannend wie ein Krimi. Gibt es ja schon viele Romane, in denen Entwickler von starken Verschlüsselungstools durch Geheimdienste bekämpft werden. Bis jetzt immer nur Verschwörungstheorie oder Belletristik. Ähnlich wie der "Hinweis" auf der Truecryptwebseite gibt es einen "Kanarienvogel" bei Reddit, der jetzt nicht mehr singt. :)
 
Auch wenn die Entwicklung nicht eingestellt worden wäre, könnten unabhängige Auditoren Backdoors finden oder etwa feststellen, dass Binarys und Sorucecode nicht zusammenpassen.
Ja, mit gewissen Einschränkungen. tc war ja nie open source, sondern proprietär. Da lässt sich leichter etwas verstecken. Und wie lange es dauert (wenn überhaupt), Schwachstellen (oder Backdoors etc.) selbst in OSS zu finden, zeigen Fälle wie z. B. heartbleed.
 
die lizenz war nicht open source, der quelltext war aber vorhanden und wurde ja auch immer schön genutzt.

heartbleed oder shellshock zeigen doch nur, dass man irgendwann anfing zu glauben, irgendwer wird schon irgendwann mal diesbzgl. reinschauen. das ändert sich ja gerade auch wieder, siehe libressl oder plattformen wie hackerone.com.
 
Zuletzt bearbeitet:
Ja, die Lizenz ist ja auch der Grund warum das Truecryptprojekt schlecht geforkt werden kann. Wäre schön, wenn die Communitiy dies für die Zukunft berücksichtigen würde. Ansonsten werden wir abhängig von Firmen oder Onemanshows, die jederzeit ihre Strategie ändern können.
 
  • Gefällt mir
Reaktionen: Willeswind
Ja, die Lizenz ist ja auch der Grund warum das Truecryptprojekt schlecht geforkt werden kann. Wäre schön, wenn die Communitiy dies für die Zukunft berücksichtigen würde. Ansonsten werden wir abhängig von Firmen oder Onemanshows, die jederzeit ihre Strategie ändern können.
Siehe Post 2, es gibt längst einen Open Source Fork. Kann natürlich sein dass Du mich ignoriest :)
 
Und? Hast Du Dir die Lizenzbedingungen mal angesehen?
Aus deren FAQ:
https://veracrypt.codeplex.com/wikipage?title=FAQ

Will VeraCrypt be open-source and free forever?
Yes, it will. We will never create a commercial version of VeraCrypt, as we believe in open-source and free security software.

Nachtrag:
https://veracrypt.codeplex.com/wikipage?title=VeraCrypt License

Alles klar?
 
>Alles klar?
mir schon, aber dir vermutlich nicht. du verlinkst halt jetzt die langfassung.

»We will never create a commercial version of VeraCrypt«
genau das könnte er nämlich nicht, solange die tc license drin steckt (siehe Eric Young).
und wegen letzterer ist umstritten, ob veracrypt als open source durchgeht.
 
Also liegt doch der Quellcode offen und darf verändert werden. Was willst Du mehr?
Sieh Dir doch mal Punkt 4 der TC-Lizenz an.

Ich finde es merkwürdig wenn man einen "Nachfolger" so verunglimpft. Aber egal, Du musst es ja nicht nutzen.
Meinen Hinweis konnte ich abgeben und bin dann wieder weg. Solche Diskussionen unterstütze ich nicht.
 
Also für mich zerstört das in keiner Weise das Image von TC.
Gerade als Drogenbaron habe ich doch ein Interesse, dass meine Software sicher verschlüsselt. :)
Das war auch mein Gedanke. Das wird allenfalls ein schlechtes Licht auf die Person, aber bei einem solchen Produkt nicht unbedingt auf das Produkt... ;)
 
  • Gefällt mir
Reaktionen: mdiehl
Dass der Erfinder des beliebten Truecrypt (ich habe damit früher auch meine Rechner verschlüsselt) ein Verbrecher war, zeigt, dass es da eine Nähe gibt, die man thematisieren sollte. Besonders in der Diskussion um Datenschutz und den möglichen Zugriff von Sicherheitsbehörden auf Handys, PCs und andere Geräte sollte man das beachten. Ich persönlich möchte auf keinen Fall, dass sich Kriminelle auf dem Ticket "Schutz der Privatsphäre" einer Strafverfolgung entziehen können. Ich finde es wichtig, auch darüber nachzudenken anstatt reflexartig immer nur jeden möglichen Zugriff auf Daten zu verteufeln. Dass sich diebProblematik in Diktaturen (China, Iran, Türkei usw.) noch anders darstellt, ist mir dabei klar.
 
Ich persönlich möchte auf keinen Fall, dass sich Kriminelle auf dem Ticket "Schutz der Privatsphäre" einer Strafverfolgung entziehen können. Ich finde es wichtig, auch darüber nachzudenken anstatt reflexartig immer nur jeden möglichen Zugriff auf Daten zu verteufeln. Dass sich diebProblematik in Diktaturen (China, Iran, Türkei usw.) noch anders darstellt, ist mir dabei klar.
In der Sekunde, in der Du eine Instanz Zugriff auf alle Daten gewährst, hast Du eine Diktatur.
Es war und wird auch immer
Demokratie bedeutet, dass es eine gewisse Privatsphäre gibt (auch für Verbrecher)
 
  • Gefällt mir
Reaktionen: mdiehl und ProjectBuilder
Ich persönlich möchte auf keinen Fall, dass sich Kriminelle auf dem Ticket "Schutz der Privatsphäre" einer Strafverfolgung entziehen können.
Das wirst du in der Realität nicht verhindern können, also jetzt in Bezug auf Kryptographie und ähnliche Themen.
Verschlüsselung ist Mathematik - es ist eine abstrakte Idee. Das lässt sich nicht verbieten. Genauer gesagt, es lässt sich natürlich schon verbieten, aber das Verbot lässt sich nicht durchsetzen.

So sehr ich den Gedanken nicht mag, dass davon auch Terroristen, Kinderschänder und ähnlich wertvolle Mitglieder unserer Gesellschaft profitieren können, diese Probleme werden wir irgendwie anders lösen müssen.
 
  • Gefällt mir
Reaktionen: mdiehl
>diese Probleme werden wir irgendwie anders lösen müssen.

das ist aber genau der teil, der in einer gesellschaft mit privatsphäre nicht lösbar ist. das muss bis zu einem gewissen grad in kauf genommen werden und ist imho teil der gesellschaftlichen abmachung. es gibt nicht für alles eine lösung, auch keine technische und man kann nicht alles gleichzeitig haben.
 
Es gibt Neuigkeiten über Truecrypt:

BSI verschweigt Truecrypt-Sicherheitsprobleme
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2010 eine umfangreiche Analyse der Verschlüsselungssoftware Truecrypterstellen lassen. Die Ergebnisse landeten in der Schublade, die Öffentlichkeit wurde über die zahlreichen gefundenen Sicherheitsrisiken nicht informiert.
https://www.golem.de/news/verschlue...ruecrypt-sicherheitsprobleme-1912-145486.html

Urheber des BSI-Audits entwickelten Truecrypt-Abspaltung
Der Truecrypt-Audit des BSI, über den wir gestern berichtet hatten, stammte von den Firmen Sirrix - heute Rohde und Schwarz - und Escrypt. Sirrix entwickelte daraufhin einen Fork namens TrustedDisk, der als Open Source veröffentlicht werden sollte - was nie passiert ist.
https://www.golem.de/news/sirrix-urheber-des-bsi-audits-entwickelten-truecrypt-abspaltung-1912-145622.htm

@Difool @Ezekeel könnt Ihr bitte den Thread in die Techbar verschieben?
 
Zurück
Oben Unten