1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › NSA-Skandal: Ein Viertel der…

Kann man TrueCrypt eigentlich vertrauen?

  1. Thema

Neues Thema Ansicht wechseln


  1. Kann man TrueCrypt eigentlich vertrauen?

    Autor: lisgoem8 14.07.13 - 16:46

    Kann man TrueCrypt eigentlich vertrauen?

    Schliesslich wird es ja von Ex NSA Mitarbeitern entwickelt.

    So hiess es jedenfalls damals mal.

    Aber kann man der Software wirklich glauben, die sich bis in den Bootsektor "einnisten" kann?

  2. Re: Kann man TrueCrypt eigentlich vertrauen?

    Autor: posix 14.07.13 - 18:05

    Natürlich, ebenso kannst du die Sourcen des Programms runterladen, prüfen und selbst kompilieren nach Belieben.
    Bei der Menge die das Programm nutzt wird da sehr genau drauf geschaut, davon kann man ausgehen.

    Das Ex-NSA Mitarbeiter dort beteiligt sind, ist mir unbekannt.

    Ohne Bootsektor kann keine PreBoot Authentification umgesetzt werden. Besonders relevant bei Verschlüsselung des ganzen Systems. In diesem Sinne ist das völlig in Ordnung.

  3. Re: Kann man TrueCrypt eigentlich vertrauen?

    Autor: Stummi 15.07.13 - 11:12

    > Bei der Menge die das Programm nutzt wird da sehr genau drauf geschaut,
    > davon kann man ausgehen.

    Das Problem ist, dass jeder user sich darauf verlässt, das andere user das schon für ihn prüfen. Wer sich sicher fühlen will, dem bleibt nichts anderes übrig, den Code *selbst* zu auditieren.

  4. Re: Kann man TrueCrypt eigentlich vertrauen?

    Autor: MickeyMiner 15.07.13 - 11:56

    OK, nehmen wir an, jemand (die Community) hat den Sourcode tatsächlich geprüft und nichts verdächtiges gefunden. Woher nehmen wir aber die Sicherheit, das die TrueCrypt.exe wirklich von diesem "sauberen" Sourcecode kompiliert wurde?

  5. Re: Kann man TrueCrypt eigentlich vertrauen?

    Autor: KingTobi 15.07.13 - 15:41

    MickeyMiner schrieb:
    --------------------------------------------------------------------------------
    > OK, nehmen wir an, jemand (die Community) hat den Sourcode tatsächlich
    > geprüft und nichts verdächtiges gefunden. Woher nehmen wir aber die
    > Sicherheit, das die TrueCrypt.exe wirklich von diesem "sauberen" Sourcecode
    > kompiliert wurde?

    Hashes.

  6. Re: Kann man TrueCrypt eigentlich vertrauen?

    Autor: blq 15.07.13 - 17:25

    selber kompilieren ;-)

  7. Re: Kann man TrueCrypt eigentlich vertrauen?

    Autor: Morpf 17.07.13 - 01:57

    Nope, es ging darum ob der Code aus dem beigelegten Quellcode stammt. Da helfen Hashes kein Stück. Man könnte ja auch einfach den Hash einer hypothetischen nicht aus den Quellen stammenden truecrypt.exe auf der Webseite angeben.

  8. Re: Kann man TrueCrypt eigentlich vertrauen?

    Autor: ThinkaboutIt 24.07.13 - 13:28

    TrueCrypt ist aus folgenden Gründen als äußerst kritisch zu bewerten:
    1. Der Verbreitungsgrad ist gigantisch. Folglich wird das Interesse einschlägiger Institutionen ebenso gigantisch sein. Man wird keine Kosten und Mühen scheuen, die Sicherheit von TrueCrypt zu unterwandern.
    2. Jeder verlässt sich darauf, dass schon irgendwer mit Kompetenz geprüft hat, ob der Quellcode in Ordnung ist.
    Wer ist kompetent?
    Wer bereits einmal in einer Informatikklausur die Exaktheit einer While Schleife Formal nachweisen durfte, kann sich vorstellen, wie unendlich schwierig es ist (zurzeit ist es UNMÖGLICH), den durchaus komplizierten Quellcode von TrueCrypt wirklich zu analysieren. Dabei genügt es keinesfalls, sich auf die eigentlichen Verschlüsselungsroutinen zu konzentrieren. Hinter jeder Kombination aus Funktionsaufrufen kann ein verdeckter Kanal stecken, der die durchaus einwandfreie Umsetzung der AES Routinen kompromittiert. Und mal ehrlich, warum sollte einer der äußerst dünn gesäten Experten seine KOSTBARE Zeit opfern und den unkommentierten Spaghetti Code von TrueCrypt untersuchen.
    3. Wer steckt hinter TrueCrypt. Recherchiert bitte selbst. Man wird keine Namen finden.
    4. Wer darf sich zu dem erwählten Kreis der Entwickler von TrueCrypt zählen? Anfragen von Entwicklern, die dem Kernteam beistehen wollen, bleiben ohne jede Reaktion.
    5. TrueCrypt ist nicht wirklich OpenSource! TrueCrypt ist weder freie Software noch entspricht sie der Open Source Definition (http://de.wikipedia.org/wiki/TrueCrypt)
    6. TrueCrypt ist komplex. Der zugrundeliegende Kern der Anwendung (Dateisystemtreiber, Filtertreiber) erfordert erhebliches Know-How und spezielle Werkzeuge, die man nicht eben für ein paar EURO/USD erwerben kann. Investitionen in Hard- und Software gehen in die Zehntausende. Zusammen mit Ausbildung un Arbeitszeit dürfte man bei mindestens 100.000K liegen. Spenden werden jedoch erst seit relativ kurzer Zeit erhoben. Woher kam davor das Geld für Ausbildung, Tools und Hardware?
    7. Die Einsehbarkeit der Quellen bringt nicht nur die theoretische Möglichkeit, in der Doktorarbeit einige Passagen der Software zu untersuchen, sondern bietet auch den weniger Guten in der Branche einen reichhaltigen Fundus möglicher Ansatzpunkte für einen Angriff zu finden.
    Wie stehle ich die Schlüssel während der Eingabe in TrueCrypt? Nichts einfacher als das! Eine kleine Anwendung, die im Hintergrund das Auftauchen von Fenstern überwacht. Der Quellcode von TrueCrypt sagt uns, dass wir mit einem simplen Timer und der Funktion GetDlgItem auf die Identifier 1004 und 1035 achten müssen, Tauchen diese auf, injiziert man eine winzige DLL in TrueCrypt. Diese liest mittels SendMessage und WM_GETTEXT, das Passwort in Echtzeit aus dem Eingabefeld und sendet dieses an unsere verborgene Basisanwendung. Wir haben TrueCrypt jetzt das Passwort gestohlen. Mehr brauch man nicht. Hier muss keine Verschlüsselung mehr geknackt werden! So ein Programm schreibt ein versierter und motivierter Fachmann innerhalb von 30 Minuten! Warum? Weil er im Quellcode von TrueCrypt lesen kann, wie in einem offenen Buch!!! Dieses Spähprogramm kann individuell zugeschnitten werden, im Schlepptau einer Such-Toolbar auf das System gelangen und wird wahrscheinlich für sehr lange Zeit durch kein Antivirenprogramm der Welt erkannt.

    Ist kommerzielle Software sicherer? Trau, schau, wem! Persönlich würde ich gerade aufgrund der jüngsten Ereignisse ausschließlich auf WIRKLICH deutsche Projekte setzen. Kein China, kein Frankreich, kein England und erst recht keine USA. Hierzulande gibt es wenige Gründe (außer gnadenlose Dummheit vielleicht), die eine Firma dazu bewegen könnten, eine Backdoor einzubauen. Kein Gesetz verlangt dies und rechtlich kann man eine solche Firma theoretisch sogar belangen. Darüber hinaus dürften meist echte Fachleute zugange sein, die zumindest gut dafür bezahlt werden, dass das Programm untersucht und kontinuierlich weiter entwickelt wird. So Leid es mir tut, muss man im Augenblick von jungen Startups in diesem Bereich eher abraten. Es sei denn, man weiß, wer die Geldgeber sind ;-)

  9. Re: Kann man TrueCrypt eigentlich vertrauen?

    Autor: Atalanttore 07.09.13 - 02:58

    ThinkaboutIt schrieb:
    --------------------------------------------------------------------------------
    > Ist kommerzielle Software sicherer? Trau, schau, wem! Persönlich würde ich
    > gerade aufgrund der jüngsten Ereignisse ausschließlich auf WIRKLICH
    > deutsche Projekte setzen.

    Du hast aber ein Vertrauen in ein Land das meilenweit im Ar*** der USA steckt. Die NSA-Spionageaffäre wurde zwar offiziell für beendet erklärt, aber wie viel die Zusicherung der NSA tatsächlich wert ist, sieht man spätestens beim nächsten Industriespionagefall.

    > Hierzulande gibt es wenige Gründe (außer gnadenlose
    > Dummheit vielleicht), die eine Firma dazu bewegen könnten, eine Backdoor
    > einzubauen. Kein Gesetz verlangt dies und rechtlich kann man eine solche
    > Firma theoretisch sogar belangen.

    Woher weißt du, dass es in der BRD keine Geheimgesetze gibt, obwohl beim großen Bruder USA Geheimgesetze und -gerichte an der Tagesordnung sind?


    > Darüber hinaus dürften meist echte
    > Fachleute zugange sein, die zumindest gut dafür bezahlt werden, dass das
    > Programm untersucht und kontinuierlich weiter entwickelt wird.

    Bei einem gewinnorientierten Unternehmen ist das nicht immer der Fall.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Informatiker/in, Wirtschaftsinformatiker/in o. ä. (w/m/d)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Braunschweig
  2. Produktmanager Machine Vision Software (m/w/d)
    STEMMER IMAGING AG, Puchheim bei München
  3. IT Engineer (d/m/w) Equipment Integration
    OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg
  4. Backend Entwickler TYPO3 (w/m/d)
    DMK E-BUSINESS GmbH, Chemnitz, Berlin-Potsdam, Köln

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€
  2. 599,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de