Ist TrueCrypt wirklich sicher?

Ich benutze TrueCrypt schon lange. Jemand verwies mich jedoch auf einen Link, der die Probleme mit der Lizenz beschrieb .

IANAL und so ergab es für mich wirklich keinen Sinn; Ich möchte jedoch, dass meine Verschlüsselungssoftware Open Source ist - nicht, weil ich sie hacken kann, sondern weil ich ihr vertraue.

Einige der damit verbundenen Probleme sind mir aufgefallen:

• Es gibt kein VCS für den Quellcode.
• Es gibt keine Änderungsprotokolle.
• Die Foren sind ein schlechter Ort. Sie verbieten dich, selbst wenn du eine echte Frage stellst.
• Wem gehört TrueCrypt wirklich?
• Es gab einige Berichte über das Basteln mit den MD5-Prüfsummen.

Um ehrlich zu sein, der einzige Grund, warum ich TrueCrypt verwendet habe, war, dass es Open Source war. Aber manche Dinge stimmen einfach nicht.

Hat jemals jemand die Sicherheit von TrueCrypt überprüft? Sollte ich mir wirklich Sorgen machen? Ja, ich bin paranoid. Wenn ich eine Verschlüsselungssoftware verwende, vertraue ich ihr mein ganzes Leben lang an.

Wenn alle meine Bedenken aufrichtig sind, gibt es eine andere Open-Source-Alternative zu TrueCrypt?

Ich gehe den Artikel Punkt für Punkt durch:

Niemand weiß, wer TrueCrypt geschrieben hat. Niemand weiß, wer TC unterhält.

Gleich danach steht in einem Zitat, dass die Marke von Tesarik, der in der Tschechischen Republik lebt, gehalten wird. Es ist ziemlich sicher anzunehmen, dass jeder, der die Marke besitzt, das Produkt pflegt.

Moderatoren im TC-Forum sperren Benutzer, die Fragen stellen.

Gibt es einen Beweis dafür oder ist es nur anekdotisch? Und mit Beweisen meine ich Beweise aus der ersten Person, Screenshots usw.

TC behauptet, auf Encryption for the Masses (E4M) zu basieren. Sie behaupten auch, Open Source zu sein, unterhalten jedoch keine öffentlichen CVS / SVN-Repositories

Die Quellcodeverwaltung ist sicherlich ein wichtiger Teil eines Gruppenprogrammierungsprojekts, aber das Fehlen beeinträchtigt die Glaubwürdigkeit eines solchen Projekts nicht.

und keine Änderungsprotokolle ausstellen.

Ja, das tun sie. http://www.truecrypt.org/docs/?s=version-history . Nicht alle OSS veröffentlichen extrem klare Änderungsprotokolle, weil es manchmal einfach zu viel Zeit ist.

Sie verbannen Leute aus den Foren, die nach Änderungsprotokollen oder altem Quellcode fragen.

Weil es eine blöde Frage ist, wenn man bedenkt, dass es ein Änderungsprotokoll gibt und alte Versionen bereits verfügbar sind. http://www.truecrypt.org/downloads2

Sie ändern auch stillschweigend die Binärdateien (MD5-Hashes ändern sich) ohne Erklärung ... Null.

Von welcher Version ist das? Gibt es noch andere Beweise? Herunterladbare, signierte alte Versionen?

Die Marke wird von einem Mann in der Tschechischen Republik gehalten ((REGISTRANT) Tesarik, David INDIVIDUAL TSCHECHISCHE REPUBLIK Taussigova 1170/5 Praha TSCHECHISCHE REPUBLIK 18200.)

Na und? Jemand in der Tschechischen Republik besitzt eine Marke für eine wichtige Verschlüsselungstechnologie. Warum spielt es eine Rolle?

Domains werden privat per Proxy registriert. Einige Leute behaupten, es habe eine Hintertür.

Wer? Wo? Was?

Wer weiß? Diese Leute sagen, sie können TC-Volumes finden: http://16systems.com/TCHunt/index.html

Duh, die TC-Bände im Screenshot alle END WITH .tc.

Und jemand dieses Bild auf der Kontaktseite gesehen?

Lesen Sie diese Artikel, das FBI hat es nicht geschafft, 5 mit truecrypt geschützte Festplatten zu entschlüsseln

http://www.net-security.org/secworld.php?id=9506

http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html

Ich glaube, dass TrueCrypt von der NSA, der CIA oder einer dieser großen Bundesbehörden bereitgestellt wird, um die Verschlüsselung zu fördern, für die sie die Hintertür haben, um die Verwendung anderer Verschlüsselungen zu verringern, die sie nicht knacken können. Das ist der Grund für ihre Verschwiegenheit, und deshalb ist es auch ein so gut durchdachtes Produkt mit guter Dokumentation, obwohl es weder ein kommerzielles Produkt ist noch die breite Beteiligung von Open Source-Entwicklern hat.

In diesem Dokument wird erläutert, dass es das Ziel der Regierung ist, die weit verbreitete Verwendung von Verschlüsselung zu fördern, mit der die Schlüssel wiederhergestellt werden können: http://www.justice.gov/criminal/cybercrime/cryptfaq.htm

Tatsächlich befürwortet die Verwaltung die Entwicklung, Herstellung und Verwendung von Verschlüsselungsprodukten und -diensten, die die Wiederherstellung des Klartextes verschlüsselter Daten ermöglichen, einschließlich der Entwicklung von Klartext-Wiederherstellungssystemen, die über verschiedene technische Ansätze den rechtzeitigen Zugriff auf Klartext ermöglichen, entweder durch Eigentümer von Daten oder von Strafverfolgungsbehörden, die unter rechtmäßiger Aufsicht handeln. Nur die weitverbreitete Verwendung solcher Systeme wird sowohl einen besseren Schutz der Daten als auch die öffentliche Sicherheit gewährleisten.

....

Das Ziel der Abteilung - und die Richtlinien der Verwaltung - besteht darin, die Entwicklung und Verwendung einer starken Verschlüsselung zu fördern, die die Privatsphäre der Kommunikation und der gespeicherten Daten verbessert und gleichzeitig die derzeitige Fähigkeit der Strafverfolgungsbehörden, im Rahmen einer gesetzlich genehmigten Suche oder eines Verfahrens auf Beweise zuzugreifen, beibehält Überwachung.

...

In diesem Zusammenhang hoffen wir, dass die Verfügbarkeit einer hochzuverlässigen Verschlüsselung, die Wiederherstellungssysteme bereitstellt, die Nachfrage nach anderen Verschlüsselungstypen verringern und die Wahrscheinlichkeit erhöhen wird, dass Kriminelle wiederherstellbare Verschlüsselung verwenden.

Nun, das TrueCrypt-Projekt kann auf eine Art und Weise ausgeführt werden, die für Außenstehende unwirtlich / feindlich ist (anonyme Entwickler, kein Changelog), aber ich sehe nicht, wie das damit zusammenhängt, dass es sicher ist oder nicht.

Sehen Sie sich das so an: Wenn die Entwickler wirklich Leute verarschen wollten, indem sie Backdoors in TrueCrypt einbinden , wäre es sinnvoll, wenn sie nett sind, damit die Leute weniger misstrauisch werden.

Mit anderen Worten, ob die Software vertrauenswürdig ist, ist völlig unabhängig davon, ob die Entwickler gesellige Menschen sind oder nicht. Wenn Sie der Meinung sind, dass die Verfügbarkeit von Quellcode nicht ausreicht, um die Sicherheit zu gewährleisten, müssen Sie ein Code-Audit durchführen. Es gibt sicherlich Leute außerhalb des TrueCrypt-Projekts, die sich den Quellcode ansehen, so dass eine absichtliche Hintertür wahrscheinlich schwer zu verbergen ist, aber es könnte versteckte Fehler geben. Dieser Fehler in Debians OpenSSL-Paket blieb eine ganze Weile unbemerkt.

Ich denke, der Punkt, den alle vermissen, ist, wenn jemand überlegt, Truecrypt zu verwenden, dass diese Person 100% sicher sein muss, dass es sicher ist, wenn nicht ihr Leben in Gefahr ist, es ist kein Flash Player oder eine Furz-App für Ihr iPhone, es ist eine Anwendung, in der Wenn dies fehlschlägt, wird möglicherweise jemand wegen der gefundenen Informationen getötet.

Wenn die Integrität von Truecrypt zweifelhaft ist, warum diese Anwendung verwenden?

Übrigens ist keine Frage eine dumme Frage zu Truecrypt oder so.

Ich verwende TrueCrypt seit einigen Jahren, und wenn Sie sich das Verschlüsselungsschema ansehen , werden die anderen kleinen Probleme, auf die Sie hingewiesen haben, die Sicherheit nicht beeinträchtigen . Sogar ein 15-jähriger Computeringenieur / Cryptanalyst war davon beeindruckt.

Und nur weil es kein Repository hat, heißt das nicht, dass es nicht Open Source ist. Ich kann in den Download-Bereich gehen und den gesamten Quellcode herunterladen , nach dem Sie in Wirklichkeit suchen.

Die Foren sind die einzige Schwachstelle. Ich habe allerdings keine Verbote gesehen, nur Flammenkriege. Haben Sie Beweise für Verbote?

In den bisherigen Antworten wurde diskutiert, wie viel Vertrauen in die TrueCrypt-Verschlüsselung gesetzt werden kann. Laut Dokumentation verwendet TrueCrypt gute Verschlüsselungsalgorithmen. Dies ist jedoch nur ein Teil der Geschichte, da die kryptografischen Algorithmen nicht der schwierigste Teil eines sicherheitsintensiven Programms sind. Der Quellcode von TrueCrypt steht zur Überprüfung zur Verfügung, was ein Pluspunkt für TrueCrypt ist.

Bei der Evaluierung eines Programms zum Schutz vertraulicher Daten sind weitere Punkte zu beachten.

• Bietet das Programm auch Datenintegrität ? TrueCrypt nicht. Datenintegrität bedeutet, dass jemand, der vorübergehend auf Ihren Computer zugreifen kann, Ihre Daten nicht durch geänderte Daten ersetzen kann. Es ist besonders wichtig, Ihr Betriebssystem zu schützen: Wenn jemand hinter Ihren Daten her ist, installiert er möglicherweise einen Keylogger, um Ihre Passphase beim nächsten Eingeben zu erfassen, oder eine andere Malware, die ihm nicht indirekt den Zugriff auf Ihre Daten ermöglicht. Also , wenn Sie nicht eine Möglichkeit haben , solche Manipulationen zu detektieren, lassen Sie den Computer nicht unbeaufsichtigt .

• Wie weit verbreitet ist das Programm? Die TrueCrypt-Raten sind in dieser Hinsicht ziemlich hoch: Es ist auf allen gängigen Desktop-Betriebssystemen (Windows, Mac, Linux) verfügbar. Es ist kostenlos, sodass Sie sich keine Gedanken über die Lizenzkosten machen müssen. Es ist Open Source, damit andere die Entwicklung übernehmen können, wenn das aktuelle Entwicklungsteam plötzlich verschwindet. Es ist weit verbreitet, sodass wahrscheinlich jemand verstärkt wird, wenn das aktuelle Team verschwindet. Das Fehlen eines öffentlichen Zugangs zum Quellcodeverwaltungssystem (einzelne Patches mit ihren Änderungsmeldungen) spricht jedoch dagegen.

Abgesehen von einem Kaltstart-Angriff ist Truecrypt nicht 100% sicher . Der Bootloader enthält forensische Spuren, die Ihren Feind (wenn er sich mit Computerforensik auskennt) dazu zwingen, ein Passwort einzugeben.