Fefes Blog

Fragen? Antworten! Siehe auch: Alternativlos

Tue Sep 29 2015

• [l] Truecrypt war ja von NCC/iSec auditiert worden, daran erinnert ihr euch vielleicht. Das war besonders akut, nachdem die Projektleiter das so mysteriös eingestellt hatten. Die fanden zwei-drei Kleinigkeiten aber keine echten Klopper.

  Das Problem bei sowas ist, dass auch gute Auditoren am Ende des Tages nur Menschen sind. Das schmerzt mich besonders, weil der NCC-Hauptauditor in dem Projekt ein guter Freund von mir ist. Der hat aber zwei Klopper übersehen, und das ist besonders peinlich, weil sie genau nach sowas gesucht haben, und weniger nach Krypto-Bugs. Veracrypt hat die Bugs in ihrem Fork geschlossen. (Danke, Stefan)

Sat Apr 4 2015

• [l] Der Truecrypt-Audit ist durch und hat nichts Erwähnenswertes gefunden. Das übelste Problem ist, dass Truecrypt beim Zufallszahlengenerieren nicht mit Fehlermeldung abbricht, wenn der Windows-Generator einen Fehler zurückliefert, sondern dann selbst Entropie zu sammeln versucht. Dieser Fall tritt unter normalen Anwendungsfällen nicht auf, den müsste man herbeiführen. In der Cloud wäre das möglicherweise doof, aber seine Daten in die Cloud zu schieben ist eh bescheuert, ob da jetzt ein Truecrypt drum ist oder nicht, weil man die Hardware nicht kontrolliert. Ein Angreifer im Hypervisor kann den Key einfach auslesen.

  Auf einem normalen Windows kann man das auch herbeiführen, aber man müsste es (wenn ich das richtig verstanden habe) zu dem Zeitpunkt herbeigeführt haben, als das Truecrypt-Volume angelegt wurde. Das ist jetzt nichts, wo ich nachts unruhig schlafen würde.

Sun Jun 1 2014

• [l] Bei Truecrypt ist weiterhin alles ziemlich unklar, aber die Spekulationen verdichten sich in die Richtung, dass die einen National Security Letter oder ähnliches gekriegt haben, und das ihre Form des Minen-Kanarienvogels für ihre User war. Wenn ihr mal weitergeklickt habt von den Bitlocker-Anweisungen, zu den Mac-Anweisungen: Da empfehlen ihre Instruktionen einen Container ohne Verschlüsselung anzulegen, das ist offensichtlich Unfug.

  Ein weiteres Indiz war:

  WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

  Nichts genaues weiß man nicht, aber ich halte das als Theorie für halbwegs plausibel. Man kann die alten Versionen von Truecrypt weiterhin einsetzen, würde ich sagen. Und der Audit Phase 2 wird ja auch stattfinden.

Wed May 28 2014

• [l] Die Truecrypt-Homepage leitet plötzlich auf Sourceorge um, und da steht, Truecrypt sei unsicher und man möge zu Bitlocker wechseln. Ich halte das im Moment für nicht glaubwürdig. Der Audit hat Phase 1 abgeschlossen, mit recht positiven Ergebnissen, und Phase 2 hat noch nicht angefangen. Es gibt keinen Grund für "ist unsicher", der mir bekannt wäre.

  Bei der Gelegenheit haben sie auch ein neues Binary von "Version 7.2" hochgeladen. Das riecht alles gewaltig aus dem Mund. Das ist pikanterweise mit dem alten Key signiert. Ich würde das erstmal noch nicht downloaden und installieren. Bis zur Klärung der Situation würde ich das für einen Hack halten. Vielleicht wollte da ein genervter Mitarbeiter hinter sich nochmal kurz alle Brücken sprengen oder so.

Mon Aug 19 2013

• [l] Die alternative Erklärung für die Miranda-Festnahme ist, dass der auf seiner Platte lauter geheime Dokumente waren. Die Briten haben die geklaute Hardware anscheinend direkt an die Amis übergeben. Aber Glenn Greenwald sagt direkt mal an, dass er da ruhig schlafen kann, weil er alles ordentlich verschlüsselt hat.

  Jetzt ist der Moment, an dem ihr euch fragen solltet, ob ihr in der Lage das selbe sagen könntet. Wenn nicht: Truecrypt ist euer Freund :-)

Sun Oct 4 2009

• [l] Na endlich gibt es hier auch mal wieder eine schöne NSA-Verschwörungstheorie! Und zwar war www.truecrypt.org down, und sie erklären das mit Serverumzug. Wenn man mal im DNS nachschaut, ist www.truecrypt.org jetzt auf der IP 72.233.34.82, laut whois ist das Layered Technologies in Texas. Und wenn man dann mal bei Cryptome nachschaut, wird Layered Technologies als "NSA-affiliated IP range" geführt. Zu finden z.B. hier.

  Nun macht sich der eine oder andere sicher Sorgen, ob man denn Truecrypt jetzt noch einsetzen kann.

  Ich würde mir da ehrlich gesagt nicht so viel Sorgen machen, denn auf der Liste der NSA-affiliated IP ranges sind auch Institutionen wie das MIT (da kommen Kerberos und X11 her), MCI/Verizon/UUnet, die Mercedes Benz AG, Microsoft, Myspace, Nacamar (?!?), Cogent, Princeton University, Qwest, das RIPE NCC (harhar), Savvis, Schlund und Partner AG, Sprint, Tiscali, Telecom Italia, Telefonica (denen gehört u.a. Hansenet), Telekom Austria, Telia, Telstra, T-Mobile Ungarn, T-Online Frankreich und Ungarn, Versatel, Wanadoo, den Weather Channel (hahaha), XS4ALL, Yahoo, Youtube, oh und Level 3. Wenn ihr jetzt mal ein Traceroute zu einem beliebigen Open Source Projekt im Internet macht, kommt ihr mit großer Wahrscheinlichkeit bei Cogent, Telia, Sprint, Savvis oder Level 3 vorbei. Ein Traceroute von mir zuhause zu Sourceforge geht z.B. durch Telia und Savvis. Ein Traceroute zu ftp.gnu.org geht durch Cogent. Oh und auch die Route zu cryptome.org geht für mich über telia und savvis. :-)

  Jeder Linux-User benutzt X11, jeder Windows-User benutzt Kerberos, und Microsoft ist ja eh auf der Liste.

  Wer sich also Sorgen macht, der kann sich ja die Truecrypt-Sourcen mal in Ruhe angucken. Deshalb kommt Truecrypt ja mit Sourcen.

  Update: Im Übrigen möchte ich mal aus einem Chat zitieren:

  <Fefe> truecrypt ist jetzt nsa-unterwandert!1!!
  <Andreas> Fefe: "jetzt"?
  <Fefe> Andreas: wie, war schon immer NSA-unterwandert?
  <Andreas> Fefe: Natürlich!!1!
  * Andreas hat keine Beweise, aber das zeigt ja schon, wie gut die bei der NSA sind!!