Truecrypt ikke sikker lengre - anbefaler deg å bytte løsning.

[FullColor]

Jeg vil bare gi dere tipset om a beholde versjon 7.1

 

Stenger nok dorene slik at folk skal ga fra noe som er faktisk sikkert, og over til bitlocker, rett i hendene pa noen andre, hvem enn det er, myndighetene,nsa ect. Er jo helt pa bartur.

 

Desverre vil det nok vare nok til og skremme mange til og bli dyttet rett i fella.

[Skatteflyktning]

Speculation of what happened

 

Again, this is only speculation, I have read a lot and spoken with a lot of people about the possibilities and I have come up with a few theories that could match the facts.

 

 

#1 - Coercion

The premise

 

 

Lavabit Letter to Public

The TrueCrypt dev team was told by a government agency to add a backdoor to TrueCrypt.

See: Wikipedia Warrant Canary

See: Wikipedia Rubber Hose Cryptanalysis

My Reasoning

The whole situation with TrueCrypt is just a bit off, none of it makes sense from our viewpoint. It is possible that there was a subpoena was issued to reveal information that would compromise the security of TrueCrypt, whether this is knowledge of any possible security flaws, private keys, or the request to add a backdoor to TrueCrypt. This is exactly what happened to Lavabit email service a while back, and resulted in a similar outcome to what we see today in TrueCrypt. The combination of the factors below indicate to me that the developer was trying to say his software is no longer safe BUT he cannot say why due to a warrant canary.

Strange wording on the TrueCrypt site (Windows XP end date incorrect among others)

Recommendation of BitLocker - this is the complete opposite of TrueCrypt and is a horrible piece of advice

Recommendation for Mac to use no encryption - Are they trying to tell us something?

 

http://www.etcwiki.org/wiki/What_happened_to_Truecrypt_-_May_2014

 

Der er flere mulige teorier å linken over, men den som ser mest sannsynlig ut er at USA fant programmererne og fremsatte endel trusler mot disse slik at de ga opp, samt at de ble kneblet i samme slengen.

[*F*]

Konspirasjonsteorier sier at dette er en handling utført av NSA, da TrueCrypt ikke har noen bakdør ønsker NSA å få folk til å migrere til bla Bitlocker hvor dem angivelig har en bakdør.

[Skatteflyktning]

 

Konspirasjonsteorier sier at dette er en handling utført av NSA...

Hvilken handling snakker du om?

[*F*]

 

Konspirasjonsteorier sier at dette er en handling utført av NSA...

Hvilken handling snakker du om?

 

Nedleggelse av truecrypt/melding på websiden

[BNixx]

Jeg bruker DiskCryptor og har gjort det det siste året. Det er fremdeles under utvikling og oppdaterte instrukser om hvordan man kan kompilere programmet selv er tilgjengelig.

 

DiskCryptor har støtte for AES, TwoFish og Serpent samt cascading av disse. Programmet fungerer kun på Windows, men jeg har LUKS/DMCrypt på Linux som jeg bruker der.

 

Min mening er at det er minst like sikkert som TrueCrypt og siden det er fremdeles vedlikeholdt er det mitt første valg.

Endret 25. juli 2014 av BNixx

[Skatteflyktning]

 

 

 

 

Konspirasjonsteorier sier at dette er en handling utført av NSA...

Hvilken handling snakker du om?

Nedleggelse av truecrypt/melding på websiden

Der er ingen tvil om at selve nedleggelsen har blitt gjort av softwareforfatterne.

[*F*]

 

 

 

Konspirasjonsteorier sier at dette er en handling utført av NSA...

Hvilken handling snakker du om?

Nedleggelse av truecrypt/melding på websiden

Der er ingen tvil om at selve nedleggelsen har blitt gjort av softwareforfatterne.

Men frivillig, eller med press fra NSA, ev med press om å utale at programvaren ikke er trygg og med press til å anbefale bitlocker?

 

Jeg vet ikke, jeg bare sier hva konspirasjonsteoriene sier.

[myhken]

Tror det mer bare handlet om at koden var dårlig laget, så de måtte ha brukt veldig mye tid på å rydde opp i koden før de kunne fortsette prosjektet. Og så er det jo begrenset hvor mye tid og ressurser noen kan legge ned på et gratis prosjekt.

Kan til og med tenke meg at de opprinnelige utviklerne av Truecrypt var unge da de startet og hadde det mer som en hobby, og så i løpet av 10 år så har de skjønt at folk faktisk må tjene penger for å kunne betale regningene og ha mat på bordet til familiene sine, og da kan man ikke bruke all sin tid på et gratis prosjekt.

[BNixx]

Tror det mer bare handlet om at koden var dårlig laget, så de måtte ha brukt veldig mye tid på å rydde opp i koden før de kunne fortsette prosjektet. Og så er det jo begrenset hvor mye tid og ressurser noen kan legge ned på et gratis prosjekt.

Kan til og med tenke meg at de opprinnelige utviklerne av Truecrypt var unge da de startet og hadde det mer som en hobby, og så i løpet av 10 år så har de skjønt at folk faktisk må tjene penger for å kunne betale regningene og ha mat på bordet til familiene sine, og da kan man ikke bruke all sin tid på et gratis prosjekt.

Jeg tolker det slik jeg også.

 

Jeg har ikke sett på kildekoden, men antar at det vil ta en betydelig mengde tid å få implementert støtte for UEFI og GPT som er noe TrueCrypt mangler per dags dato.

 

Bitlocker er tross alt ikke et dårlig valg for folk flest og det er sannsynligvis derfor produktet er anbefalt på truecrypt.org.

[Skatteflyktning]

 

Tror det mer bare handlet om at koden var dårlig laget...

Hvor i all verden har du fått ideen om at koden er dårlig laget?

[myhken]

Hvor i all verden har du fått ideen om at koden er dårlig laget?

 

 

 

Du har tydeligvis ikke lest rapporten av den offisielle revisjonen av Truecrypt 7.1a, den som akkurat var ferdig da dette skjedde???

 

 

Du finner eller mye info om det samme på nettet. Koden er rotete skrevet, og det er lag på lag med gammel kode, men som ikke bare kan slettes.

En dårlig kildekode betyr jo ikke at det finnes sikkerhetshull i den, men bare at det kreves mye å få skrevet den om for å få implementert UEFI og GPT støtte bl.a

[Skatteflyktning]

Vis meg en kode som ikke kan beskrives av andre som dårlig laget.

 

Ovestående er småpjusk, de har tydeligvis IKKE vært istand til å finne noe HULL i koden, og tross alt er det dette det handler om for dette produktet.

 

At ett gratis produkt mangler kommentarer, etc men like fullt fungerer som bestillt er vel heller MER enn forventet.

 

Finn meg ett hull som lar deg komme deg igjennom krypteringen så skal jeg akseptere merkelappen "dårlig skrevet"

Endret 25. juli 2014 av Skatteflyktning

[sedsberg]

Det er det at de anbefaler bitlocker som plager meg litt.

 

"Vi er desverre tomme for skuddsikre vester men du kan kjøpe en slik genser med bulls-eye-motiv."

[Skatteflyktning]

Vel, for Applebrukere er anbefalelsen enda klarere

 

 

Sjekk "Name" og "Encryption". "Encrypted in name only" må vel bli oversettelsen.

 

For linux hadde de vel anbefalt hva som helst som har "crypto" i navnet sitt.

Endret 25. juli 2014 av Skatteflyktning

[BNixx]

Vis meg en kode som ikke kan beskrives av andre som dårlig laget.

 

Ovestående er småpjusk, de har tydeligvis IKKE vært istand til å finne noe HULL i koden, og tross alt er det dette det handler om for dette produktet.

 

At ett gratis produkt mangler kommentarer, etc men like fullt fungerer som bestillt er vel heller MER enn forventet.

 

Finn meg ett hull som lar deg komme deg igjennom krypteringen så skal jeg akseptere merkelappen "dårlig skrevet"

Om koden er "Dårlig" eller ikke kan diskuteres, men en glipp har blitt pekt ut i rapporten som gjelder Windows Kernel Driver modulen hvor en en sikker og en usikker metode for nullstilling av minnelokasjoner blir brukt om hverandre. Burn() brukes til å slette minnelokasjoner på en sikker måte, noe memset() ikke gjør.

 

Enkelte plasser i koden hvor sensitiv data behandles benytter Truecrypt memset() og andre burn(). De nevner at utviklerne burde benyttet burn() gjennom hele driveren.

 

Side 17 i rapporten:

 

A user has a system with a TrueCrypt encrypted partition on it, in which they save sensitive information. An attacker creates a low memory situation on the user’s machine, forcing key information that should have been securely wiped to be paged out to the unencrypted system disk. The attacker later gains access to the disk and extracts the key from the paging file.

 

Krever fysisk tilgang til maskinen og/eller trojan.

 

Ja, man kan si det er bare små ting, men det er helepoenget med analysen av programvaren. Å finne disse småfeil.

 

Ingenting er perfekt.

Endret 25. juli 2014 av BNixx

[myhken]

Vis meg en kode som ikke kan beskrives av andre som dårlig laget.

 

 

Finn meg ett hull som lar deg komme deg igjennom krypteringen så skal jeg akseptere merkelappen "dårlig skrevet"

 

Jeg snakket ikke om HULL som jeg også nevnte opptil flere ganger. Jeg snakker om at koden er dårlig skrevet, med en masse lappesaker og unødvendig kode, som ikke bør være der, men som heller ikke bare er å fjerne uten at det kan skape problemer.

 

Husk, dette har vært et prosjekt med mange folk som har laget sine deler, sydd dem sammen til ett produkt, så lappet litt her og der i 10 år.

 

Igjen, det finnes ingen påviste sikkerthetshull i koden, så der er den jo bra.

 

Men poenget er at jobben med å skulle rydde opp i koden trolig ble for stor for noen som skulle gjøre dette gratis.

[Skatteflyktning]

 

 

 

Vis meg en kode som ikke kan beskrives av andre som dårlig laget.

 

 

Finn meg ett hull som lar deg komme deg igjennom krypteringen så skal jeg akseptere merkelappen "dårlig skrevet"

Jeg snakket ikke om HULL som jeg også nevnte opptil flere ganger. Jeg snakker om at koden er dårlig skrevet, med en masse lappesaker og unødvendig kode, som ikke bør være der, men som heller ikke bare er å fjerne uten at det kan skape problemer.

 

Husk, dette har vært et prosjekt med mange folk som har laget sine deler, sydd dem sammen til ett produkt, så lappet litt her og der i 10 år.

 

Igjen, det finnes ingen påviste sikkerthetshull i koden, så der er den jo bra.

 

Men poenget er at jobben med å skulle rydde opp i koden trolig ble for stor for noen som skulle gjøre dette gratis.

Ingen hull, men noen mulige forbedringer i koding tilsier ikke at man trekker produktet fullstendig og erstatter det med en kastrert versjon og anbefaler folk å flytte over til alternativer som man vet er dårligere om ikke i hendene på myndighetene allerede.

 

I og med at ingen hull ble funnet var der intet som nødvendigvis måtte forbedres.

Endret 25. juli 2014 av Skatteflyktning

[myhken]

Det er det at de anbefaler bitlocker som plager meg litt.

 

"Vi er desverre tomme for skuddsikre vester men du kan kjøpe en slik genser med bulls-eye-motiv."

 

Er vel mer bare å demonstrere at det finnes gratis alternativer der ute. Vil vel tro at de fort ville bli tatt for "kjøpt og betalt" om de nevnte et produkt som koster penger.

Og hvilken kompetanse sitter utviklerne av Truecrypt på til å vurdere hvor bra et hvilket som helst annet produkt er, så lenge de ikke har satt seg inn i kildekoden?

Har de ikke tid til sitt eget prosjekt, hvordan kan de da ta seg tid til å sette seg inn i noen annens prosjekt?

 

Og så er det vel ikke slik at NSA har noen kjent bakdør inn i bitlocker heller da? Er vel bare et "problem" siden det er Microsoft som lager det. Og alt med Microsoft er jo skummelt for folk.

 

Vil vel tro de som virkelig har noe å skjule, eller de som virkelig ønsker sterk kryptering, bruker andre løsninger uansett.

[myhken]

 

 

I og med at ingen hull ble funnet var der intet som nødvendigvis måtte forbedres.

 

 

æææ, jo det var det jo. Krypteringen funker ikke på GPT disker (altså store disker, og så og si alle nye Windows formaterte disker fra fabrikk) og heller ikke på UEFI pcer.

Så greit, du kunne lage kontainer filer på slike pcer, men ingen full disk kryptering. (uten å være veldig datakyndig slik at du kan endre formateringen, og ev. godta at du mister en masse plass på store disker)

 

Så jo, programmet måtte forbedres til dagens standard.