Acties:
  • 0 Henk 'm!

  • linp
  • Registratie: Mei 2008
  • Laatst online: 12:56
De truecrypt site toont de volgende boodschap:
"WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues"
er wordt geadviseerd om naar Bitlocker over te stappen.........

Acties:
  • 0 Henk 'm!

  • maarud
  • Registratie: Mei 2005
  • Laatst online: 21:18
In eerste instantie lijkt het legit....maar ik kan er verder ook geen nieuws over vinden...

@Hieronder, je gaat me niet wijsmaken dat het droppen van XP support de reden is voor het verdwijnen van TC :+ Ik ben benieuwd wat er uit het Snowden-interview rolt.

[ Voor 48% gewijzigd door maarud op 28-05-2014 22:40 ]


Acties:
  • 0 Henk 'm!

  • BastiaanCM
  • Registratie: Juni 2008
  • Laatst online: 15-07 23:03
Hmm.
Early unsubstantiated rumor that the disappearance of http://truecrypt.org today relates to tonight's Brian Williams / Snowden interview.
bron

[ Voor 11% gewijzigd door BastiaanCM op 28-05-2014 22:40 ]


Acties:
  • 0 Henk 'm!

  • linp
  • Registratie: Mei 2008
  • Laatst online: 12:56
hier is het interview
EDIT
; dit was maar kort, deze pagina lijkt meer inhoud te hebben ,
"In a wide-ranging and revealing interview, Brian Williams talks with former NSA contractor Edward Snowden about the global impact and debate sparked by his revelations."
Doch ik heb nog geen schokkend Truecrypt nieuws gelezen.

[ Voor 55% gewijzigd door linp op 28-05-2014 23:14 ]


Acties:
  • 0 Henk 'm!

  • Zanbee
  • Registratie: Mei 2004
  • Laatst online: 24-05 21:29
Arstechnica maakt er ook melding van ze hebben nog geen bevestiging dat de melding legitiem is.
quote: Arstechnica
The advisory, which Ars couldn't immediately confirm was authentic, touched off a tsunami of comments on Twitter and other social media sites.
De nieuwe versie die onderaan de pagina staat is gesigned met de officiele private key er zouden alleen overal waarschuwingen in geplaatst zijn volgens één comment op het artikel.

Ik zie net deze link voorbij komen via twitter.
quote: ValdikSS
The website is presumed hacked, the keys are presumed compromised, the binary on the website is capable only to decode crypted data, not encode, and may contain trojan. The binary is signed with the valid (old) key. All old versions are wiped, the repository is wiped too. Please do not download or run it. And please don't switch to bitlocker.
Ik blijf voorlopig 7.1a wel gebruiken ik vertrouw het niet.

Failure is not an option -- it comes bundled with Windows.


Acties:
  • 0 Henk 'm!

  • CapTVK
  • Registratie: November 2000
  • Niet online
(overleden)
Vreemd verhaal en het euvel is dat de developers van TrueCrypt anoniem zijn. Op dit moment is het puur gissen waarom dit zomaar gebeurd. Of een van de developer accounts is gehacked of een developer is geflipped/manisch depressief en heeft op eigen houtje besloten de boel af te breken.

TF2 GoT http://www.teamfortress.eu


Acties:
  • 0 Henk 'm!

  • Booster
  • Registratie: Februari 2000
  • Laatst online: 21:03

Booster

Superuser

code:
1
[...] may contain unfixed security issues.

Wat een open deur. Alle software kan unfixed security issues bevatten, and most (if not all) of them actually do ;)

Ik heb het idee dat dit de manier is van de TC devs om eruit te stappen. Met deze stap kunnen ze de laatste brug tussen hen en TC verbranden. Dikke kans dat we er nooit achter gaan komen wie de originele TC devs zijn.

De timing is opzich aardig: als de audit straks afgerond is, kan iedereen een fork starten met een redelijk veilige basis, of een basis waarvan je weet wat eraan verbeterd moet worden. In weze dragen ze daarmee hun project over aan de community.

De manier waarop ze dit doen lijkt me vooral PR. De vraag om over te stappen op BitLocker lijkt haast een grap, of is misschien bedoeld om te zeggen: "Kijk, nu wij weg zijn is dit het alternatief. Doe daar eens wat aan, Internet. Wij hebben een voorzet gedaan en nu is het aan jullie."

De waarschuwing is volgensmij vooral gericht op eventuele nog te ontdekken vulnerabilities, en niet op problemen die nu al bekend zijn. Het is door deze melding in ieder geval duidelijk dat de originele TC devs dan geen nieuwe versies meer zullen uitbrengen.

The cake is a lie | The Borealis awaits...


Acties:
  • 0 Henk 'm!

  • Trommelrem
  • Registratie: Februari 2009
  • Laatst online: 09-11-2021
Is Truecrypt niet dat encryptieprogramma dat al een jaar of 5 niet meer wordt ontwikkeld? Waarvan de website al 3 jaar niet meer wordt bijgehouden?

Ik weet nog dat 5 jaar geleden UEFI ineens de standaard werd en dat Truecrypt daar nooit iets mee heeft gedaan, waardoor je het niet kon installeren op UEFI systemen.

Acties:
  • 0 Henk 'm!

  • maarud
  • Registratie: Mei 2005
  • Laatst online: 21:18

Acties:
  • 0 Henk 'm!

  • OB1
  • Registratie: April 2014
  • Laatst online: 15:57

OB1

Ik ook.

Faalt wel behoorlijk hard, zeker bij iets wat juist om beveiliging gaat. :P

AMD 2700x @ 4.15 GHz | Vega 56 (Vega 64 BIOS) | 32 GB DDR4 | MSI X470 Gaming Plus | Intel 600P 1TB | Corsair RM550X


Acties:
  • 0 Henk 'm!

  • CapTVK
  • Registratie: November 2000
  • Niet online
(overleden)
Inmiddels zijn de wat serieuzere commentaren die ook met feiten komen beschikbaar. Inclusief een link naar het audit report van iSec: "an analysis of TrueCrypt’s bootloader " (PDF).. Gelukkig zijn er nog sites die naar de oorspronkelijke bronnen verwijzen.

http://krebsonsecurity.co...-truecrypt-is-not-secure/


Nu ik het oorspronkelijke audit rapport (het 2e deel over de encryptie wordt deze zomer gedaan) door heb gelezen denk ik ook dat de oorspronkelijke maker(s) er niet zo'n zin meer in had(den). Er zijn geen kritische zaken gevonden in de bootloader TrueCrypt. Overige punten waren al opgelost of gemakkelijk aan te passen. Al waren er wel algemene aanbevelingen zoals het verbeteren van slecht gedocumenteerde code en een oude compiler van 20 jaar terug. Allemaal zaken die oplosbaar zijn maar voor de (anonieme) developer een hoop werk zouden betekenen.

Dit comment zegt het denk ik het beste:
Bill Cole
May 29, 2014 at 1:21 am

The iSec initial audit report was very critical of the TC code quality, and implied that it looks like the work of a single coder. There was no update for 2 years. The build process requires a 20 year old MS compiler, manually extracted from an exe installer.

Imagine yourself as the lead/solo developer working on TC. No one pays you for this, governments hate you, much of the crypto community is throwing rocks at you while your user community spends half of its time joining in with clueless paranoia and the other half whining about feature gaps (e.g. GPT boot disks.) You have to eat, so you have a real paying job. You’re not so young any more (doing the TC crap for a decade) and maybe the real job now includes responsibilities that crowd out side work. Or maybe you’ve got a family you love more than the whiny paranoids you encounter via TC. And now iSec is telling you your code is sloppy and unreadable, and that you should take on a buttload of mind-numbing work to pretty it up so they will have an easier time figuring out where some scotch-fueled coding session in 2005 ( or maybe something you inherited from a past developer) resulted in a gaping exploitable hole that everyone will end up calling a NSA backdoor.

Maybe you just toss it in. Why not? Anyone with a maintained OS has an integrated alternative and as imperfect as they may be, they are better than TC for most users. Maintaining TC isn’t really doing much good for many people and the audit just pushed a giant steaming pile of the least interesting sort of maintenance into top priority. Seems like a fine time to drop it and be your kids’ soccer coach.
toon volledige bericht
Ik denk dat het feit dat er opeens meer geld voor een audit dan al die jaren voor TrueCrypt zelf beschikbaar was ook niet motiverend is.

[ Voor 4% gewijzigd door CapTVK op 29-05-2014 13:26 ]

TF2 GoT http://www.teamfortress.eu


Acties:
  • 0 Henk 'm!

  • Roderick24
  • Registratie: Oktober 2007
  • Laatst online: 21-05 16:45

Roderick24

XPS M1710

Maar is de conclusie nu dat 7.1a vooralsnog veilig is?

Acties:
  • 0 Henk 'm!

  • ELD
  • Registratie: December 2000
  • Niet online

ELD

Roderick24 schreef op donderdag 29 mei 2014 @ 16:39:
Maar is de conclusie nu dat 7.1a vooralsnog veilig is?
Waarschijnlijk wel. Een tijd terug is als reactie op de dubieuze licentie, een volledig nieuw geschreven versie gemaakt voor alleen Linux met de naam TCplay(door een andere niet anonieme partij). Door volledige compatibiliteit tussen zowel het origineel en de nieuwe versie, inclusief het gebruik van de linux crypto api, zou ik me geen zorgen maken over de implementatie van de gebruikte algoritmes. Daarnaast kan ook cryptsetup met de volumes omgaan zonder dat er is gebleken dat er fouten zitten in de gebruikte methodes.

Aanmaak van de keys daarentegen zou wellicht wel een issue kunnen zijn.

Acties:
  • 0 Henk 'm!

  • Booster
  • Registratie: Februari 2000
  • Laatst online: 21:03

Booster

Superuser

Dit stukje beschrijft een beetje wat ik al aanhaalde, maar scherper. De brief is imaginair maar is wel in lijn met hoe ik het me voorstel:
http://steve.grc.com/2014...the-truecrypt-developers/

Een ander interessant artikel wil een groter probleem aankaarten:
http://bradkovach.com/201...tom-of-a-greater-problem/

Er is dus wel contact met 'iemand' van TrueCrypt, blijkt o.a. uit bovenstaande stukjes. Wat meer reacties en communicatie staat hier: https://www.grc.com/misc/truecrypt/truecrypt.htm
Goed om te zien dat de audit gewoon doorgaat, en dat de TC devs daar ook blij mee zijn:
quote: David
We were happy with the audit, it didn't spark anything. We worked hard on this for 10 years, nothing lasts forever.
en
quote: David
We are looking forward to results of phase 2 of your audit. Thank you very much for all your efforts again!

The cake is a lie | The Borealis awaits...


Acties:
  • 0 Henk 'm!

  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 15-07 15:35

leuk_he

1. Controleer de kabel!

Booster schreef op donderdag 29 mei 2014 @ 02:04:
code:
1
[...] may contain unfixed security issues.


De timing is opzich aardig: als de audit straks afgerond is, kan iedereen een fork starten met een redelijk veilige basis, of een basis waarvan je weet wat eraan verbeterd moet worden. In weze dragen ze daarmee hun project over aan de community.
Als ik het goed herinner is de source van truecrypt beschikbaar, maar is het niet open source. Dat wil zeggen dat als jij daar veel tijd (/geld ) in steekt om een fork te maken, je altijd te maken kunt krijgen met een of andere vage organisatie die meld dat ze het copyright hebben, en of jij maar wilt stoppen. Tenzij het je hobby is om rechtzaken te houden, niet echt aantrekkenlijk.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.


Acties:
  • 0 Henk 'm!

  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

leuk_he schreef op vrijdag 30 mei 2014 @ 12:20:
Als ik het goed gerinder is de source van truecrypt beschikbaar, maar is het niet open source.
Het is wel open source maar een non-standaard licentie waardoor er vragen zijn over compatibiliteit met meer gangbare open source licenties als GPL en BSD. Vandaar dat de TC audit ook de licentie aan een team juristen wil voorleggen om daar duidelijkheid over te krijgen.

Acties:
  • 0 Henk 'm!

  • MartenBE
  • Registratie: December 2012
  • Laatst online: 08-07 19:58
Ondertussen zijn er al nieuwe Truecrypt mirrorsites opgericht zoals http://truecrypt.ch/ Lijkt veelbelovend.

Acties:
  • 0 Henk 'm!

  • Booster
  • Registratie: Februari 2000
  • Laatst online: 21:03

Booster

Superuser

Een verhaal over hoe het recente nieuws een warrant canary zou kunnen zijn:
http://meta.ath0.com/2014...warrant-canary-confirmed/

The cake is a lie | The Borealis awaits...


Acties:
  • 0 Henk 'm!

  • ReTechNL
  • Registratie: December 2008
  • Laatst online: 04-07 14:03
Onderzoekers vinden geen backdoor in TrueCrypt
Onderzoekers hebben het onderzoek naar de cryptografische werking van TrueCrypt afgerond en geen backdoors of andere opzettelijk aangebrachte kwetsbaarheden in de encryptiesoftware aangetroffen. Toch is de software niet perfect en bevat een aantal fouten. TrueCrypt is een populair programma voor het versleutelen van bestanden en computers. Ondanks de populariteit was de broncode en cryptografische werking van de software nog nooit geaudit.

Verschillende experts besloten daarom om via crowdfunding geld voor een audit in te zamelen. Vorig jaar januari werd de TrueCrypt-bootloader en Windows-kerneldriver geaudit, waarbij het auditrapport in april van hetzelfde jaar werd gepresenteerd. Er bleken geen backdoors in de software aanwezig te zijn. Het tweede deel van de audit zou zich op de cryptografische werking van het encryptieprogramma richten.

Eind mei 2014 besloten de TrueCrypt-ontwikkelaars opeens met de ontwikkeling van de software te stoppen en adviseerden gebruikers die niet meer te gebruiken. Dit zorgde ervoor dat de audit van de cryptografische werking vertraging opliep, maar begin dit jaar toch werd gestart. De resultaten zijn net verschenen (pdf) waaruit blijkt dat TrueCrypt een goed ontworpen encryptieprogramma is.

Er werden geen opzettelijke backdoors of andere ernstige ontwerpfouten aangetroffen die de software onveilig zouden maken. De software is echter niet perfect, zegt cryptografieprofessor Matthew Green. De auditors ontdekten verschillende fouten en "onvoorzichtig programmeren", dat in bepaalde gevallen tot problemen kan leiden waardoor TrueCrypt minder garantie biedt dan is gewenst.
Grootste probleem

Het grootste probleem dat werd aangetroffen betreft de "random number generator" (RNG) van de Windowsversie. TrueCrypt gebruikt die voor het genereren van de sleutels waarmee TrueCrypt-volumes worden versleuteld. Een belangrijk onderdeel, want als de RNG voorspelbaar is kan dit de veiligheid van het systeem onderuit halen. De RNG in TrueCrypt is gebaseerd op een ontwerp uit 1998 van Peter Guttman. Deze RNG probeert "onvoorspelbare" waardes uit het systeem te halen en gebruikt hier onder andere de Windows Crypto API voor.

In zeer bijzondere gevallen kan de Crypto API niet worden geïnitialiseerd. Als dit gebeurt zou TrueCrypt moeten stoppen en een waarschuwing geven, maar het programma blijkt dit stilletjes te accepteren en gaat door met het genereren van sleutels. Volgens Green is dit niet het einde van de wereld, want de kans dat dit gebeurt is zeer klein. Daarnaast zou TrueCrypt, naast de Crypto API, ook nog waardes uit andere delen van het systeem halen, zoals muisbewegingen. Dit is waarschijnlijk goed genoeg om gebruikers te beschermen, zo merkt de professor op. "Maar het is een slecht ontwerp en moet zeker in afsplitsingen van TrueCrypt worden verholpen."
toon volledige bericht
Source 1: https://opencryptoaudit.org/
Source 2: https://opencryptoaudit.o...ase_II_NCC_OCAP_final.pdf
Source 3: https://www.security.nl/p...een+backdoor+in+TrueCrypt

Lijkt er dus op dat alles gewoon veilig is en gebruikt kan worden
Pagina: 1