Truecrypt

  • Hallo Freunde,


    auch wenn das für die diversen Betriebssysteme vorhandene Daten- und Festplattenverschlüsselungsprogramm "Truecrypt" keinen direkten Bezug zum Thunderbird hat, möchte ich euch über einen IMHO wichtigen Beitrag zu diesem Thema informieren:
    https://www.bsi.bund.de/DE/Pre…e_TrueCrypt_19112015.html



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    die Studie erscheint mir recht sachlich und professionell, nur leider kommt sie etwa spät, und sie sagt (imho) nicht wirklich etwas Neues aus gegenüber dem bekannten Audit


    https://opencryptoaudit.org/re…ase_II_NCC_OCAP_final.pdf


    ...oder sehe ich das falsch? Bin weder Kryptologe noch Programmierer (nur für den "Hausgebrauch") und habe beide Dokumente nur überflogen.
    Also grob gesagt, ein paar Dinge, die verbesserungswürdig sind, wie schlechter Programmier- und Dokumentationsstil, auch Programmierfehler, aber keine wirklichen Sicherheitslücken.


    Ich würde mir ja etwas entsprechendes für VeraCrypt wünschen, denn TC wird nicht weiterentwickelt, während VC nach eigener Aussage schon einige Schwachstellen gefixt hat.


    Bleiben natürlich offene Fragen zu TC selbst im Zusammenhang mit dem mysteriösen Rückzug der Entwickler, denen die Sache vermutlich zu heiß wurde, zur Vertrauenswürdigkeit von VC (französische Firma, die Software wird über Codeplex von M$ gehostet...) und zum BSI (bekanntlich eine Gründung des BND und jetzt dem Innenministerium unterstellt). Viel Material für Verschwörungstheoretiker ;-)


    Grüße, muzel

  • Hallo muzel,


    ich habe mir beide Berichte gründlich durchgelesen. Und ich freue mich, dass es nichts "neues" gibt.
    Du schreibst, dass du dir "etwas entsprechendes für VeraCrypt wünschst". Diesen Wunsch kann ich gut verstehen, aber ich bezweifele, dass er in Erfüllung gehen wird.
    Das BSI hat das viele Geld ja nicht in die Hand genommen, um uns privaten TC-Nutzern Sicherheit zu geben, sondern einzig und allein, weil es ein kommerzielles Tool gibt, Tusted Disc der Sirrix AG, welches vom BSI bis VS-NfD, EU RESTRICTED und NATO RESTRICTED zugelassen wurde. Und dieses Tool nutzt Teile des Codes von True Crypt.
    Nun ist das BSI einfach in der Pflicht. Zwei Möglichkeiten: dem kommerziellen und vor allem von Bundesbehörden genutzten Programm die Zulassung entziehen - oder eben das Verfahren der Evaluierung und Zulassung erneut durchzuführen. Und von den vielen erhältlichen Programmen (von "Kostnix" bis teuer) ist das o.g. meines Wissens das einzige, was für die genannten Geheimhaltungsgrade zugelassen ist.


    Vermutlich würde SIT oder eine andere Firma gern ein entsprechendes Audit für VC durchführen. Die Frage ist nur, wer das bezahlt. Das BSI - von Steuermitteln - garantiert nicht. Wenn ich sehe, wie Wikipedia oder "The Document Foundation" um Spenden kämpfen, wage ich zu bezweifeln, dass das dafür benötigte Geld zusammen kommen würde.




    Bleiben natürlich offene Fragen ... und zum BSI (bekanntlich eine Gründung des BND und jetzt dem Innenministerium unterstellt).

    Ich kann sogar diese Fragen gut verstehen.
    Und die Unterstellung des BSI unter das BMI trägt auch keinesfalls zur Vertrauensbildung (unter der Bevölkerung) bei. Auch die bekannt gewordene Zuarbeit für den "Bundestrojaner" ist in dieser Hinsicht kontraproduktiv.
    Ich selbst habe bei zwei Projekten (eines davon ein "Kind" aus DD) recht eng mit der entsprechenden Abteilung des BSI zusammengearbeitet. Ich weiß auch, welcher Aufwand bis zu einer (sehr hohen) Zulassung erforderlich ist. Und ich sage ohne "wenn und aber", dass ich diesen, mir bekannten Mitarbeitern wirklich vertraue.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    Das BSI hat das viele Geld ja nicht in die Hand genommen, um uns privaten TC-Nutzern Sicherheit zu geben, sondern einzig und allein, weil es ein kommerzielles Tool gibt, Tusted Disc der Sirrix AG, [...] Und dieses Tool nutzt Teile des Codes von True Crypt.

    Davon, TC zu untersuchen haben sie eigentlich nichts, denn letztendlich müssen sie Trusted Disc zertifizieren, zwar inklusive der Teile, die von TC übernommen wurden, aber immer noch innerhalb Trusted Disc, oder nicht?. Es könnten ja Änderungen vorgenommen worden sein oder auch Fehler bei der Integration in Trusted Disc vorliegen.
    Ich denke daher schon, dass das BSI mit der Untersuchung des gesamten TC einen Mehraufwand hatte, der der Allgemeinheit zugute kommt.


    Gruß


    Susanne

  • Hallo zusammen,

    Zitat von Peter_Lehmann

    Vermutlich würde SIT oder eine andere Firma gern ein entsprechendes Audit für VC durchführen. Die Frage ist nur, wer das bezahlt. Das BSI - von Steuermitteln - garantiert nicht. Wenn ich sehe, wie Wikipedia oder "The Document Foundation" um Spenden kämpfen, wage ich zu bezweifeln, dass das dafür benötigte Geld zusammen kommen würde.

    nach den Snowden-Enthüllungen war die Spendenbereitschaft groß, da hat ja bekanntlich auch das GnuPG-Projekt etwas abbekommen, aber im Moment reden alle nur noch vom Terror, und manch einer ist doch geneigt "Sicherheit" wichtiger als Freiheit zu nehmen. Von daher geb ich dir recht.

    Ich denke daher schon, dass das BSI mit der Untersuchung des gesamten TC einen Mehraufwand hatte, der der Allgemeinheit zugute kommt.

    Na gut, da haben sie mal was sinnvolles mit meinen Steuergeldern gemacht ;-).


    Grüße, muzel

  • Na gut, da haben sie mal was sinnvolles mit meinen Steuergeldern gemacht ;-).

    In 2014 betrugen die Steuereinnahmen laut dem BM für Finanzen rund 640 Milliarden Euro. Angenommen, dieses Code-Review hätte 1 Million Euro gekostet, dann würde dass bedeuten, dass jemand, der in einem Jahr 640 000 Euro Steuern bezahlt hat, davon einen Euro in dieses Projekt "investiert" hat.


    Ich kenne ja Deine Vermögenslage nicht, aber mein Beitrag liegt da eher im Cent-Bereich. ;-)