Hallo Peter,
die Studie erscheint mir recht sachlich und professionell, nur leider kommt sie etwa spät, und sie sagt (imho) nicht wirklich etwas Neues aus gegenüber dem bekannten Audit
https://opencryptoaudit.org/reports/TrueCr…_OCAP_final.pdf
...oder sehe ich das falsch? Bin weder Kryptologe noch Programmierer (nur für den "Hausgebrauch") und habe beide Dokumente nur überflogen.
Also grob gesagt, ein paar Dinge, die verbesserungswürdig sind, wie schlechter Programmier- und Dokumentationsstil, auch Programmierfehler, aber keine wirklichen Sicherheitslücken.
Ich würde mir ja etwas entsprechendes für VeraCrypt wünschen, denn TC wird nicht weiterentwickelt, während VC nach eigener Aussage schon einige Schwachstellen gefixt hat.
Bleiben natürlich offene Fragen zu TC selbst im Zusammenhang mit dem mysteriösen Rückzug der Entwickler, denen die Sache vermutlich zu heiß wurde, zur Vertrauenswürdigkeit von VC (französische Firma, die Software wird über Codeplex von M$ gehostet...) und zum BSI (bekanntlich eine Gründung des BND und jetzt dem Innenministerium unterstellt). Viel Material für Verschwörungstheoretiker 
Grüße, muzel
Hallo,
Das BSI hat das viele Geld ja nicht in die Hand genommen, um uns privaten TC-Nutzern Sicherheit zu geben, sondern einzig und allein, weil es ein kommerzielles Tool gibt, Tusted Disc der Sirrix AG, [...] Und dieses Tool nutzt Teile des Codes von True Crypt.
Davon, TC zu untersuchen haben sie eigentlich nichts, denn letztendlich müssen sie Trusted Disc zertifizieren, zwar inklusive der Teile, die von TC übernommen wurden, aber immer noch innerhalb Trusted Disc, oder nicht?. Es könnten ja Änderungen vorgenommen worden sein oder auch Fehler bei der Integration in Trusted Disc vorliegen.
Ich denke daher schon, dass das BSI mit der Untersuchung des gesamten TC einen Mehraufwand hatte, der der Allgemeinheit zugute kommt.
Gruß
Susanne
Hallo zusammen,
Zitat von Peter_LehmannVermutlich würde SIT oder eine andere Firma gern ein entsprechendes Audit für VC durchführen. Die Frage ist nur, wer das bezahlt. Das BSI - von Steuermitteln - garantiert nicht. Wenn ich sehe, wie Wikipedia oder "The Document Foundation" um Spenden kämpfen, wage ich zu bezweifeln, dass das dafür benötigte Geld zusammen kommen würde.
nach den Snowden-Enthüllungen war die Spendenbereitschaft groß, da hat ja bekanntlich auch das GnuPG-Projekt etwas abbekommen, aber im Moment reden alle nur noch vom Terror, und manch einer ist doch geneigt "Sicherheit" wichtiger als Freiheit zu nehmen. Von daher geb ich dir recht.
Ich denke daher schon, dass das BSI mit der Untersuchung des gesamten TC einen Mehraufwand hatte, der der Allgemeinheit zugute kommt.
Na gut, da haben sie mal was sinnvolles mit meinen Steuergeldern gemacht ;-).
Grüße, muzel
Na gut, da haben sie mal was sinnvolles mit meinen Steuergeldern gemacht ;-).
In 2014 betrugen die Steuereinnahmen laut dem BM für Finanzen rund 640 Milliarden Euro. Angenommen, dieses Code-Review hätte 1 Million Euro gekostet, dann würde dass bedeuten, dass jemand, der in einem Jahr 640 000 Euro Steuern bezahlt hat, davon einen Euro in dieses Projekt "investiert" hat.
Ich kenne ja Deine Vermögenslage nicht, aber mein Beitrag liegt da eher im Cent-Bereich.
