Softwareperlen?! TrueCrypt

Fragen zur Organisation, spezielle technische Fragen zum Dienst,
Kornblumenblau
Posts: 67
Joined: Sun Oct 27, 2013 19:53

Re: Softwareperlen?! TrueCrypt

Post by Kornblumenblau » Mon Nov 25, 2013 20:50

Der bleibende Eindruck, sich was zusammen- und anderen was vorreimen: [...]
Update 11. Oktober 2013:
"Future Development

For the list of features that are planned for a future release, please refer to:
http://www.truecrypt.org/future"
--------
http://www.truecrypt.org/docs/future-development
--------

"Planned features

According to the TrueCrypt website the following features are planned for future releases:

Full support for Windows 8
Ability to encrypt Windows system partitions/drives on UEFI-based computers
Command line options for volume creation (already implemented in Linux and Mac OS X versions)
'Raw' CD/DVD volumes"
--------
http://www.truecrypt.org/future
--------
"Geplante Merkmale in zukünftigen Versionen

Für spätere Versionen des Programms ist ein TrueCrypt-API zur Ansteuerung der Software durch andere Programme, eine Rohverschlüsselung für CD- und DVD-Volumes, vorgesehen. Zudem sollen in der Windows-Version Optionen zur Erstellung von Volumes aus der Kommandozeile hinzugefügt werden; diese sind in den Versionen für Linux und Mac OS X bereits verfügbar."
--------
https://de.wikipedia.org/wiki/TrueCrypt
https://en.wikipedia.org/wiki/TrueCrypt
--------

cane

Re: Softwareperlen?! TrueCrypt

Post by cane » Tue Nov 26, 2013 8:29

Update 11. Oktober 2013:
"Future Development
Tja, vielleicht hatte ich unrecht.

Kornblumenblau
Posts: 67
Joined: Sun Oct 27, 2013 19:53

Re: Softwareperlen?! TrueCrypt

Post by Kornblumenblau » Wed Dec 11, 2013 19:54

Zur Erinnerung, diese Post zum Truecrypt-Audit:
-----------------------------------
viewtopic.php?p=34997&sid=9e6163fa79c5c ... 0ee#p34997
viewtopic.php?p=35148&sid=9e6163fa79c5c ... 0ee#p35148
viewtopic.php?p=35183&sid=9e6163fa79c5c ... 0ee#p35183
-----------------------------------
damit ergänzt:

"WHAT'S YOUR PLAN?

The exact terms are still a work in progress, but our proposal breaks down into roughly four components:

License review.
Truecrypt uses an odd, potentially non-FOSS license. We'd like to have it reviewed by a competent attorney to see how compatible it is with GPL and other OSS software.

Implement deterministic/reproducible builds.
Many of our concerns with Truecrypt could go away if we knew the binaries were compiled from source. Unfortunately it's not realistic to ask every Windows user to compile Truecrypt themselves. Our proposal is to adapt the deterministic build process that Tor is now using, so we can know the binaries are safe and untampered. This is really a precondition to everything else. And it's not an easy process.

Pay out bug bounties.
Not every developer has time or money to audit the entire source. But some have a little time. If we collect enough, we'd like to compensate bug hunters a little bit for anything security critical they find in the code.

Conduct a professional audit.
The real dream of this project is to see the entire codebase receive a professional audit from one of the few security evaluation companies who are qualified to review crypto software. We're hoping to convince one of the stronger companies to donate some time and/or reduced rates. But good work doesn't come free, and that's why we're asking for help.

Done correctly, this project makes us all stronger.

AREN'T YOU'LL INSULT THE TRUECRYPT DEVELOPERS?

I sure hope not, since we're all after the same thing. Remember, our goal isn't to find some mythical back door in Truecrypt, but rather, to wipe away any doubt people have about the security of this tool.

But perhaps this will tick people off. And if you're one of the developers and you find that you're ticked, I'll tell you exactly how to get back at us. Up your game. Beat us to the punch and make us all look like fools.

We'll thank you for it."
--------
http://blog.cryptographyengineering.com ... crypt.html
--------

Kornblumenblau
Posts: 67
Joined: Sun Oct 27, 2013 19:53

Re: Softwareperlen?! TrueCrypt

Post by Kornblumenblau » Fri Dec 13, 2013 14:14

Zum Thema passend, zwei interessante Beiträge anderer Thread:
--------
viewtopic.php?p=35620#p35620
viewtopic.php?p=35469#p35469 (letztes Drittel)
--------

Imteyes
Posts: 17
Joined: Sat Apr 04, 2015 14:17

Re: Softwareperlen?! TrueCrypt

Post by Imteyes » Sat Apr 04, 2015 19:14

Nach eineinhalb Jahren, das Ergebnis eingehender wissenschaftlicher Nachforschungen des OCAP-Projekt:

Version 7.1a, nicht perfekt aber (auch in der Version für Windows7) sicher!

https://opencryptoaudit.org/
http://istruecryptauditedyet.com/
http://blog.cryptographyengineering.com ... eport.html
https://www.schneier.com/blog/archives/ ... secur.html

Matthew Green und seine Mitarbeiter haben auch "Phase II" Ihres OCAP-Projekts abgeschlossen.

Damit ist das TrueCrypt-Audit komplett.




Anhang
TrueCrypt_Phase_II_NCC_OCAP_final.pdf
iSec_Final_Open_Crypto_Audit_Project_TrueCrypt_Security_Assessment.pdf

Imteyes
Posts: 17
Joined: Sat Apr 04, 2015 14:17

Re: Softwareperlen?! TrueCrypt

Post by Imteyes » Sat Jun 06, 2015 13:10

Ohne Anspruch auf Vollständigkeit "gesearcht", Beispiele an Audits allein in der Datenbank dieses Forums:

https://opencryptoaudit.org/
http://seclists.org/fulldisclosure/2013/Oct/245
https://madiba.encs.concordia.ca/~x_dec ... -analysis/
https://www.privacy-cd.org/downloads/tr ... sis-en.pdf
http://www.ssi.gouv.fr/IMG/qualificatio ... ssi_sr.pdf
http://istruecryptauditedyet.com/

Keine einzige seiner Laufwerksverschlüsselungsalternativen ist dermaßen umfangreich und genauer von unabhängigen Fachleuten durchleuchtet! Ein starkes Argument für den (weiteren) Gebrauch von True Crypt v7.1a. Man weiß, was man daran hat: Ausgereifte, stabile Software und auch in einem "dis-continued" Status voll auf der Höhe moderner Crypto.
Kleinere Schwachstellen im Verschlüsselungs-Tool stehen einer Verwendung nicht entgegen.
http://www.heise.de/security/meldung/Au ... 95838.html

Also, nach wie vor dürfte Besseres schwerlich zu finden sein!


[ Mehr zum Thema True Crypt gibt's auch in diesem neuen thread: viewtopic.php?f=4&t=9134&hilit=truecrypt ]


Imteyes
Posts: 17
Joined: Sat Apr 04, 2015 14:17

Re: Softwareperlen?! TrueCrypt

Post by Imteyes » Sat Jun 06, 2015 13:19

Keine einzige seiner Laufwerksverschlüsselungsalternativen ist dermaßen umfangreich und genauer von unabhängigen Fachleuten durchleuchtet!

So ist auch die nachdrückliche Empfehlung der CipherShed-Entwickler zu verstehen, die Nutzung dieses auditierten True Crypt-Originals jeder seiner diversen in der Entwicklung befindlichen nicht-auditierten Forken vorzuziehen.

cane

Re: Softwareperlen?! TrueCrypt

Post by cane » Sat Jun 06, 2015 13:21

Also, nach wie vor dürfte Besseres schwerlich zu finden sein!
Wenn es eine Software gibt, die die schwächen beseitigt, welche in den Audits aufgedeckt wurden, wäre diese Software dann nicht ein kleines bisschen besser?
Keine einzige seiner Laufwerksverschlüsselungsalternativen ist dermaßen umfangreich und genauer von unabhängigen Fachleuten durchleuchtet!
Wie kommen Sie zu dieser Erkenntnis? Lesen Sie die Crypto-Mailinglisten, gehören Sie zu den Cypherpunks, haben Sie berufliche Referenzen oder lesen Sie einfach nur die Heise-News?

Haben Sie irgendwas anzubieten, dass Ihre Kompetenz auf diesem Gebiet nachweisen könnte? Bisher sind Sie hier ein unbekanntes Nobody, das einige PR-Beiträge für Truecrypt geschrieben hat ohne nennesnwerte Substanz, da alles von Ihnen genannte hier bereits im Forum steht.

Also: warum sollte man Ihre Aussage irgendwie ernst nehmen?

Wenn man etwas schreibt wie: "Keine andere Krypto-Software....", dann muss man schon den Eindruck erwecken, als hätte man auch von andere Krypto-Software Ahnung.

Post Reply