Auf der offiziellen TrueCrypt-Seite wird vor Verwendung von TrueCrypt gewarnt und die Migration auf das Microsoft-interne (!) Verschlüsselungssystem beschrieben.

Kann sich da jemand einen Reim drauf machen? Seite gehackt? US-Regierung Finger im Spiel?

http://truecrypt.sourceforge.net/

Siehe auch:
http://www.heise.de/newsticker/meldung/Warnung-auf-offizieller-Seite-Truecrypt-ist-nicht-sicher-2211037.html

Keine Ahnung, was sich dahinter verbirgt. Klingt ziemlich merkwürdig.

Hat die NSA etwa in einem geheimen Gerichtsbeschluss das Ende von Truecrypt erwirkt? Bei der Migration zu Bitlocker sollte bedacht werden, dass Microsoft als US Unternehmen gegebenenfalls dazu gezwungen ist, in Bitlocker Hintertüren einzubauen, um dem Staat Zugriff auf die verschlüsselten Daten zu gewähren. Daher werde ich auch weiterhin wenn möglich auf Truecrypt setzen. Sollte es wirklich so gewesen sein, und man hat in einem geheimen Verfahren Truecrypt verboten ist das für mich nur ein weiteres Indiz dafür, wie gut Truecrypt verschlüsselt. Da die aktuelle Version kompromittiert sein könnte, sollte weiterhin eine ältere Version benutzt werden, bis das geklärt ist. Womöglich wurde deren Server auch einfach gehackt oder man hat sich wirklich plötzlich für die Einstellung des Projektes entschieden. Ich kann nur hoffen, dass es mit der Entwicklung von Truecrypt weiter geht, immerhin hat auch das BSI dieses zuletzt zur Verschlüsslung empfohlen und ich halte es für eins der mächtigsten Waffen für die Verschlüsselung, welche wiederum die einzige effektive Methode zum Schutz der eigenen Daten im Netz ist.

Einige der größten Unternehmen Deutschlands schwören auf Bitlocker. Doch ich frage mich ob diese Unternehmen nicht das Risiko sehen, von der USA ausspioniert zu werden und dieses noch durch den Einsatz eines amerikanischen Betriebssystems samt deren Verschlüsselung erhöhen. Würde mich über so einiges nicht wundern, immerhin soll Microsoft der NSA sogar Zugriff auf Skydrive etc. (http://www.heise.de/newsticker/meldung/PRISM-Ueberwachungskandal-Microsoft-ermoeglicht-NSA-Zugriff-auf-Skype-Outlook-com-Skydrive-1916340.html) gewährt haben.
Stichpunkt: Wirtschaftsspionage

Ein Online Speicher der es mit der Datensicherheit ernst meint ver- und entschlüsselt clientseitig und zwar ordentlich. So ordentlich wie Truecrypt.

Möglicherweise letzte NSA-freie Version 7.1a: http://www.heise.de/download/c5caeed25a697c207f3f556cb31e347d-1401328013-2254826.html

Die neueste Version 7.2 kann ja nicht mal mehr verschlüsseln.

Da ich noch eine ältere Version installiert habe und verwende, (Auch portabel auf dem Stick) möchte ich die neue 7.2 erstmal gar nicht auf meinen Rechner loslassen. Die ist mir doch sehr suspekt.

Hier gibts ein paar mehr Infos:
http://steve.grc.com/2014/05/28/whither-truecrypt/

Was/wer genau dahinter steckt weiss man nicht, aber 7.2 scheint wohl offiziell zu sein (was nicht bedeutet dass die devs dazu nicht gezwungen wurden).

Ich halte ein zweites lavabit fuer sehr wahrscheinlich.

Version 7.2. enthält möglicherweise Malware bzw. es handelt sich um einen Fake! Nicht runterladen!

http://www.theregister.co.uk/2014/05/28/truecrypt_hack/

Possible malware served after SourceForge switcheroo


und die https-Version der Seite ist nicht erreichbar.

Wenn die US Behörden das Unternehmen / die Devs lahmlegen, kann man sich wohl sicher sein, dass die Software sicher ist. Moment, sagte ich gerade sicher? ;)

Bei Verschlüsselungs-Software benutzt man sowieso nie neue Versionen sofort - sondern läßt immer erst ein paar Wochen ins Land gehen und die anderen das testen ...

Zudem gilt: TC 7.1a hat in dem Sinne keine Fehler, wird also auf nahezu ewig funktionieren können.

Auf der offiziellen TrueCrypt-Seite wird vor Verwendung von TrueCrypt gewarnt und die Migration auf das Microsoft-interne (!) Verschlüsselungssystem beschrieben.

Kann sich da jemand einen Reim drauf machen? Seite gehackt? US-Regierung Finger im Spiel?

http://truecrypt.sourceforge.net/
Truecrypt musste den Signing Key herausgeben, darf aber nicht darüber sprechen. Daher empfehlen sie bewusst eine lächerliche Alternative, damit jedem klar ist, wie ernst die Sache ist.

Das ist meine Vermutung.

Die Macht von Behörden ist beängstigend, sehr, sehr beängstigend.

Kann auch sein, dass dies das Resultat eines Streits unter den Entwicklern ist und einer aus Wut das Projekt beerdigt hat.

Oder dass sich die Entwickler über zu wenig Spenden gemessen an den Downloads geärgert haben.

Oder dass der PC eines Entwicklers infiziert wurde und ein Angreifer so an Passwort des Webservers, privaten Schlüssel, etc gekommen ist.

Oder wie schon erwähnt: Vielleicht liefern sich die Entwickler von Truecrypt seit einiger Zeit ein Katz-und-Maus-Spiel mit den US-amerikanischen Behörden, die eine Hintertür in Truecrypt einbauen möchten. Da sich die Entwickler dagegen letztendlich nicht wehren können und auch nicht darüber sprechen dürfen, zerstören sie in Notwehr ihr eigenes Projekt. Denn wenn sie nun gezwungen werden eine weitere, manipulierte Truecrypt-Version zu veröffentlichen, sind die Anwender schon gewarnt.

Die letzte Option ist die beste, denn das würde bedeuten die Behörden kennen bisher keine Schwachstelle in Truecrypt. Und weiter zu entwickeln gab es an Truecrypt ohnehin nichts, auf den Systemen die es unterstützt läuft es perfekt.

Die offizielle Seite ist seit gestern schon viel zu lange umgeleitet, dass es ein Hack sein könnte oder sonst was.
Riecht sehr nach NSA und Tod von TC.

Was in der neuen Weltordnung nur noch hilft als Bürger, ist extrem viel Geld zu haben! :D

Ja, der Tipp zum Umstieg auf Bitlocker ist soooo :facepalm:, dass ich auch hier eine Aktion einer Regierung vermute und sie einen Maulkorb verpasst bekamen nicht darüber zu reden.

aber warum müssen es immer die us behörden sein? es wird auch kein weg an behördenschlüssel vorbeiführen. das spricht aber trotzdem für die sicherheit gegenüber normalen angriffen.
die ganze idee dahinter muss dezentral und staatenlos angesiedelt werden um wirklich frei zu sein.

die deutschen und der rest sind sicherlich auch keinen deut besser. es ist doch eine farce die deutsche email als "sicher" anzupreisen.

Die letzte Option ist die beste, denn das würde bedeuten die Behörden kennen bisher keine Schwachstelle in Truecrypt.
Was wäre, wenn man den Leuten genau DAS glauben zu machen versucht. Diese Annahme ist sehr gefährlich.

Ich halte Truecrypt per se nicht für verkehrt, nur wird halt selten die Festplatte geklaut, die meisten Systeme werden im entschlüsselten Zustand, also im laufenden Betrieb ausspioniert. Und zudem verteididgt niemand sein Passwort mit dem Leben, da gabs auch einen coolen xkcd.

Es gibt ja noch eine Deutsche Alternative Drivecrypt von Securstar...:rolleyes: (hmm sitzen in München).
Gestern hat ZDF in einem exklusiven Interview in http://www.zdf.de/ZDFmediathek#/beitrag/video/2162516/Verschw%C3%B6rung-gegen-die-Freiheit-%282%29 gezeigt, dass selbst Schweizer Verschlüsselungsfirmen vom BND unterlaufen sind.

Was wäre, wenn man den Leuten genau DAS glauben zu machen versucht. Diese Annahme ist sehr gefährlich.
Man kann sich immer nur nach besten Wissen schützen. Nach diesem war Truecrypt so sicher, dass nicht mal die NSA ein ordentlich verschlüsseltes Laufwerk entschlüsseln konnte. Vom Gegenteil würde ich erst ausgehen, wenn es eine praktische und nachvollziehbare Demonstration einer Entschlüsselung gibt.

Hallo, hier eine kleine Zusammenfassung von mir.

Rätsel um das Ende von Truecrypt
http://www.golem.de/news/verschluesselung-raetsel-um-das-ende-von-truecrypt-1405-106812.html
Auf der aktuellen Seite von Truecrypt steht "Truecrypt ist nicht mehr sicher". Es wurde eine aktuelle Version 7.2 hochgeladen dir nur noch entschlüsseln kann. Die ältere Version 7.1a wurde entfernt.

Die Entwickler empfehlen den Umstieg auf Microsoft Bitlocker :freak:

Prüfung von Truecrypt Code
Die anonymen Entwickler hatten einer Untersuchung des Codes durch den unabhängigen Experten Matthew Green zugestimmt. In einem ersten Durchgang wurde aber kein verdächtiger Code gefunden.
http://www.golem.de/news/truecrypt-bislang-keine-hintertueren-gefunden-1404-105889.html

Wilde Spekulationen im Netz
http://truecrypt.sourceforge.net/
Auf der offiziellen Seite steht geschrieben WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
not secure as... NSA

Es wird spekuliert das die Entwickler von Trucrypt einen "National Security Letter" erhalten haben und somit zu Geheimhaltung verpflichtet wurden. :(

Versionen
Die Version 7.2 würde ich nicht installieren, maximal 7.1a Download und Hashwerte auf www.golem.de
http://video2.golem.de/files/1/8/13138/truecrypt_7.1a_download_und_hashwerte.txt?start=0.00
http://video.golem.de/download/13134

weitere News
http://winfuture.de/news,81946.html
http://www.computerbase.de/2014-05/truecrypt-projekt-abrupt-eingestellt/

Zudem gilt: TC 7.1a hat in dem Sinne keine Fehler, wird also auf nahezu ewig funktionieren können.

Woher willst du das wissen? Der groß finanzierte Audit ist doch noch im Gange. Wenn die da etwas finden, kann es auf einmal auch unsicher sein. Ich weiß nicht wie viele Audits TrueCrypt hinter sich hat, aber wenn selbst die Entwickler sagen (wenn man annimmt, dass sie wirklich hinter der Aktion stehen), dass es nicht mehr sicher ist TC zu nutzen, dann wird da vielleicht auch etwas dran sein.

War da nicht vor ein paar Wochen/Monaten bei Telepolis ne Meldung, das jemand aus dem Core Team von TC nen Router unter geschoben werden sollte, der beim Paketsendestatus mal eben ein Umweg über den Hauptsitz der NSA (also die Stadt) genommen hatte? finde das gerade nicht.

Gehe allerdings auch davon aus, das die irgendwie signierungsgefickt wurden und eine Verschwiegenheitserklärung aufgebrummt bekommen haben - anders als so, konnten sie dann wohl nicht mehr reagieren (Lavabit sagt Hallo).

Solange das Audit keine Lücken findet gehe ich davon aus, dass TrueCrypt (7.1a) sicher ist.

Es wird offensichtlich versucht, dass Vertrauen in TrueCrypt zu kompromitieren, was ja auch teilweise gelungen ist. Hätte TC eine Backdoor oder eine bekannte Lücke, bestünde dazu keine Notwendigkeit. Im Gegenteil, man müsste die Leute sogar davor abhalten, auf vielleicht sichere Alternativen zu wechseln.

Im Moment muss man vom offensichtlichen ausgehen: Die Entwickler wurden gezwungen
- ihren private Key rauszurücken
- den Umstieg auf BitLocker zu empfehlen (Backdoor)
- eine NSA-Version 7.2 von TC zu veröffentlichen
- Stillschweigen zu bewahren

Vielleicht existiert ja wirklich eine Sicherheitslücke die so kritisch ist, dass man den Nutzern den Umstieg empfiehlt. Auf welche man nicht genauer eingehen möchte, weil sonst jedem die Türen offen stehen. Doch dann würde es mich wundern, warum man das gesamte Projekt aufgibt und nicht einfach updatet. Da müsste schon etwas fundamental kaputt sein, dass sich eine Weiterentwicklung überhaupt nicht mehr lohnt.

Da stimmt wohl was nicht.

Nix genaues weiss man nicht, ich halte diese 2 Szenarios fuer wahrscheinlich

1) Lavabit Szenario - geheimer NSA Brief oder etwas in der Art, und dies ist die einzige Moeglichkeit, den Einbau einer Backdoor zu verhindern.

2) Entwickler haben keinen Bock mehr oder sind durch Personalabgang nicht mehr in der Lage, den Code weiterzuentwickeln

Ich hoffe sehr, dass der Truecrypt Audit (Phase 2) weiterhin statt findet, und hoffentlich reicht die leicht veraenderte Lizenz dafuer aus, das Projekt in anderer Hand fortzufuehren.

Tja, wenn ich Sicherheit will, muss ich wohl oder übel hierauf umsteigen:

http://kryptochef.net/

Tja, wenn ich Sicherheit will, muss ich wohl oder übel hierauf umsteigen:

http://kryptochef.net/

Ist das dein Ernst? Wenn die Software so gut programmiert ist wie die Website dann Prost Mahlzeit. :rolleyes:

http://scienceblogs.de/klausis-krypto-kolumne/2013/08/19/zehn-beispiele-fur-besonders-schlechte-kryptografie-teil-23/

Vielleicht existiert ja wirklich eine Sicherheitslücke die so kritisch ist, dass man den Nutzern den Umstieg empfiehlt. Auf welche man nicht genauer eingehen möchte, weil sonst jedem die Türen offen stehen. Doch dann würde es mich wundern, warum man das gesamte Projekt aufgibt und nicht einfach updatet. Da müsste schon etwas fundamental kaputt sein, dass sich eine Weiterentwicklung überhaupt nicht mehr lohnt.

Da stimmt wohl was nicht.


Gesunder Menschenverstand

Ist das dein Ernst? Wenn die Software so gut programmiert ist wie die Website dann Prost Mahlzeit. :rolleyes:

http://scienceblogs.de/klausis-krypto-kolumne/2013/08/19/zehn-beispiele-fur-besonders-schlechte-kryptografie-teil-23/


http://sozial-herausgefordert.de/2006/06/08/ironie-kryptochef/ ;)

Solange das Audit keine Lücken findet gehe ich davon aus, dass TrueCrypt (2.1a) sicher ist.

Du meinst sicher 7.1a

wenn der private key herausgegeben wurde, dann ist die software ja nicht mehr sicher?!

Du meinst sicher 7.1a

Äh, jo ^^

wenn der private key herausgegeben wurde, dann ist die software ja nicht mehr sicher?!
Truecrypt verschluesselt symetrisch, da gibt es keinen privaten Key.

Es gibt einen privaten Key, um die Software zu signieren. Das hat aber nichts mit der Verschluesselung zu tun.

Woher willst du das wissen? Der groß finanzierte Audit ist doch noch im Gange. Wenn die da etwas finden, kann es auf einmal auch unsicher sein. Ich weiß nicht wie viele Audits TrueCrypt hinter sich hat, aber wenn selbst die Entwickler sagen (wenn man annimmt, dass sie wirklich hinter der Aktion stehen), dass es nicht mehr sicher ist TC zu nutzen, dann wird da vielleicht auch etwas dran sein.


Sorry, ich meinte Fehler im Sinne von Bugs, nicht von Sicherheitslücken.



Und falls die Hypothese "Lavabit" wirklich stimmen sollte, darf man mit Fug und Recht behaupten: Als Programmierer von so was darf man heutzutage einfach nicht mehr in den USA sitzen. Und selbst wenn dies bei TC (noch) nicht zutreffen sollte: Diese Zeiten gehen zu Ende. Wer Anti-Überwachungs-Software schreibt, muß zwingend raus aus den USA.

Das spannende ist ja, dass keiner so genau weiss wer und wo die Programmierer eigentlich sind. Zumindest habe ich das so herausgelesen.

Es gibt auch die Vermutung dass das ein Dead-Man-Switch sein koennte

Nur warum sollte man bei letzterem auf Bitlocker verweisen? Weil es die einzige halbwegs vergleichbare Alternative ist? Wir brauchen ein deutsches Open Source Truecrypt.

Weil der Hinweis auf Bitlocker so daemlich ist, dass es fast schon klar ist das was schief gelaufen sein muss.

Egal ob NSA gag-order, dead man switch oder einfach kein Bock mehr, der Bitlocker Hinweis passt absolut nicht ins Bild.

wie abwegig ist es das ganze schlicht zu forken auch wenn es die lizenz eigentlich nicht zulassen würde? das projekt ist immerhin tot.

wie abwegig ist es das ganze schlicht zu forken auch wenn es die lizenz eigentlich nicht zulassen würde? das projekt ist immerhin tot.


TrueCrypt ist nicht OpenSource, sondern nutzt eine proprietäre Lizenz. Ein Fork wird wohl rechtlich schwer. Es gibt doch eine Menge Alternativen. Dm-Crypt z.B.

Es ist wohl eher ein ethisches Problem, auf diesem Code aufzubauen. Rein rechtlich wäre die TrueCrypt-Lizenz schwierig durchzusetzen, da sich dann die Entwickler ja outen müssten.

Nix genaues weiss man nicht, ich halte diese 2 Szenarios fuer wahrscheinlich

1) Lavabit Szenario - geheimer NSA Brief oder etwas in der Art, und dies ist die einzige Moeglichkeit, den Einbau einer Backdoor zu verhindern.

2) Entwickler haben keinen Bock mehr oder sind durch Personalabgang nicht mehr in der Lage, den Code weiterzuentwickeln

Ich hoffe sehr, dass der Truecrypt Audit (Phase 2) weiterhin statt findet, und hoffentlich reicht die leicht veraenderte Lizenz dafuer aus, das Projekt in anderer Hand fortzufuehren.

Bei Punkt 2 würde man das Programm einfach einstellen und keine lustigen Geschichten raus werfen. Damit bleibt nur Punkt 1. Die NSA hat die Entwickler bei den Eiern.

Diese Seite hat eine gute Zusammenfassung der Lage (nebst der Tweets von gestern Abend/Nacht, dass der Audit weitergehen wird): https://www.grc.com/misc/truecrypt/truecrypt.htm

Ich weiß immer noch nicht, was ich glauben soll. Wirklich merkwürdig. Ich halte aber TC 7.1a weiterhin für sicher, oder zumindest für am sichersten in Anbetracht der Alternativen.

Riecht sehr nach Lavabit 2.0:
http://www.heise.de/security/artikel/Todesurteil-fuer-Verschluesselung-in-den-USA-1972561.html

Riecht sehr nach Lavabit 2.0:
http://www.heise.de/security/artikel/Todesurteil-fuer-Verschluesselung-in-den-USA-1972561.html
Schon seltsam dass sowas nicht nur kleine Projekte betreffen kann sondern auch größere Unternehmen, die dadurch gewaltige Vertrauensverluste und somit Umsätze einbüßen. Und das in den USA wo Profit über allem steht. Langsam fragt man sich aber, ob Überwachung in den USA nicht noch höher steht, wenn schon Microsoft und Google einknicken und somit Kundenvertrauen und Profit verspielen.
Ob sich große Unternehmen sowas auf ewig gefallen lassen? Mal sehen was am Ende siegt, Gier nach Daten oder Gier nach Geld. ^^

Cisco mit ihrer Routern, Switches usw. dürfte dahingehend der absolute Gradmesser werden. ich sags mal so, ich gehe für die nächsten 3 Quartale mit stetig sinkenden Umsätze bei denen aus und die dürften dahingehend dann mächtig Druck machen - wird interessant wie das ausgeht.

Klar, wenn es eine halbwegs gleichwertige Alternative gibt, kommt mir nichts sicherheitsrelevantes amerikanisches mehr ins Haus. Die Leute werden aus solchen Zwischenfällen schon ihre Schlüsse ziehen.

... Die Leute werden aus solchen Zwischenfällen schon ihre Schlüsse ziehen.
:lol:

Cisco mit ihrer Routern, Switches usw. dürfte dahingehend der absolute Gradmesser werden. ich sags mal so, ich gehe für die nächsten 3 Quartale mit stetig sinkenden Umsätze bei denen aus und die dürften dahingehend dann mächtig Druck machen - wird interessant wie das ausgeht.
Gerade in Asien leidet Cisco schon richtig stark, Microsoft und Google leiden ja nur beim Image, das ist solange egal, wie das Geld weiterfließt.
Aber gerade Cisco merkt das schon heute richtig, das wird Konsequenzen geben, in welcher Richtung auch immer.

Sorry: wie lange war die 7.1a von TrueCrypt draußen? ein Jahr oder so, u. mit einmal ist es nicht mehr Sicher, aber die Verschlüsselung von BitLocker ist sicher, bei einen US Unternehmen,
nee is klar :crazy2:

für mich sieht das doch sehr stark nach Pistole auf die Brust gesetzt aus,
da sind die wohl einen der Entwickler auf die Spur gekommen,
da gab es wohl nur die Wahl zwischen Hintertür für NSA u. Co einbauen,
sich in Guantanamo vergnügen, oder das Projekt beenden :frown:

alle versuche TrueCrypt Container zu knacken sind meines Wissens nach gescheitert, solange der Schlüssel nicht nur aus 123 bestand. :freak:

Wie sieht es eigentlich aus? Gibt es Neues?

VeraCrypt sieht gut aus. Gerade mal geladen und werde es heute Nacht mal einrichten.

VeraCrypt sieht gut aus. Gerade mal geladen und werde es heute Nacht mal einrichten.
Das Problem mit Veracrypt ist, dass es nicht kompatibel zu TC ist (obwohl es eigentlich nur ein Hack mit ein paar veraenderten Code Zeilen ist). Wenn die Entwicklung von VC nicht weiterlaufen sollte, stehst Du dann dumm da.

Das Problem mit Veracrypt ist, dass es nicht kompatibel zu TC ist (obwohl es eigentlich nur ein Hack mit ein paar veraenderten Code Zeilen ist). Wenn die Entwicklung von VC nicht weiterlaufen sollte, stehst Du dann dumm da.

Naja gut dann muss ich halt zurück kopieren. Damit komme ich schon klar. Die Möglichkeit besteht ja immer.

Seit dem neusten Update (1.0f) ist VeraCrypt nun mit TrueCrypt kompatibel.
UPDATE December 30th 2014 : VeraCrypt 1.0f is out with many new features and enhancements. The most notable ones are the support of mounting and converting TrueCrypt volumes
https://veracrypt.codeplex.com

Wieso sollte man eigentlich zu VeraCrypt wechseln?
Die Audition 1(abgeschlossen) und 2 wird bei TC gemacht.

ich werde auch erstmal bei TrueCrypt bleiben. Unknackbar ist unknackbar... Und mit den Features bin ich zufrieden.

(Auch wenn das technisch gesehen natürlich, nicht richtig ausgedrückt ist)

laut aktuellen nachrichten, von den veröffentlichten snowden news, ist truecrypt für die nsa stand ende 2012 immer noch 4/5, damit haben sie massive Probleme.

Vermutlich wurde deswegen das Projekt abgeschossen.

Ich nutze TC weiter...

Quelle?

Hat der Spiegel berichtet.

Quelle?

Gibt einen Spiegelartikel dazu:

http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html

Und hier auf Slide 20:

http://www.spiegel.de/media/media-35535.pdf

Quelle?

auch 3DCenter News :D

Wie sieht es denn eigentlich mit dem zweiten Teil des TC-Audit aus? Der sollte doch schon Mitte 2014 stattfinden/abgeschlossen sein?!

Wie sieht es denn mit der Performance von VeraCrypt aus? Bei SSDs hat TC hat ja einiges an möglicher Performance gekostet.

Überhaupt, was ist von VeraCrypt zu halten? Was ich gelesen habe, sieht ja sehr gut aus:

OpenSource, basierend auf TrueCrypt, wobei alle relevanten Code-Teile neu geschrieben wurden, da TC ja kein echtes OpenSource war
Autoren aus der EU, keine US-Beteiligung
Behebung aller Mängel, die im ersten Schritt des TC-Audits gefunden wurden
zahlreiche kleinere Bugfixes

Wie sieht es denn eigentlich mit dem zweiten Teil des TC-Audit aus? Der sollte doch schon Mitte 2014 stattfinden/abgeschlossen sein?!

Es gibt seit ca. Oktober immer wieder Twittermeldungen, die darauf hindeuten, dass der Audit bald abgeschlossen sein soll. Aber bisher gibt es noch kein konkretes Datum.


OpenSource, basierend auf TrueCrypt, wobei alle relevanten Code-Teile neu geschrieben wurden, da TC ja kein echtes OpenSource war

Echt? Das wusste ich nicht. Das wuerde mich ja eher skeptisch machen, denn es ist schwer, solchen Code bugfrei und sicher zu schreiben. Ich dachte, die haetten nur ein paar Modifizierungen vorgenommen, aber das Grundgeruest intakt gelassen. Wenn das Innenleben von Veracrypt neu sein sollte, wuerde ich die erst mal ein paar Jahre abwarten, bevor ich das einsetze.

Echt? Das wusste ich nicht. Das wuerde mich ja eher skeptisch machen, denn es ist schwer, solchen Code bugfrei und sicher zu schreiben. Ich dachte, die haetten nur ein paar Modifizierungen vorgenommen, aber das Grundgeruest intakt gelassen. Wenn das Innenleben von Veracrypt neu sein sollte, wuerde ich die erst mal ein paar Jahre abwarten, bevor ich das einsetze.

Ich bin da auch skeptisch. Mein Hauptrechner ist komplett TC-verschlüsselt incl. Bootpartition, ein Umstieg wäre mir derzeit jedenfalls zu riskant. Würde das allenfalls mal auf einem Zweitsystem testen, aber auch das garantiert ja nicht, daß so etwas wie die Konvertierung eines kompletten Volumes fehlerfrei läuft.

Ich werde von Truecrypt voraussichtlich erst umsteigen, wenn es mit einem aktuellen Betriebssystem nicht mehr lauffähig sein sollte, eine kritische Sicherheitslücke gefunden wird oder eine Alternative die sich bereits jahrelang als Nachfolger etabliert hat sehr viel schneller arbeiten sollte.

Echt? Das wusste ich nicht. Das wuerde mich ja eher skeptisch machen, denn es ist schwer, solchen Code bugfrei und sicher zu schreiben. Ich dachte, die haetten nur ein paar Modifizierungen vorgenommen, aber das Grundgeruest intakt gelassen. Wenn das Innenleben von Veracrypt neu sein sollte, wuerde ich die erst mal ein paar Jahre abwarten, bevor ich das einsetze.

Zugegeben, es steht zwar nirgendwo explizit. Ich habe mir das nur zusammengereimt, weil die TrueCrypt-Lizenz eben keine echte OpenSource-Lizenz ist und eine Verwendung in anderen (folgenden) Projekten, also auch Forks wie VeraCrypt, explizit untersagt. Also müssen weite Teile des Codes neu geschrieben worden sein, um dieses rechtliche Problem zu umschiffen.

Es sei denn, man geht einfach davon aus, dass die TC-Autoren eine Rechtsverletzung ihrer Lizenz nicht anzeigen werden, da sie ja sonst mit einer Klage ihre Anonymität verlieren würden.

Zugegeben, es steht zwar nirgendwo explizit. Ich habe mir das nur zusammengereimt, weil die TrueCrypt-Lizenz eben keine echte OpenSource-Lizenz ist und eine Verwendung in anderen (folgenden) Projekten, also auch Forks wie VeraCrypt, explizit untersagt. Also müssen weite Teile des Codes neu geschrieben worden sein, um dieses rechtliche Problem zu umschiffen.


Ich empfehle die Lizenz mal zu lesen. Es ist kein Problem, TC zu forken etc, das ist explizit in der Lizenz erlaubt. Weiss nicht wo diese Ente herkam, liest man immer wieder, ist aber falsch. Es ist keine Standardlizenz, also kann man keine Code Teile von anderen Open Source Projekten verwenden. Aber man kann problemlos seinen eigenen TC Fork weiterentwickeln.

Ich empfehle die Lizenz mal zu lesen. Es ist kein Problem, TC zu forken etc, das ist explizit in der Lizenz erlaubt. Weiss nicht wo diese Ente herkam, liest man immer wieder, ist aber falsch.

Das Problem ist wohl, dass die Lizenz an einigen Stellen sehr vage ist (https://lists.debian.org/debian-legal/2006/06/msg00295.html).

Das Problem ist wohl, dass die Lizenz an einigen Stellen sehr vage ist (https://lists.debian.org/debian-legal/2006/06/msg00295.html).

Wie dem auch sei, Veracrypt beinhaltet die TC Lizenz, genau wie von den TC Leuten vorgesehen:

http://veracrypt.codeplex.com/SourceControl/latest#src/License.txt

Muss nach erneuter Betrachtung sagen, dass von allen TC Nachfolgeprojekten VC bisher tatsaechlich den besten Eindruck macht. Bin gespannt, ob die es hinkriegen, tatsaechlich neue Features (wie GPT boot support) zu coden, oder ob sie nur Quellcodepflege mit minimalen Veraenderungen betreiben werden.

Wer sagt eigentlich, dass VeraCrypt oder die anderen Nachfolger-Projekte sicher sind? Vielleicht hat die NSA das sichere TrueCrypt schließen lassen (so war doch das Gerücht, oder?), um jetzt das unsichere VeraCrypt dem Volk unterzuschieben?!

Wer sagt eigentlich, dass VeraCrypt oder die anderen Nachfolger-Projekte sicher sind? Vielleicht hat die NSA das sichere TrueCrypt schließen lassen (so war doch das Gerücht, oder?), um jetzt das unsichere VeraCrypt dem Volk unterzuschieben?!

Naja, bisher sind Veracrypt und Konsorten hauptsaechlich Bugfixes fuer TC (basierend auf dem Report vom TC Audit (https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_TrueCrypt_Security_Assessment.pdf)). Insofern sollten die ebenso sicher sein.

Riskant wird es erst, wenn der innerste Kryptocode veraendert wird. Denn es ist offenbar sehr, sehr schwierig, mathematisch einwandfreie Kryptographie ebenso fehlerfrei zu implementieren.

EDIT: P.S. fuer die NSA waere es ein leichtes, in das normale Windows eine Funktion einzubauen, die TC Keys ausliest und irgendwo im Rechner versteckt speichert. Insofern ist die Suche nach Backdoors in TC fuer Windows zwar nett, aber letztlich kein Garant fuer absolute Sicherheit.

Ich habe auch noch 7.1a, aber leider keine Checksumme dazu.
Daher weiß ich nicht (und Andere sicher auch nicht), ob diese Version auch die Originale ist.

Wer hat...

MD5
SHA1
SHA256
oder
SHA512

für 7.1a? Danke...

Ich habs bei mir mal ausgelesen, ich garantiere aber nichts.

MD5: 7A23AC83A0856C352025A6F7C9CC1526
SHA1: 7689D038C76BD1DF695D295C026961E50E4A62EA

http://abload.de/img/dsfew6p4v.jpg

Ich habe auch noch 7.1a, aber leider keine Checksumme dazu.
Daher weiß ich nicht (und Andere sicher auch nicht), ob diese Version auch die Originale ist.

Wer hat...

MD5
SHA1
SHA256
oder
SHA512

für 7.1a? Danke...

Hier ist das repository von den Audit Leuten: https://github.com/AuditProject/truecrypt-verified-mirror

Die Checksumme scheint bei mir zu stimmen...
Aber an eine absolute Sicherheit kann man trotzdem nicht haben.
Es könnte ja sein, dass 7.1a und paar Versionen davor nen Backdoor haben oder nicht?

Zu der Verschwiegenheitstheorie...
Was würde passieren, wenn doch einer redet?
Oder was passiert mit Leuten, die das "böse" 7.1a zum Download anbieten?
Denn nirgendwo steht, dass 7.1a illegal ist, oder?

Zitat vom BSI: (https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Datenverschluesselung/Praxis/Software/software_node.html)
TrueCrypt

Bisher hatte das BSI TrueCrypt als Möglichkeit zur Verschlüsselung empfohlen. Die Weiterentwicklung der Verschlüsselungssoftware TrueCrypt wurde durch das Entwicklerteam eingestellt. Das BSI zieht somit seine Empfehlungen für diese Software zurück.
Wieso steht da nicht, dass 7.1a noch sicher ist?
Aber dafür GNU Privacy Guard for Windows (Gpg4Win)...!?!?!?

Wieso steht da nicht, dass 7.1a noch sicher ist?

Weil es nicht mehr gepflegt wird. Wenn jetzt eine Schwachstelle oder Sicherheitslücke gefunden wird, dann sitzt man eben da und kann nichts machen. Software ist nicht einfach so sicher und bleibt dann so. Jedes Projekt, das halbwegs komplex ist, enthält Fehler. Solange man die Software nicht formal verifizieren kann (was bei Implementierungen sehr komplex werden kann), wird das auch noch lange so bleiben. Und selbst dann muss man noch immer annehmen, dass die Hardware nicht irgendwelche Hintertüren hat.

Daher muss man sich im Moment darauf verlassen, dass gefundene Fehler einfach möglichst schnell behoben werden, was bei einem toten Projekt eben nicht möglich ist.

Und deshalb bietet man Gpg4Win an? Schon seltsam...
Denn " Wenn jetzt eine Schwachstelle oder Sicherheitslücke gefunden wird, dann..." :wink:

Normalerweise ist es doch so, dass man alles so lange belässt bis eine Schwachstelle gefunden wurde.
Sonst bräucht man auch keine Alarmanlagen, Schließzylinder etc. anbieten, "wenn jetzt eine Schwachstelle oder Sicherheitslücke gefunden wird..." :freak:

Und deshalb bietet man Gpg4Win an? Schon seltsam...
Denn " Wenn jetzt eine Schwachstelle oder Sicherheitslücke gefunden wird, dann..." :wink:

Wird Gpg4Win nicht mehr gepflegt? Der letzte Release ist von Ende November. Davon abgesehen steht es unter GPL. Das ist eine komplett andere Situation als das, was wir bei TrueCrypt haben.

Normalerweise ist es doch so, dass man alles so lange belässt bis eine Schwachstelle gefunden wurde.
Sonst bräucht man auch keine Alarmanlagen, Schließzylinder etc. anbieten, "wenn jetzt eine Schwachstelle oder Sicherheitslücke gefunden wird..." :freak:

Die Lizenz von TrueCrypt ist eben so vage, dass niemand sicher sein kann, dass man eine modifizierte Version überhaupt anbieten darf. Selbst wenn ein Fix bereitstünde, dürfte vermutlich niemand eine gefixte Version anbieten. Die Existenz von VeraCrypt beweist nicht, dass es ein legitimer Fork ist und das ist auch der Grund, warum sich nahezu alle freien Distributionen irgendwann gegen eine Aufnahme von TrueCrypt entschieden haben. Das Risiko ist einfach zu groß, dass man sich einen DMCA Takedown oder schlimmeres einhandelt.

Vergessen wir mal die Lizenzen und das supporten...
Angenommen 7.1a ist wirklich so sicher, dann wäre das den Geheimdiensten ein Dorn im Auge und würden jeden Server hacken, auf denen 7.1a angeboten wird, um die Verbreitung von TC zu unterbinden.

Angenommen 7.1a ist wirklich so sicher

Und das ist eben eine vollkommen falsche Annahme. Kann man einfach nicht. Oder sagen wir eher: Man ignoriert damit, wie Software heute geschrieben wird und welche Implikationen das hat.

Angenommen 7.1a ist wirklich so sicher, dann wäre das den Geheimdiensten ein Dorn im Auge und würden jeden Server hacken, auf denen 7.1a angeboten wird, um die Verbreitung von TC zu unterbinden.

Wenn du danach gehst, würde auch jeder Geheimdienst die Verbreitung von dm-crypt mit LUKS, OTR oder PGP versuchen zu stoppen. Ist aber nicht der Fall. Und solche Sachen sind den Geheimdiensten vermutlich noch ein viel größerer Dorn im Auge, weil das tatsächlich freie Software mit signifikanter Verbreitung ist, die auch aktiv in Verwendung ist. Sieht man ja an den Slides der NSA, dass ihnen OTR z.B. überhaupt nicht gefällt.

Das mit der „Verbreitung stoppen“ hatten wir übrigens von den USA schon einmal vor vielen Jahren mit PGP. Hat nicht funktioniert. Das haben sie sicher nicht vergessen.

TrueCrypt ist durch die Lizenz leider nur sehr eingeschränkt nutzbar, weil sich niemand sicher sein kann, wie man es überhaupt verbreiten darf. Das Problem hast du mit Software unter GPL z.B. so in der Form nicht.

Was ich suche ist eine Vollverschlüsselung (Windows), bei der alle Laufwerke automatisch eingebunden werden.


btw:

Hm...
Scheinbar ist Truecrypt (egal welche Version) NICHT sicher. :rolleyes:

Software zur Extraktion des Bitlocker-Passworts im laufenden Betrieb

Es wird auf dem internationalen Markt eine Software angeboten,[5] die an Polizeidienststellen, Behörden und Privatdetektive[6] verkauft wird. Die Funktion dieses Programmpaketes liegt darin, dass zunächst bei einem gemounteten BitLocker-Laufwerk der Arbeitsspeicher ausgelesen wird.[7] Dazu wird ein Programm zum Kopieren des Inhalts des RAM über den FireWire-Port mitgeliefert.[8] Anschließend kann auf einem anderen PC das Speicherabbild verarbeitet und das darin vorhandene Passwort angezeigt werden. Damit ist ein Zugriff auf die geschützten Daten des angegriffenen Rechners sofort oder zu einem späteren Zeitpunkt möglich. Allerdings ist ein Speicherabbild und folglich das Auslesen des Passworts nur auf einem eingeschalteten Computer möglich.[9] Dieselbe Angriffsmöglichkeit besteht auch für vergleichbare Programme wie TrueCrypt.


K.A. was man überhaupt noch glauben soll...


edit:
Interessanter finde ich gerade diese Software :freak:

edit2:
Elcomsoft Forensic Disk Decryptor für 299€ (http://www.elcomsoft.de/efdd.html)
Ist es damit tatsächlich möglich schnellstens an den Schlüsseln zu kommen?

Für das Angriffszenario benötigt man entweder physikalischen Zugriff auf den PC oder hat eine (Schad)-Software, die den Arbeitsspeicher ausliest.

In beiden Fällen liegen die Daten eh zum Arbeiten zugriffsfähig für Programme wie den Windows Explorer vor (Trojaner u. andere Programme haben also auch Zugriff - auch wenn sie es nicht auf die verschlüsselten Daten per se abgesehen haben), also sehe ich da kein größeres Sicherheitsproblem als vorher.

Scheint auch ohne zu gehen...

CCIJbDW7lq8

Hast du überhaupt gelesen was "Tech_FREAK_2000|GS" geschrieben hatte? Du brauchst lokalen Zugriff. Das Video bestätigt das doch auch.

Was ist jetzt eigentlich das Problem? Jedes Verschlüsselungsprogramm hat das gleiche Problem: Die Masterkeys sind unverschlüsselt im RAM. Um diese zu sichern, müsstest du den RAM verschlüsseln. Aber wie entschlüsselst du den RAM? Also musst du wieder einen unverschlüsselten Key irgendwo haben.

Wirklich sicher wäre nur Bitlocker im Kombination mit TPM, weil es dort einen Hardware-Schlüssel hat (habe ich mal gelesen, keine Ahnung ob es stimmt). Und den HW-Schlüssel im TPM-Modul kann man wohl nicht (einfach) auslesen. Aber wäre das auch vor Geheimdiensten sicher? Ich habe Zweifel daran...

Ich hab jetzt mal spaßeshalber VeraCrypt auf einem Notebook installiert und die Win7-Systempartition damit verschlüsselt. Der Rechner (Core i5-520M, 2,4 GHz/2,9 GHz Turbo) braucht rund drei Minuten, bis er nach korrekter Passworteingabe weiterbootet. Erklärung hier: http://veracrypt.codeplex.com/discussions/549728

Mir persönlich wäre das zumindest für eine Vielzahl möglicher Szenarien zu lang. Auf meinem Desktop-Rechner wäre es zB allein für das Bootlaufwerk nicht so wild, aber wenn es dann nochmal jeweils Minuten dauert, bis die anderen Laufwerke gemountet sind, dann gute Nacht.

3-4 Minuten ist nicht normal. Knapp unter 1TB Partition benötigt zum Mounten bei mir ca. 6-7 Sekunden.

3-4 Minuten ist nicht normal. Knapp unter 1TB Partition benötigt zum Mounten bei mir ca. 6-7 Sekunden.

Der User in dem verlinkten Post berichtet aber Ähnliches und in der Antwort darauf wird auch nicht angemerkt, dass drei Minuten zu lang seien. Vielmehr wird auch hier (http://sourceforge.net/p/veracrypt/discussion/technical/thread/77d58591/#5764) von Mountzeiten von 30 Sekunden bis zu einer Minute berichtet.

Die Größe des Laufwerks ist dabei vermutlich ohne Belang (hier 250 GB), spielt es eine Rolle, daß es bei mir eine HDD und keine SSD ist? Verschlüsselt wird bei mir mit AES, Hash-Algorithmus ist SHA-512. Hast Du vielleicht einen schnelleren Rechner und/oder SHA-256 als Hash-Algorithmus gewählt?

Welchen Encryption Algorithmus und welchen Hash Algorithmus benutzt ihr.
Und haltet ihr "AES-TwoFish-Serpent" + "Whirlpool" für übertrieben?

Und SHA512 vs. Whirlpool...

Truecrypt-Audit findet kleinere Sicherheitsprobleme
http://www.golem.de/news/verschluesselung-truecrypt-audit-findet-kleinere-sicherheitsprobleme-1504-113310.html

Welchen Encryption Algorithmus und welchen Hash Algorithmus benutzt ihr.
Und haltet ihr "AES-TwoFish-Serpent" + "Whirlpool" für übertrieben?

Und SHA512 vs. Whirlpool...
Huhu? :wave2:

Das ist doch nicht im Sinne der Sicherheit, hier seinen genutzten Algorithmus zu veröffentlichen! :D

Welchen Encryption Algorithmus und welchen Hash Algorithmus benutzt ihr.
Und haltet ihr "AES-TwoFish-Serpent" + "Whirlpool" für übertrieben?

Und SHA512 vs. Whirlpool...
Huhu? :wave2:

Wenn damit eine nukleare Zweitschlagkraft gigantischen Ausmaßes vor unberechtigtem Zugriff geschützt werden soll, ist es IMHO nur ganz leicht übertrieben.

Die Frage ist halt immer, gegen was/wen man die Daten schützen möchte, und ich bin der Meinung, dass sogar AES + RIPEMD-160 mit VeraCrypt-Iteration gegen alle (NSA ausgenommen) ausreichend ist. Was darüber hinausgeht ergibt IMHO nur dann Sinn, wenn die Daten lebens- und/oder geheimdienstrelevant sind und man sich im Umgang mit dem geschützten System an eine strikte "Policy" hält, die das Abfangen von Keyfiles und/oder Passphrases nahezu unmöglich macht.

SHA-512 vs. Whirlpool: für mich praktisch Geschmacksache.

Die Frage ist halt immer, gegen was/wen man die Daten schützen möchte, und ich bin der Meinung, dass sogar AES + RIPEMD-160 mit VeraCrypt-Iteration gegen alle (NSA ausgenommen) ausreichend ist.

Ich wuerde da die NSA sogar mit einschliessen. AES ist sicher, keine praktische Schwaeche bekannt. Und selbst mit den originalen TC iterationen sollte das NSA sicher sein, vorausgesetzt man hat ein gutes und langes Passwort gewaehlt - alle brute force attacks sind naemlich password attacks und nicht direkt Attacken auf den 256bit key.

nicht direkt Attacken auf den 256bit key.Nobody knows ... http://de.wikipedia.org/wiki/Advanced_Encryption_Standard#Schw.C3.A4chen_und_Angriffe

Es gibt auch so ein paar Sachen ala AES 128 weak.

Im Zweifel ist es immer das Einfachste, in Deine Bude einzubrechen und Dir einen Keylogger zu installieren. Da hilft nun mal keine Verschlüsselung. Die ist nur sinnvoll in Szenarien, in denen "SIE" Dich entweder noch nicht lange genug auf dem Schirm haben oder sich schlicht an die (deutschen) Gesetze halten.

Apropos Keylogger...
Gibt es was (zB eine "Blackbox" zwischen Tastatur und PC), mit dem man Eingaben verschlüsseln kann?

Naja die Buchstaben müssen ja trotzdem unverschlüsselt in den Programmen ankommen. Oder willst du in Word ein Verschlüsselten Text schreiben?

Mal eine Verständnisfrage...
Angenommen SHA512 oder Whirlpool wird geknackt, ist dann auch ein sehr langes Passwort sinnfrei?

Und werden längere Passwörter als 64 Zeichen einfach abgeschnitten?

edit:
Hm, werden sie... :rolleyes:

Mal eine Verständnisfrage...
Angenommen SHA512 oder Whirlpool wird geknackt, ist dann auch ein sehr langes Passwort sinnfrei?

Wenn ich das richtig verstehe, werden die Algorithmen benutzt um das Passwort auf 256 bit zu expandieren (zusammen mit dem Salt) und dann vielfach wiederholt um die Berechnung kuenstlich zu verlangsamen.

Unter dem "Knacken" von Hashes verstehst Du die Moeglichkeit, vom Hash Wert rueckwaerts zu rechnen, oder? Das sollte eigentlich nichts ausmachen fuer diesen Zweck, solange AES etc. sicher sind.

Habe einen USB-Stick in-place formatiert (dauerte 45min. für 32GB)
Beim Testen mit GetDataBack stellte ich jedoch fest, dass alle Daten, die zuvor drauf waren zu 100% wiederherstellbar sind. :eek:

Was verdammt ist da schief gelaufen?
Die In-Place-Formatierung ist ja eine vollständige Formatierung!


edit:
Kann es sein, dass ein USB-Stick von TC anders behandelt wird als eine HDD?


edit2:
Bei In-Place-Formatierung wird die Partition formatiert
Ich probiere gerade die obere Option (Volume-Formatierung ohne Quick-Format)

Kritische Sicherheitslücken in Verschlüsselungssoftware TrueCrypt entdeckt
Sie stecken in einem Treiber, den die Verschlüsselungssoftware unter Windows installiert. Ein Angreifer könnte darüber Systemrechte erlangen, auch wenn der angemeldete Benutzer nur über ein eingeschränktes Konto verfügt.

Die Schwachstellen mit den Kennungen CVE-2015-7538 und CVE-2015-7539 werden allerdings nicht mehr in TrueCrypt beseitigt, da der Entwickler seine Arbeit an der Software eingestellt hat. Fixes enthält indes die am Samstag veröffentlichte Version 1.15 von VeraCrypt, einer Open-Source-Anwendung, die auf dem TrueCrypt-Code basiert.

http://www.zdnet.de/88247730/kritische-sicherheitsluecken-in-verschluesselungssoftware-truecrypt-entdeckt/?utm_source=feedly&utm_medium=rss&utm_campaign=rss

Leider sind die cve noch nicht öffentlich, was das Ausmaß der Lücken nur erahnen lässt.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7358
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7359

Ödit sagt: Wird mal Zeit, dass wir uns über die zig Forks unterhalten, dies gibt. Worauf setzt ihr?

mal schauen, was dabei raus kommt, aber im Moment klingt das wider nach schlecht machen von TrueCrypt,
wahrscheinlich muss man damit die Lücke zum tragen kommt eine fremden Container öffnen, was sowieso keiner macht,

aber VeraCrypt ist ja so sicher, blöd nur das da Microsoft die Finger im Spiel hat,
u. ist schon seltsam das die Meldung genau dann kommt wo VeraCrypt den Fehler schon behoben hat :freak:

Wo hast du das mit Veracrypt und Microsoft her?

scrolle mal die Veracrypt Seite ganz nach unten u. schaue in die Fußleiste

Ich bin mal gespannt, was für eine Lücke das sein soll. Und welcher Fall eintreten muss, damit diese Lücke ausgenutzt werden kann.

Meine Meinung: jedes Stück Software hat irgendwo eine Sicherheitslücke, die Frage für mich stellt sich immer: wie hoch ist die Wahrscheinlichkeit, dass ein solches Szenario eintritt?

Man sollte sich davon verabschieden, dass irgendetwas absolut sicher sei. Und wenn das einem bewusst ist, dann kann man mit den Risiken umgehen.

Daher behaupte ich, Truecrypt ist sicher. Denn es erfüllt seinen Zweck. Im Falle eines Diebstahls oder ähnliches kann man eine verschlüsselte Festplatte nach heutigen Maßstäben nicht knacken.

scrolle mal die Veracrypt Seite ganz nach unten u. schaue in die Fußleiste

Das ist so nicht richtg. CodePlex ist "nur" eine Hosting-Platform für Open Source Software. Die kann auch ruhig von Micorsoft betrieben werden.
Dort steht auch verlinkt, dass der Entwickler von VeraCrypt eine Firma namens IDRIX ist. Nichts desto trotzt ist richtg, dass nur eine Auditierung Aufschluß darüber geben kann,
wie weit die Software als "wasserdicht" im Sinne einer hintertürfreien Verschlüsselung gelten kann.

Trotzdem verwende ich auch TrueCrypt weiter solange nicht bewiesen ist das es unsicher ist.

Computer übernehmen, Laufwerke aushängen

Bei der von den VeraCrypt-Entwicklern als kritisch eingestuften Lücke (CVE-2015-7358) kann ein Angreifer die Zuweisung des Laufwerkbuchstabens als Einfallstor missbrauchen. Das kann dem VeraCrypt-Verantwortlichen Mounir Idrassi jeder Prozess ausnutzen. Für einen erfolgreichen Übergriff muss sich der Angreifer noch nicht einmal lokalen Zugriff zum Computer haben, denn Idrassi zufolge könnte eine Malware an der Schwachstelle ansetzen und einen Fernzugriff für einen Angreifer einrichten.

Über die zweite Lücke (CVE-2015-7359) könne ein Angreifer gemountete Volumes aushängen und deren Eigenschaften auslesen. Forshaw zufolge waren beide Lücken gut im Programmcode versteckt, wurden aber nicht mit Absicht eingefügt; dem pflichtet Idrassi bei. In der Vergangenheit wurde TrueCrypt verdächtigt, eine Hintertür im Programmcode zu verstecken. (des)

http://www.heise.de/security/meldung/VeraCrypt-entledigt-sich-alter-Sicherheitsluecken-2832494.html

Was hat heise denn da geritten? Auch noch der letzte Satz, ziemliche FUD-Schleuder geworden mit einem Mal? o_O Mal die 3DCenter-Startseite (https://www.3dcenter.org/news/hardware-und-nachrichten-links-des-30-september-2015) dazu:
Betroffen ist nicht direkt die Verschlüsselungsfunktion, vielmehr sind mittels der neuen Sicherheitslücken Rechteausweitungen im Windows-System möglich. Ausnutzen läßt sich dies aber nur dann, wenn physischer Zugang zur Hardware besteht oder aber bereits ein Trojaner im System ist. In letzterem Fällen ist dann natürlich indirekt auch die Verschlüsselungsfunktionalität unter Beschuss, da man dann das TrueCrypt-Passwort (unbemerkt) mitzulesen versuchen könnte. Entscheidender Punkt an der Sache ist jedoch, daß sich an der Sicherheit der reinen TrueCrpyt-Verschlüsselung nichts ändert: Alle verschlüsselten TrueCrypt-Daten sind nach wie vor nicht ohne Passwort (in vernünftiger Zeit) entschlüsselbar.

Die neuen Sicherheitslücken vereinfachen nur die Aktion, das TrueCrypt-Passwort abzugreifen – aus einem Stand heraus, wo dies sowieso schon möglich ist. Denn auch ohne diese Sicherheitslücken ist faktisch alles verloren, wenn bereits ein Trojaner auf dem System ist – allerdings auch nur, wenn der Trojaner-Betreiber überhaupt Interesse an der vorhandenen TrueCrypt-Installation zeigt.

wollte ich auch schon schreiben, wenn die "Sicherheitslücke" zum tragen kommt hat man schon ganz andere Probleme mit "seinen" System,
wenn es dann denn noch das eigene System ist :freak:

Ups, Brainfart. Bitte löschen.

soviel zu nicht sicher (http://www.computerbase.de/2015-11/truecrypt-verschluesselungssoftware-sicherer-als-geglaubt/)

manche Argumente sich aber wirklich blöd beschrieben, kein Verschlüsselungssystem kann den Inhalt schützen wenn es im Betriebssystem gemountet ist :freak:

Was ist an den Gerüchten dran, dass div. HDD-Hersteller HDDs mit entsprechender Schadsoftware verkaufen? Und es unmöglich ist diese zu entfernen.

was für eine Schadsoftware ?
oder meinst du das man davon ausgehen muss das wenn man die Platteneigen Verschlüsselung benutzt die NSA da einen Master Schüssel hat,

dieser Master Schüssel ist für mit TrueCrypt verschlüsselte Container aber irrelevant.

Gestern Mittag der kleine GAU...
Hab mit einer neuen, externen HDD und Truecrypt herumexperimentiert.
Zwischendurch hab ich eine andere HDD über Truecrypt gemounted (sollte gesichert werden)

Irgendwann wollte ich die ext. HDD über die Datenträgerverwaltung wieder platt machen (zum Zweiten mal). Also machte ich das letzte Laufwerk in der Datenträgerverwaltung platt.
Dumm nur, dass ich die zwischendurch gemountete HDD erwischte, die nun in der Liste der Laufwerke ganz unten stand, wo zuvor die ext. HDD war!!! :eek:
Und ausgerechnet die HDD plattgemacht, von der es noch KEINE Kopie gab. Diese sollte ja später auf die ext. HDD :hammer:

Auf der versehentlich gelöschten HDD war eine Partition installiert, wie auf der ext. Test-HDD. Ich überlegte, ob ich die Partition wieder anlegen soll, um danach den eingebetteten Header zu laden.
Zum Glück hab ich das nicht gemacht. Denn das hab ich zum Testen auf der noch leeren, ext. HDD ausprobiert. Das Ergebnis war, dass man zwar den eingebetteten Header zwar laden und das Laufwerk mouten kann, jedoch nur noch virtuelles Laufwerk angezeigt wird.

Tools, wie "GetDataBack" zeigten auch nur noch Datenmüll an. :P

PANIK!!! :O

Google angeworfen...
Da fand ich auch gleich mehrere Beiträge mit meinem Problem. (Partition gelöscht). Das Tool "Testcrypt" hat zum Glück alles wieder gerichtet und der heilige Abend war gerettet :freak:

btw:
Testcrypt durchsucht anders wie Testdisk nur das Ende der HDD, wo der eingebettete Header liegt.
Das sind nicht wirklich viele Sektoren. Und das dauerte schon ca. 30 Minuten.

Die ganze HDD mit Testcrypt zu scannen sollte laut Berechnung des Tools ~1300 Tage dauern!!! :eek: