Truecrypt -> Veracrypt

  • Hallo zusammen,


    da es nicht um Mail- oder Transportverschlüsselung geht, unterschlage ich mal die üblichen Angaben.
    Nachdem kürzlich nun tatsächlich Lücken in Truecrypt gefunden wurden (frühere Audits waren in der Hinsicht relativ beruhigend), ist es vielleicht Zeit auf Veracrypt umzusteigen.
    Hat jemand Erfahrungen, vielleicht sogar unter Linux? Ist die Software (eigentlich ja ein Fork?) ähnlich bedienbar und zuverlässig wie TC?


    Grüße, muzel

  • Hallo muzel,


    ich habe gestern auch von diesen beiden Lücken gelesen. Die Frage, wann ich wechseln werde, habe ich für mich noch nicht entschieden. Der Grund ist, dass VeraCrypt ein eigenes Format verwendet. Ich habe zwar gelesen, dass es TrueCrypt-Container und -Laufwerke lesen und konvertieren kann, aber ich will nicht nicht die erste sein, bei der es dann doch in die Hose geht. ;-)


    Die beiden Sicherheitslücken sind aus meiner Sicht insofern nicht gar so schlimm, weil sie nicht die Kryptologie betreffen. Ein Angreifer erhält dadurch keinen Zugriff auf meine Daten.
    Aber er könnte mir einen Schädling installieren, der die entschlüsselten Daten liest. Einen ganz normalen Trojaner also. Nach allem, was ich bisher gelesen habe, benötigt er dazu aber physikalischen Zugang zu meinem Rechner. Das Risiko scheint mir daher noch überschaubar.


    Ich muss dazu sagen, dass wir lediglich unser Notebook komplett mit TrueCrypt verschlüsselt haben. Das dient allein dem Schutz der Daten bei Diebstahl oder Verlust.



    Gruß


    Susanne

  • Hallo,


    ich schließe mich vollumfänglich Susanne an.
    Auch ich nutze immer noch das "gute alte" TC. Und ein Angreifer, der es schafft, life auf meinen Rechner zu kommen (das traue ich in erster Linie den Berufsneugierigen diverser hier schon oft genannten "Firmen" zu), dem gönne ich von Herzen meine für ihn völlig uninteressanten persönlichen Daten.


    Sicherlich werden wir alle irgendwann auf ein neues Verfahren umsteigen. Aber wie sagte Susanne schon: "... aber ich will nicht nicht die erste sein, bei der es dann doch in die Hose geht. wink.png". Auch auf Veracrypt werden sich zu gegebener Zeit die Experten stürtzen. Und es werden auch dort Schwachstellen gefunden und beseitigt werden. Und wenn keine (gesucht und) gefunden werden, ist das schon wieder verdächtig.


    Deswegen: Füße still halten.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Danke für eure Antworten, dann werde ich wohl mal testen, natürlich mit Datensicherung....
    Grüße, muzel

  • Moin,


    graba : das war in etwa das gleiche, was ich schon via Fefe verlinkt hatte. Mir war nur neu, daß nur Windows-Nutzer betroffen sind (Schwein gehabt! ;-) ) Aber Das TC-Projekt ist tot, früher oder später muß ein Ersatz her, also VC?
    Meine ersten Testergebnisse sind (wie ich finde) ermutigend, die Oberfläche sieht Truecrypt sehr ähnlich, Truecrypt- und eigene Container können bearbeitet werden (nach der obligatorischen Fehlermeldung beim Öffnen eines TC-Containers das Häkchen "TC-Mode" setzen). Beim erstenmal "überlegt" VC sehr lange, aber dann geht es ähnlich flott wie mit TC.
    Ich habe mal mit 5GB großen Containern unter Ubuntu 14.4LTS rumgetestet und konnte keine Probleme, auch nicht bei der Geschwindigkeit, feststellen.
    Update: Auch unter Windows konnte ich bisher keine Probleme feststellen - aber da liegen eh nur Spieldaten.


    Ob nun dieses Projekt an sich vertrauenswürdig ist, ist eine ganz andere Frage. Open Source ist es ja wohl und steht unter Apache Lizenz und TrueCrypt-Lizenz. Wer sicher gehen will, sollte also selbst kompilieren, mal sehen, ob ich das auch noch mal versuche.
    Verschwörungstheoretiker werden mir recht geben, daß es für die "Dienste" sehr interessant sein könnte, so ein Projekt zu starten, auf das die ganze Welt wartet, und eine Hintertür einzubauen. Aber vielleicht gibt es irgendwann ein unabhängiges Audit wie bei TC.


    Grüße, muzel

    Einmal editiert, zuletzt von muzel ()

  • Hallo muzel,


    auch ich benutze seit Jahren "truecrypt" und werde eigentlich nicht umsteigen.
    Die von Dir angesprochenen Lücken, betreffen nur bestimmte Einstellungen und Sonderkonstellationen.
    Somit bleibt "TrueCrypt" nach wie vor sehr sicher.


    Die Frage ist doch:
    Wie wichtig ist Dein Datenschutz?
    Wie wichtig bist Du als Person oder Deine Daten, um Aufwand zu betreiben?
    Wer greift an oder möchte die Daten haben?
    Sind es Noobs, ScriptKiddies oder gar die NSA, FBI und Konsorten?


    Meines Erachtens ist es einfach Panikmache bzw. hat der Hersteller wohl den Schwanz aus Angst eingezogen. Politischer und juristischer Druck lassen manche Menschen einknicken.
    Die angesprochenen "Probleme" betreffen ja nur bestimmte Funktionen oder Konstellationen.
    Die reine Verschlüsselung oder das Aushebeln sicherlich nicht.


    Im Netz findet man sehr viele Infos dazu!
    Zum Beispiel auch:
    https://www.bsi.bund.de/DE/Pre…e_TrueCrypt_19112015.html


    Allerdings sollte man Angaben vom BSI auch mit Vorsicht genießen, da die ja auch mit der Regierung zusammenarbeiten.


    Es gibt ja noch andere Tests Online.


    Klar kommt man an Daten ran, wenn der Rechner noch an ist, Daten im RAM liegen oder man einfach ein kurzes Passwort hat. Ich für meine Bedürfnisse habe ein extrem komplexes Passwort, das selbst mit sämtlich zusammengeschalteten Supercomputern der Welt in 100000000000000000000000000 Jahren nicht gebrutforct werden kann. Online steht zwar geschrieben, dass Passware Kit Forensic und Co. es entschlüsseln können, aber da wird sich auch nur der alten "Bruteforce Methode" bedient.


    Im Grunde kann man sich selbst ein Programm schreiben oder den Source-Code benutzen,
    dann optimieren/ändern.


    Letztlich bleibt die Frage, wie wichtig die Daten geschützt werden müssen und welche Person Interesse daran hat oder es kann. Fakt ist auch, dass die Masse eher keine Ahnung hat.
    Sollte VeraCrypt auf TrueCrypt aufbauen, dann kann man dies ja benutzen.
    Ob die Integrität bei VeraCrypt erhalten bleibt, ist fraglich.
    Faktisch kann sich ja jeder dahinter verbergen und nun Sicherheitslücken bzw. ein Hintertürchen einbauen. Ich bleibe beim alten Programm und sehe da keine Probleme.