Vertraut ihr TrueCrypt?



  • Oder war da die NSA Hintertürchen eingebaut?



  • Ich nutze es, also ja.

    Und selbst wenn die NSA eine Hintertür hätte und dem BND die Informationen zuspielen sollte, sind meine Daten für Geheimdienste von solch geringem Wert, dass sie mir damit, wenn es etwas gerichtlich zu beanstanden gäbe, gerichtlich niemals an den Karren fahren würden, denn dadurch würden sie ihre Hintertür ja offenlegen müssen.

    Sorgen musst du dir also nur dann machen, wenn du z.B. terroristische Anschläge planst und deine Pläne in ein TC Container packst. 😉
    Aber selbst dann würden sie dich nicht vor ein Gericht zerren, weil das ihre Fähigkeiten enttarnen würde, sondern dich stattdessen anderweitig beseitigen.


  • Mod

    TrueCryptFrage schrieb:

    Oder war da die NSA Hintertürchen eingebaut?

    Würde ich tatsächlich von ausgehen, ja.



  • TrueCryptFrage schrieb:

    Oder war da die NSA Hintertürchen eingebaut?

    Würde ich nicht davon ausgehen. Nicht weil ich sonderlich viel Vertrauen in TrueCrypt hätte, sondern einfach weil es eine Menge Leute gibt die eine solche Lücke gerne aufdecken würden. Und ja der Sourcecode mag schlecht verwaltet sein, aber bei TrueCrypt hat man den Vorteil dass man diesen gar nicht unbedingt analysieren muss, wenn man an dem Knacken einzelner .tc Dateien interessiert ist. Da zählt ja erst mal nur der In- und Output und nicht irgendwelche möglichen Buffer-Overflows oder Ähnliches. (Im Gegensatz zu OpenSSL ;))



  • TrueCryptFrage schrieb:

    Oder war da die NSA Hintertürchen eingebaut?

    Was soll der Satz bedeuten?
    Vielleicht:
    * Oder waren da die NSA Hintertürchen eingebaut?
    * Oder hat da die NSA Hintertürchen eingebaut?
    * Oder war da ein NSA Hintertürchen eingebaut?
    * Oder ist da ein NSA Hintertürchen eingebaut?
    * Oder sind da die NSA Hintertürchen eingebaut?



  • ?satz?deutsch? schrieb:

    TrueCryptFrage schrieb:

    Oder war da die NSA Hintertürchen eingebaut?

    Was soll der Satz bedeuten?
    Vielleicht:
    * Oder waren da die NSA Hintertürchen eingebaut?
    * Oder hat da die NSA Hintertürchen eingebaut?
    * Oder war da ein NSA Hintertürchen eingebaut?
    * Oder ist da ein NSA Hintertürchen eingebaut?
    * Oder sind da die NSA Hintertürchen eingebaut?

    Weder noch, er meinte sicher:

    Schriftdeutsch:
    Oder war da die NSA da, (zum) Hintertürchen einbauen?

    Umgangssprache:
    Oder war da die NSA da, Hintertürchen einbauen?



  • Auskenner schrieb:

    Sorgen musst du dir also nur dann machen, wenn du z.B. terroristische Anschläge planst und deine Pläne in ein TC Container packst. 😉

    Anders gesagt, wenn ich irgendwas in meinem TC-Container habe, von dem ich meine, daß es die NSA besser nicht sehen sollte, dann hab ich's auch verdient, wenn sie zugreifen? Ein anständiger Bürger hat ja nichts zu verbergen? "If you have something that you don’t want anyone to know, maybe you shouldn’t be doing it in the first place"?

    cooky451 schrieb:

    Und ja der Sourcecode mag schlecht verwaltet sein, aber bei TrueCrypt hat man den Vorteil dass man diesen gar nicht unbedingt analysieren muss, wenn man an dem Knacken einzelner .tc Dateien interessiert ist. Da zählt ja erst mal nur der In- und Output und nicht irgendwelche möglichen Buffer-Overflows oder Ähnliches. (Im Gegensatz zu OpenSSL ;))

    Und was anderes sollte man tun, als den Quelltext zu analysieren, wenn man einen TC-Container öffnen will? Ich unterstelle mal, daß TrueCrypt die Kryptographie ordentlich implementiert hat; dann wird man primär nach Seitenkanälen suchen, und die lassen sich in der Struktur der Containerdatei verstecken. Darüber hinaus ist es viel wahrscheinlicher, daß ein TrueCrypt-Container nicht kryptographisch angegriffen wird, sondern Informationen aus RAM, temporären Ordnern, Hiberfile.sys etc. nach Rückschlüssen auf den Key durchsucht werden. Und warum sollte ein manipuliertes TrueCrypt nicht absichtlich dort ein Token hinterlassen? Auch das geht am leichtesten aus dem Quelltext hervor.



  • wenn man an dem Knacken einzelner .tc Dateien interessiert ist

    Kein RAM, keine extra Files, nur ein .tc File. Bleibt noch irgendetwas in der "Struktur der Containerdatei" zu verstecken. Wie genau soll das denn aussehen? Welcher Input welchen Output erzeugen sollte ist nicht geheim und nicht sonderlich schwer nachzuprüfen.



  • audacia schrieb:

    Auskenner schrieb:

    Sorgen musst du dir also nur dann machen, wenn du z.B. terroristische Anschläge planst und deine Pläne in ein TC Container packst. 😉

    Anders gesagt, wenn ich irgendwas in meinem TC-Container habe, von dem ich meine, daß es die NSA besser nicht sehen sollte, dann hab ich's auch verdient, wenn sie zugreifen?

    Nein, es bedeutet nur, dass du dich erstmal fragen solltest, welche Konsequenzen zu befürchten sind. Also z.B. ob dir die NSA einen Strick dreht, falls sie reinguckt.

    Wenn du also bswp. Raubkopien oder sonstige urheberrechtlich geschützte Sachen in deinem TC Container speichern würdest oder deine Pornosammlung, dann hättest du von der NSA nichts zu befürchten, auch dann nicht, wenn sie reinschauen würden. Denn wegen einer Urheberrechtsklage werden sie nicht einem Zivilgericht offenbaren, dass sie reinschauen können und sie werden dich auch nicht wegen einer Urheberrechtsverletzung abknallen oder überfahren.



  • Auskenner schrieb:

    audacia schrieb:

    Auskenner schrieb:

    Sorgen musst du dir also nur dann machen, wenn du z.B. terroristische Anschläge planst und deine Pläne in ein TC Container packst. 😉

    Anders gesagt, wenn ich irgendwas in meinem TC-Container habe, von dem ich meine, daß es die NSA besser nicht sehen sollte, dann hab ich's auch verdient, wenn sie zugreifen?

    Nein, es bedeutet nur, dass du dich erstmal fragen solltest, welche Konsequenzen zu befürchten sind. Also z.B. ob dir die NSA einen Strick dreht, falls sie reinguckt.

    Wenn du also bswp. Raubkopien oder sonstige urheberrechtlich geschützte Sachen in deinem TC Container speichern würdest oder deine Pornosammlung, dann hättest du von der NSA nichts zu befürchten, auch dann nicht, wenn sie reinschauen würden. Denn wegen einer Urheberrechtsklage werden sie nicht einem Zivilgericht offenbaren, dass sie reinschauen können und sie werden dich auch nicht wegen einer Urheberrechtsverletzung abknallen oder überfahren.

    Oder anders gesagt, die NSA wüßte dann zwar, worauf du stehst und welche Geheimnisse du hast, aber sie wird schweigen.
    Und wer schweigt der bedroht nicht dein Geheimnis.



  • Welche Verschlüsselungmethode würdet ihr benutzen, reicht AES aus?



  • Ja, AES genügt.



  • cooky451 schrieb:

    wenn man an dem Knacken einzelner .tc Dateien interessiert ist

    Kein RAM, keine extra Files, nur ein .tc File. Bleibt noch irgendetwas in der "Struktur der Containerdatei" zu verstecken. Wie genau soll das denn aussehen? Welcher Input welchen Output erzeugen sollte ist nicht geheim und nicht sonderlich schwer nachzuprüfen.

    Ich vermute dass das TC Containerformat ausreichend komplex ist dass man da drin Dinge verstecken kann wenn man will.
    Ich vermute aber auch dass TC es nicht macht.



  • Und an welcher Stelle genau versteckt man da was? http://www.truecrypt.org/docs/volume-format-specification



  • Das Salt und die "hidden volume header" Bereiche enthalten per Definition zufällige Daten (die "hidden volume header" natürlich nur wenn es kein "hidden volume" gibt).
    Da kann man wunderschön Informationen drin verstecken.

    In die 64 Byte Salt Daten die zufällig aussehen sollen kann man locker 56 Byte an Nutzdaten reinkodieren, ohne dass auch nur irgendwie auffällt dass die Daten nicht 100% zufällig sind.
    Einfach mit 8 Byte echtem "Salt" anfangen, und dann mit AES/CBC drüberbaggern. Das Ergebnis kannst du von einem wirklich zufälligen Salt niemals unterscheiden.



  • Man würde denken dass das salt so weit definiert ist, dass man das auch so nachprüfen kann. (Und man würde hoffen dass so etwas in diesem Report aufgeflogen wäre: http://istruecryptauditedyet.com/)



  • cooky451 schrieb:

    Man würde denken dass das salt so weit definiert ist, dass man das auch so nachprüfen kann. (Und man würde hoffen dass so etwas in diesem Report aufgeflogen wäre: http://istruecryptauditedyet.com/)

    Und man würde erwarten, daß du die Seite, auf die du verlinkst, auch gelesen hast, denn dann hättest du festgestellt, daß sie eine "formal crypt[o?]analysis" erst noch machen müssen. Die haben nur den Quelltext auf grobe programmiertechnische Schnitzer untersucht.

    Wenn da tatsächlich eine kryptographiebasierte Backdoor drin ist, dann bin ich sicher, daß die viel zu subtil ist, als daß sie bei einer Durchsicht auffallen würde. Sowas wie das hier zu entdecken (also jetzt nicht, daß Dual EC DRBG so furchtbar designt ist, sondern daß es diese bestimmte kryptographische Schwachstelle mit den vorgegebenen Konstanten gibt, und wie sie ausgenutzt werden kann) erfordert viel Fachwissen und längere Beschäftigung mit den Krypto-Algorithmen.

    Mit diesem Hintergrund wäre z.B. schonmal jede magic number im TrueCrypt-Quelltext, die in einem kryptographischen Vorgang Verwendung findet, per se verdächtig, da man nicht weiß, wo sie herkommt.



  • cooky451 schrieb:

    Man würde denken dass das salt so weit definiert ist, dass man das auch so nachprüfen kann.

    WTF?
    Sagmal ist dir klar was ein "Salt" ist?



  • hustbaer schrieb:

    Sagmal ist dir klar was ein "Salt" ist?

    Wie ein salt derived wird und aus welchen Werten bzw. woher die Werte kommen kann man trotzdem problemlos definieren, und das sollte man auch.



  • @cooky451
    Und durch so eine Definition willst du im fertigen TrueCrypt Container, nur anhand des Salt-Wertes, beweisen, dass da keine Daten drin versteckt sind?
    Echt jetzt?


Anmelden zum Antworten