TrueCrypt EOL, wat nu? - Client software algemeen

donderdag 29 mei 2014 05:38

Acties:

0 Henk 'm!

[avdD]

Topicstarter

nieuws: TrueCrypt-website adviseert gebruikers software niet langer te gebruiken

Met uitermate vreemde berichten is er een einde aan TrueCrypt gekomen. Het advies om dan maar BitLocker te gebruiken is dermate absurd dat het haast niet anders kan dan dat een overheidsinstantie druk heeft gezet op de makers om te stoppen.

Het gerucht gaat dat de licentie van de laatste decrypt-only versie, 7.2, ofwel TrueCrypt License Version 3.1 meer open zou zijn dan voorgaande versies.

Ik wou even een en ander vergelijken met hoe zaken eerder waren, maar kreeg tot mijn verbazing deze melding van de wayback machine:

quote: http://web.archive.org/web/*/http://truecrypt.org
Sorry.

This URL has been excluded from the Wayback Machine.

Hetzelfde voor http://truecrypt.sourceforge.net/.

Wat interessant zou zijn voor dit topic:
• Meer informatie over de verschillen in licentie, is het mogelijk dat er nu een fork komt met een echt open licentie?
• Betrouwbare links naar oude versies inclusief signatures en checksums.

[edit]
Na wat lezen liep ik tegen https://github.com/DrWhax/truecrypt-archive aan.

Hierin zit ook het bestand "TrueCrypt_Foundation_PGP_public_key.asc". Nu zie ik iets wat ik volgens mij nooit eerder heb gezien met een PGP pubkey..

Tot IEZvdW5kYXRpb24gPG (doe even ctrl+f) is de key identiek aan die je nu op http://sourceforge.net/pr...rueCrypt-key.asc/download kan vinden. Maar daarna zijn ze compleet anders. Iemand die daar een zinnige verklaring voor heeft?
Is niks waarschijnlijk, zie onderaan https://github.com/DrWhax/truecrypt-archive.

[edit2]
Zou mooi zijn als iemand die deze bestanden eerder heeft gedownload van de originele bron (ik heb ze van het DrWhax archief) kan bevestigen dat deze bestanden ook legit zijn:

$ sha1sum TrueCrypt\ 7.1a\ Source*
d43e0dbe05c04e316447d87413c4f74c68f5de24  TrueCrypt 7.1a Source.tar.gz
caeb2bb1d5605d1fc960e936a06e52611033788c  TrueCrypt 7.1a Source.tar.gz.sig
4baa4660bf9369d6eeaeb63426768b74f77afdf2  TrueCrypt 7.1a Source.zip
952cc187988b4044ca8e249796ba65cc65e235f6  TrueCrypt 7.1a Source.zip.sig

De signatures heb ik natuurlijk al gecheckt, maar in het scenario dat de PGP-key compromised zou zijn is het alsnog verstandig om checksums te controleren tegen bestanden die eerder zijn gedownload.

[edit3]
DrWhax archief lijkt inderdaad betrouwbaar te zijn. Hier een sha1sum ervan:

$ sha1sum master.zip 
2a42161f2a3f4f366f36912c5b08dc648c141d4e  master.zip

[ Voor 39% gewijzigd door Mentalist op 29-05-2014 10:40 ]

Verstuurd vanaf mijn Computer®

donderdag 29 mei 2014 09:10

Acties:

0 Henk 'm!

Anoniem: 338569

Er zijn wel wat alternatieven is een alternatief een fork van lang geleden. Veracrypt . let op deze is niet compatibel met true cript
http://sourceforge.net/projects/veracrypt/
of diskcrypter
Wikipedia: DiskCryptor

donderdag 29 mei 2014 09:24

Acties:

0 Henk 'm!

BèR

Mocht je de Windows binary van 7.1a vinden en willen installeren, controleer dan of de SHA1-hash van de installer overeenkomt met:

code:

1	7689d038c76bd1df695d295c026961e50e4a62ea

Zodat je zeker bent dat je daar tenminste een untampered versie van hebt. een versie van hebt die niet achteraf gewijzigd is.

[ Voor 10% gewijzigd door BèR op 29-05-2014 09:27 . Reden: Of die versie dan wel secure was is natuurlijk niet zeker :) ]

donderdag 29 mei 2014 09:33

Acties:

0 Henk 'm!

Eagle Creek

Breathing security

Het eerste wat mij te binnen schiet: "de gewone consument".

Dat de NSA mijn laptop kan kraken, geloof ik eerlijk gezegd wel. Of beter gezegt: interesseert me niet. Dat elke Jan Moleman dit kan, geloof ik niet. Dan was dit wel breder bekend.

M.a.w: mensen die nog steeds hun laptop willen crypten zodat als deze in de trein, de Van der Valk of school blijft liggen of uit een tas of huis gestolen wordt, een zekerheid hebben dat niet iedereen met de data aan de haal kan.

Ik vind het sowieso een rare gang van zaken en ben allerminst bekend met de motieven**. Maar had dan bv. het product aangeboden met een langere security rating. "Niet geschikt voor X, Y, Z". Of iets in die trant.. Ik begrijp wel dat dat ook niet zaligmakend is en weer andere problemen oplevert maar nu lijkt het erop dat weg, weg is. En TrueCrypt is een van de populairste en eenvoudigste tools voor niet expert-gebruikers.

** Daarover gesproken te hebben: ik hoop dat dit verhaal een staartje krijgt. BitLocker is an sich geen slecht advies (tal van bedrijven gebruiken het immers) maar de manier waarop dit nu naar boven drijft geeft op z'n zachts gezegd te denken.

[ Voor 12% gewijzigd door Eagle Creek op 29-05-2014 09:35 ]

~ Information security professional & enthousiast ~ EC Twitter ~

donderdag 29 mei 2014 09:55

Acties:

0 Henk 'm!

Tendency

Een ander enigszins populair alternatief is DiskCryptor, voor de rest heb ik (nog) geen ervaring met alternatieven voor TrueCrypt.

http://alternativeto.net/software/truecrypt/

http://www.techshout.com/...8/truecrypt-alternatives/

donderdag 29 mei 2014 09:57

Acties:

0 Henk 'm!

Onbekend

...

Volgens mij was dit het meest best aanbevolen programma om het e.e.a. te coderen. Hoewel ik het zelf niet gebruik kan ik mij niet voorstellen dat ze ineens uit hun eigen wil de ondersteuning gaan opzeggen.

Leuk dat jullie wel er vanuit gaan dat als de bestanden een bepaalde SHA1 hash hebben, de source dan authentiek zou moeten zijn. De NSA kennende, verspreiden ze aangepaste bestanden die de zelfde SHA1 hash hebben. Ze hebben immers rekenkracht genoeg om een collission te berekenen.

Speel ook Balls Connect en Repeat

donderdag 29 mei 2014 10:12

Acties:

0 Henk 'm!

Mentalist

[avdD]

Topicstarter

Onbekend schreef op donderdag 29 mei 2014 @ 09:57:
Leuk dat jullie wel er vanuit gaan dat als de bestanden een bepaalde SHA1 hash hebben, de source dan authentiek zou moeten zijn. De NSA kennende, verspreiden ze aangepaste bestanden die de zelfde SHA1 hash hebben. Ze hebben immers rekenkracht genoeg om een collission te berekenen.

Daar ga ik ook niet vanuit. Maar de source aanpassen, SHA1 hash gelijk houden èn PGP signature.. Nouja, tenzij de NSA natuurlijk die PGP signature heeft gecompromitteerd. Maar dan nog, iets zinnigs programmeren tegelijk met een collision?

Misschien dan ook maar de filesize controleren:

1949303 TrueCrypt 7.1a Source.tar.gz
1841128 TrueCrypt 7.1a Source.zip

Of beter nog wat meer checksums:

code:

$ sha256sum TrueCrypt\ 7.1a\ Source*
e6214e911d0bbededba274a2f8f8d7b3f6f6951e20f1c3a598fc7a23af81c8dc  TrueCrypt 7.1a Source.tar.gz
3de1be6ff4793c5d7269384a5739bb4c985068b15978d17d5bd71403e0f02177  TrueCrypt 7.1a Source.tar.gz.sig
9ec1a8002d80a4bfa43cb1d4116fb59c3f00d94407a042556183fe72541ea431  TrueCrypt 7.1a Source.zip
cadd4333abdaf87ae8d2298789d7485b015bbd55be959e02c9d0c9131ccf3281  TrueCrypt 7.1a Source.zip.sig

$ sha512sum TrueCrypt\ 7.1a\ Source*
b5e766023168015cb91bfd85c9e2621055dd98408215e02704775861b5070c5a0234a00c64c1bf7faa34e6d0b51ac71cd36169dd7a6f84d7a34ad0cfa304796a  TrueCrypt 7.1a Source.tar.gz
4d2da7fbf5a03d2c0d1543714edd82ebe9c8e9f186ca10599e69af5816469dd80e8a390515568433bb50871acdb1f31eca4438322e03d1b6a1e507899c1b281e  TrueCrypt 7.1a Source.tar.gz.sig
42f6334b29888206d68f76a0ac8ed0604d65192853cb85746ec472916b45ad0f54b2f348d1de37779aabbc1e03265e390cffce4447e85252ac1f8202ca10f854  TrueCrypt 7.1a Source.zip
d1caa01c5706ce4b611e647374258bf9457527949494c9af68be3389cda6a4cfbfbe6067e01d183b06ccd7cb74ddeb7ada9f695f8ca84852a8da76a3c530c4a6  TrueCrypt 7.1a Source.zip.sig

$ md5sum TrueCrypt\ 7.1a\ Source*
102d9652681db11c813610882332ae48  TrueCrypt 7.1a Source.tar.gz
5bca3d15b35d0725ff3317e568062ad8  TrueCrypt 7.1a Source.tar.gz.sig
3ca3617ab193af91e25685015dc5e560  TrueCrypt 7.1a Source.zip
da03d92b896a7f888a030f0eb5511f5d  TrueCrypt 7.1a Source.zip.sig

Al ga je je afvragen "goh, zouden ze een collision op alle bekende hashes kunnen berekenen?".

^^ Al deze checksums zijn van de bestanden van het DrWhax archief, ik kan dus niet vaststellen of ze legitiem zijn.

[ Voor 3% gewijzigd door Mentalist op 29-05-2014 10:21 ]

Verstuurd vanaf mijn Computer®

donderdag 29 mei 2014 10:13

Acties:

0 Henk 'm!

Anoniem: 457516

je snapt toch ook wel dat zelfs met alle rekenkracht dit gewoon echt niet te doen is he?
Je moet niet alleen een collision berekenen, je moet voor je een hash kan uitrekenen ook de source compileren. De hash is namelijk niet van de source, maar van de binary, dus moet er eerst met de source geklooit worden, dan gecompileerd en dan een hash. En jij denkt dat daar, zelfs met genoeg rekenkracht een collision van is?

Er zijn tot nu toe nog geen collisions bekend van SHA1. Ik ben daar dus niet zo bang voor.

Edit: Ik zie nu dat dit source packages zijn, daar had ik overheen gelezen.
Bovenstaand verhaal (en onderstaande reactie) blijven wel staan. Een compileerbare source EN een hash collision berekenen? Nee, dat denk ik toch niet.

[ Voor 18% gewijzigd door Anoniem: 457516 op 29-05-2014 10:15 ]

donderdag 29 mei 2014 10:14

Acties:

0 Henk 'm!

dlmh

Lo-Fi

Onbekend schreef op donderdag 29 mei 2014 @ 09:57:
Leuk dat jullie wel er vanuit gaan dat als de bestanden een bepaalde SHA1 hash hebben, de source dan authentiek zou moeten zijn. De NSA kennende, verspreiden ze aangepaste bestanden die de zelfde SHA1 hash hebben. Ze hebben immers rekenkracht genoeg om een collission te berekenen.

Maar de kans dat je iets zinnigs kunt programmeren met dezelfde hash is wel extreem klein, hoeveel brute kracht je ook tot je beschikking hebt.

edit:
^^ dat dus

“If a cluttered desk is a sign of a cluttered mind, of what, then, is an empty desk a sign?” - Albert Einstein

donderdag 29 mei 2014 10:17

Acties:

0 Henk 'm!

ironx

Wie weet heeft iemand er wat aan:
TrueCrypt 7.1a Windows binaries, source, signatures and PGP public keys: http://home.caiway.nl/~negative/truecrypt/

This posting is provided "AS IS" with no warranties, and confers no rights.

donderdag 29 mei 2014 10:20

Acties:

0 Henk 'm!

Mentalist

[avdD]

Topicstarter

ironx schreef op donderdag 29 mei 2014 @ 10:17:
Wie weet heeft iemand er wat aan:
TrueCrypt 7.1a Windows binaries, source, signatures and PGP public keys: http://home.caiway.nl/~negative/truecrypt/

Van jou?

If so, heb je dit vandaag gedownload, of ooit van de originele truecrypt-site?

De pubkeys zijn 404 trouwens.

Hoe dan ook hoe meer mirrors hoe beter.

Zeker met iemand die al 10+ jaar op GoT zit is de kans iets kleiner dat je voor de NSA werkt en alleen hier komt om zand in onze ogen te strooien.

dlmh schreef op donderdag 29 mei 2014 @ 10:14:
[...]

Maar de kans dat je iets zinnigs kunt programmeren met dezelfde hash is wel extreem klein, hoeveel brute kracht je ook tot je beschikking hebt.

edit:
^^ dat dus

Bovendien heb je een collision nodig van zowel de source in zip als de source in tar.gz als de signatures voor beiden. Zeker met die signatures erbij lijkt het me nogal een rotwerk, en zodra er iemand een diff doet op een origineel bestand en een "nieuw" bestand val je alsnog door de mand. Dus of dat de moeite waard is?

[ Voor 54% gewijzigd door Mentalist op 29-05-2014 10:29 ]

Verstuurd vanaf mijn Computer®

donderdag 29 mei 2014 10:30

Acties:

0 Henk 'm!

ironx

W3ird_N3rd schreef op donderdag 29 mei 2014 @ 10:20:
[...]

Van jou?

If so, heb je dit vandaag gedownload, of ooit van de originele truecrypt-site?

De pubkeys zijn 404 trouwens.

Hoe dan ook hoe meer mirrors hoe beter. Zeker met iemand die al 10+ jaar op GoT zit is de kans iets kleiner dat je voor de NSA werkt.

Keys zijn gefixed.

Bestanden zijn van mijzelf, wist dat ik ze nog ergens had had staan.

Datum van de bestanden is 12 april 2012, dus zijn al redelijk oud. Niet mee gerommeld oid. Bewaar altijd apps die ik (vaak) gebruik zodat ik ze niet allemaal opnieuw hoef te downloaden waneer ik een nieuwe install doe.

Bestanden zijn destijds inderdaad van de originele TrueCrypt site gedownload (download alleen van de bron).

Edit: bron van bestanden toegevoegd.

[ Voor 9% gewijzigd door ironx op 29-05-2014 10:36 ]

This posting is provided "AS IS" with no warranties, and confers no rights.

donderdag 29 mei 2014 10:35

Acties:

0 Henk 'm!

nightwing

Ik heb alleen nog de Win Setup liggen van 26 Jan 2013, maar kan daarmee wel die van ironx bevestigen :
$ sha1sum "TrueCrypt Setup 7.1a.exe"
7689d038c76bd1df695d295c026961e50e4a62ea TrueCrypt Setup 7.1a.exe

donderdag 29 mei 2014 10:35

Acties:

0 Henk 'm!

BenGenaaid

Voor het antwoord op de vraag van dit topic, wat nu:

misschien dat dit helpt?

Wikipedia: Comparison of disk encryption software

donderdag 29 mei 2014 10:48

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Mensen (zoals ik) die geen kopie bewaard hebben, kunnen tenminste nog een 'travellers disk' maken o.b.v. de al geïnstalleerde versie van TC.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 29 mei 2014 10:48

Acties:

0 Henk 'm!

Dreeke fixed

Ik heb de sources van 7.1a
1,841,128 bytes
TrueCrypt 7.1a Source.zip
Sat 21 Dec 2013 12:43:56 PM CET

72 bytes
TrueCrypt 7.1a Source.zip.sig
Sat 21 Dec 2013 12:43:28 PM CET

sha1:
4baa4660bf9369d6eeaeb63426768b74f77afdf2 TrueCrypt 7.1a Source.zip
952cc187988b4044ca8e249796ba65cc65e235f6 TrueCrypt 7.1a Source.zip.sig

sha512:
42f6334b29888206d68f76a0ac8ed0604d65192853cb85746ec472916b45ad0f54b2f348d1de37779aabbc1e03265e390cffce4447e85252ac1f8202ca10f854 TrueCrypt 7.1a Source.zip
d1caa01c5706ce4b611e647374258bf9457527949494c9af68be3389cda6a4cfbfbe6067e01d183b06ccd7cb74ddeb7ada9f695f8ca84852a8da76a3c530c4a6 TrueCrypt 7.1a Source.zip.sig

MD5:
3ca3617ab193af91e25685015dc5e560 TrueCrypt 7.1a Source.zip
da03d92b896a7f888a030f0eb5511f5d TrueCrypt 7.1a Source.zip.sig

sha256:
9ec1a8002d80a4bfa43cb1d4116fb59c3f00d94407a042556183fe72541ea431 TrueCrypt 7.1a Source.zip
cadd4333abdaf87ae8d2298789d7485b015bbd55be959e02c9d0c9131ccf3281 TrueCrypt 7.1a Source.zip.sig

[ Voor 93% gewijzigd door Dreeke fixed op 29-05-2014 12:48 ]

donderdag 29 mei 2014 10:54

Acties:

0 Henk 'm!

Shunt

Boe

Echt gaan we ons hier nu druk maken of dit een actie van de NSA is ?
Als de NSA je data wil hebben dan krijgen ze dat ongeacht je encryptie daar hebben ze "andere middelen" voor.
Afbeeldingslocatie: http://imgs.xkcd.com/comics/security.png

Afbeeldingslocatie: http://imgs.xkcd.com/comics/security.png

Waar ik me echt duk on maak zijn de grotere bedrijven die Truecrypt als security feature hebben. Die zullen nu in eens extreem snel moeten overstappen naar een ander platform.

Game PC
2 Post or Not 2 Post What's the question ?
"If it ain't broken, you didn't try hard enough"

donderdag 29 mei 2014 10:56

Acties:

+2 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

F_J_K schreef op donderdag 29 mei 2014 @ 10:48:
Mensen (zoals ik) die geen kopie bewaard hebben, kunnen tenminste nog een 'travellers disk' maken o.b.v. de al geïnstalleerde versie van TC.

Aanvulling: TrueCrypt Setup.exe staat 'gewoon' in \Program Files\Truecrypt

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 29 mei 2014 10:59

Acties:

0 Henk 'm!

Mentalist

[avdD]

Topicstarter

Shunt schreef op donderdag 29 mei 2014 @ 10:54:
Echt gaan we ons hier nu druk maken of dit een actie van de NSA is ?
Als de NSA je data wil hebben dan krijgen ze dat ongeacht je encryptie daar hebben ze "andere middelen" voor.

Voor de allerzwaarste topcriminelen, sure. Maar niet voor iedereen.

Ik zal trouwens niet zeggen dat het per se de NSA moet zijn. Iedere overheid die de pest heeft aan verdachten met TrueCrypt versleutelde data (met andere woorden: iedere overheid) heeft reden om de makers van TrueCrypt een boodschap te sturen dat ze er beter mee ophouden.

En je kan niet iedere verdachte met een moersleutel bewerken.

quote: https://en.wikipedia.org/wiki/Truecrypt
John Doe

In 2012 the United States 11th Circuit Court of Appeals ruled that a John Doe TrueCrypt user could not be compelled to decrypt several of his hard drives.[63][64][65] The court's ruling noted that FBI forensic examiners were unable to get past TrueCrypt's encryption (and therefore were unable to access the data) unless Doe either decrypted the drives or gave the FBI the password, and the court then ruled that Doe's Fifth Amendment right to remain silent legally prevented the Government from making him or her do so.[66][67]

Operation Satyagraha

In July 2008, several TrueCrypt-secured hard drives were seized from Brazilian banker Daniel Dantas, who was suspected of financial crimes. The Brazilian National Institute of Criminology (INC) tried unsuccessfully for five months to obtain access to his files on the TrueCrypt-protected disks. They enlisted the help of the FBI, who used dictionary attacks against Dantas' disks for over 12 months, but were still unable to decrypt them.[68]

Verstuurd vanaf mijn Computer®

donderdag 29 mei 2014 11:00

Acties:

0 Henk 'm!

Cyphax

Moderator LNX

Wat een vaag verhaal, dit, zeg. Ik baal hier flink van omdat TrueCrypt er voor Windows en Linux is, en daar maak ik veel gebruik van; ik heb een USB-stick met veel persoonlijke data in een grote container die ik zowel op het werk (Windows) als thuis (Linux) mount.

Ik heb de source van 7.1a trouwens ook nog liggen. Die is gedownload op 16 november vorig jaar:
truecrypt-7.1a.tar.gz, 1949303 bytes groot. MD5 is 102d9652681db11c813610882332ae48

Je kunt 'm ook hier downloaden: ftp://ftp.archlinux.org/other/tc/truecrypt-7.1a.tar.gz
Dan komt ie van een ftp van Arch.

Nou dus op zoek naar een vervanger die multi-platform is.

[ Voor 17% gewijzigd door Cyphax op 29-05-2014 11:03 ]

Saved by the buoyancy of citrus

donderdag 29 mei 2014 11:11

Acties:

0 Henk 'm!

alt-92

ye olde farte

Of....om even een parallel met OpenSSL/LibreSSL te trekken:

quote: http://krebsonsecurity.co...nt-page-1/#comment-255908
The iSec initial audit report was very critical of the TC code quality, and implied that it looks like the work of a single coder. There was no update for 2 years. The build process requires a 20 year old MS compiler, manually extracted from an exe installer.

Imagine yourself as the lead/solo developer working on TC. No one pays you for this, governments hate you, much of the crypto community is throwing rocks at you while your user community spends half of its time joining in with clueless paranoia and the other half whining about feature gaps (e.g. GPT boot disks.) You have to eat, so you have a real paying job. You’re not so young any more (doing the TC crap for a decade) and maybe the real job now includes responsibilities that crowd out side work. Or maybe you’ve got a family you love more than the whiny paranoids you encounter via TC. And now iSec is telling you your code is sloppy and unreadable, and that you should take on a buttload of mind-numbing work to pretty it up so they will have an easier time figuring out where some scotch-fueled coding session in 2005 ( or maybe something you inherited from a past developer) resulted in a gaping exploitable hole that everyone will end up calling a NSA backdoor.

Maybe you just toss it in. Why not? Anyone with a maintained OS has an integrated alternative and as imperfect as they may be, they are better than TC for most users. Maintaining TC isn’t really doing much good for many people and the audit just pushed a giant steaming pile of the least interesting sort of maintenance into top priority. Seems like a fine time to drop it and be your kids’ soccer coach.

Vond ik ook wel een aannemelijke.
Anders gezegd: Devver heeft alleen een XP doos waar de buildtoolsvoor Windows (- meest gebruikte TC client verhoudingsgewijs) op werken, iets anders kost teveel moeite.
Tel erbij op het gezeur en de exponentieel toegenomen aandacht (in negatieve zin van zowel 'experts', eindgebruikers als overheden) voor allerlei security-related software en je gaat je afvragen of je dat nog wel wil blijven doen.

[ Voor 10% gewijzigd door alt-92 op 29-05-2014 11:16 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 29 mei 2014 11:19

Acties:

0 Henk 'm!

Cyphax

Moderator LNX

Als dat alles is, dan kunnen we misschien een fork verwachten? Ik heb de source nog nooit bekeken. 's Een keer doorheen kijken.

Saved by the buoyancy of citrus

donderdag 29 mei 2014 11:42

Acties:

0 Henk 'm!

downtime

Everybody lies

alt-92 schreef op donderdag 29 mei 2014 @ 11:11:
Vond ik ook wel een aannemelijke.

Maar waarom dan niet open kaart spelen? Gewoon zeggen: Ik ben er klaar mee, het is wat het is, hier is de source code en wie wil neemt het maar over? Desnoods release je de laatste source een keer opnieuw maar dan onder een licentie waar de rest van de wereld ook wat mee kan.

Maar je weet natuurlijk nooit wat zich allemaal afspeelt tussen de oren van iemand die misschien gefrustreerd en een beetje paranoide is.

donderdag 29 mei 2014 11:43

Acties:

0 Henk 'm!

Mentalist

[avdD]

Topicstarter

alt-92 schreef op donderdag 29 mei 2014 @ 11:11:
Of....om even een parallel met OpenSSL/LibreSSL te trekken:

[...]

Vond ik ook wel een aannemelijke.
Anders gezegd: Devver heeft alleen een XP doos waar de buildtoolsvoor Windows (- meest gebruikte TC client verhoudingsgewijs) op werken, iets anders kost teveel moeite.
Tel erbij op het gezeur en de exponentieel toegenomen aandacht (in negatieve zin van zowel 'experts', eindgebruikers als overheden) voor allerlei security-related software en je gaat je afvragen of je dat nog wel wil blijven doen.

Dat klinkt ook plausibel, maar er is één probleem mee. Waarom alle oude versies offline halen?

Je zou kunnen zeggen "als hij die online laat staan blijven mensen dat gebruiken en blijven ze zeuren". Dat is veel beter op te lossen: haal alleen de binaries offline, de meeste gebruikers haken dan wel af.

En dan nog de licentie. Er is wel de moeite gedaan om de code van 7.2 met een meer open licentie vrij te geven. Waarom dan niet ook de broncode van een versie mèt encryptie vrijgeven onder zo'n licentie? Ik kan maar twee redenen verzinnen: pure woede (maar ga je dan nog de moeite doen om een decrypt-only variant te maken?) of hij heeft dit gedaan onder dwang. (hij màg geen versie met encryptiefunctionaliteit meer verspreiden)

Cyphax schreef op donderdag 29 mei 2014 @ 11:19:
Als dat alles is, dan kunnen we misschien een fork verwachten? Ik heb de source nog nooit bekeken. 's Een keer doorheen kijken.

Het probleem is dat de licentie van de source van voor 7.2 een fork niet echt lekker mogelijk maakt. (het zou misschien wel kunnen maar de populaire licenties als GPL en BSD kan je gewoon niet gebruiken) 7.2 is waarschijnlijk wel te forken (en ik gok dat dat ook wel gaat gebeuren), maar de vraag is hoeveel code er precies uit is gesloopt.

[ Voor 3% gewijzigd door Mentalist op 29-05-2014 11:46 ]

Verstuurd vanaf mijn Computer®

donderdag 29 mei 2014 11:49

Acties:

0 Henk 'm!

AtleX

Tyrannosaurus Lex 🦖

W3ird_N3rd schreef op donderdag 29 mei 2014 @ 05:38:
Het advies om dan maar BitLocker te gebruiken is dermate absurd dat het haast niet anders kan dan dat een overheidsinstantie druk heeft gezet op de makers om te stoppen.

Kan je hier eens nader op in gaan?

donderdag 29 mei 2014 11:55

Acties:

0 Henk 'm!

Terrestrial

Dat spreekt eigenlijk al voor zich...

donderdag 29 mei 2014 11:56

Acties:

0 Henk 'm!

AtleX

Tyrannosaurus Lex 🦖

Nou, voor mij niet want ik snap het niet. Omdat het advies van de TC ontwikkelaar(s) is dat je Bitlocker gebruikt is TC gedwongen te stoppen door een overheidsinstantie? Ik volg die redenatie niet.

donderdag 29 mei 2014 11:57

Acties:

0 Henk 'm!

Mentalist

[avdD]

Topicstarter

AtleX schreef op donderdag 29 mei 2014 @ 11:49:
[...]

Kan je hier eens nader op in gaan?

Daarvoor zal ik even copypasten van mijn frontpage-reactie:

Microsoft is een groot, en belangrijker, Amerikaans bedrijf. Dat zou op zich nog niet het grootste probleem zijn, maar we kunnen de source niet controleren. En binaries controleren op backdoors of zwakheden.. Da's erg lastig.

Zo is het niet te controleren of er zwakheden zitten in de PRNG die BitLocker gebruikt. En gegeven wat we tot nu weten van de NSA is het verre van ondenkbaar dat daar zwakheden inzitten.

De consequentie daarvan zou kunnen zijn dat de NSA, met de specifieke kennis van zwakheden in de PRNG, alle BitLocker versleutelde data kan ontsleutelen in afzienbare tijd doordat het aantal mogelijke sleutels bijzonder te beperken is. Voor buitenstaanders die niet weten wat de zwakheid precies is blijft een bruteforce nog steeds te tijdrovend (als in, miljoenen jaren). Het lijkt dan veilig. Maar dat hoeft het niet te zijn.

De broncode van TrueCrypt was niet voor niets openbaar (of je het "open source" kon noemen of niet, je kon de code iig lezen en zelf compileren). Vanuit dat opzicht is BitLocker echt niet te vertrouwen.

Is BitLocker goed genoeg voor de meeste gebruikers? Vast wel. Maar àls er bijvoorbeeld een zwakheid in de PRNG zit en die komt ooit aan het licht, dan kan alle BitLocker versleutelde data opeens ontsleuteld worden. Dat zal ook gelden voor een harde schijf die jaren eerder is gestolen of gekopiëerd.

Dat de ontwikkelaar zelf de TC code openbaar maakte (die keuze maak je niet voor niets) en nu het advies geeft om een closed source oplossing van een Amerikaans bedrijf te gebruiken is gewoon raar.

[ Voor 6% gewijzigd door Mentalist op 29-05-2014 11:58 ]

Verstuurd vanaf mijn Computer®

donderdag 29 mei 2014 12:01

Acties:

0 Henk 'm!

MilaNL

alt-92 schreef op donderdag 29 mei 2014 @ 11:11:
Of....om even een parallel met OpenSSL/LibreSSL te trekken:

[...]

Vond ik ook wel een aannemelijke.
Anders gezegd: Devver heeft alleen een XP doos waar de buildtoolsvoor Windows (- meest gebruikte TC client verhoudingsgewijs) op werken, iets anders kost teveel moeite.
Tel erbij op het gezeur en de exponentieel toegenomen aandacht (in negatieve zin van zowel 'experts', eindgebruikers als overheden) voor allerlei security-related software en je gaat je afvragen of je dat nog wel wil blijven doen.

Het is de meest geloofwaardige theorie die ik tot nu toe heb gelezen. Maar wat ik niet begrijp: als je boos bent op je userbase, waarom ga je dan überhaupt nog moeite doen om ze een decryptieversie te geven?

Ik vrees trouwens dat we het nooit gaan weten.

donderdag 29 mei 2014 12:09

Acties:

0 Henk 'm!

General_Snuss

Het hoeft trouwens niet zo te zijn dat er druk is uitgeoefend op de makers van Truecrypt. Voor hetzelfde geld zijn sourceforge en github onder druk gezet.

donderdag 29 mei 2014 12:12

Acties:

0 Henk 'm!

Shunt

Boe

W3ird_N3rd schreef op donderdag 29 mei 2014 @ 11:57:
[...]

Daarvoor zal ik even copypasten van mijn frontpage-reactie:

[...]

De broncode van TrueCrypt was niet voor niets openbaar (of je het "open source" kon noemen of niet, je kon de code iig lezen en zelf compileren). Vanuit dat opzicht is BitLocker echt niet te vertrouwen.

Is BitLocker goed genoeg voor de meeste gebruikers? Vast wel. Maar àls er bijvoorbeeld een zwakheid in de PRNG zit en die komt ooit aan het licht, dan kan alle BitLocker versleutelde data opeens ontsleuteld worden. Dat zal ook gelden voor een harde schijf die jaren eerder is gestolen of gekopiëerd.

Dat de ontwikkelaar zelf de TC code openbaar maakte (die keuze maak je niet voor niets) en nu het advies geeft om een closed source oplossing van een Amerikaans bedrijf te gebruiken is gewoon raar.

En dat geld niet voor een open source project? Daar kunnen geen kwetsbaarheid gevonden worden waardoor een jaren eerder versleutelde disk / container dan in eens gewoon toegankelijk is?

Je kan het ook anders beredeneren omdat niemand toegang heeft tot de source behalve eigen mensen die betaald worden om de code te controleren op problemen en dit dus ook oplossen omdat het hun werk is zou het product wel eens heel veilig kunnen zijn.

Nu weet ik dat de meeste mensen hier Microsoft en alle grote Amerikaanse bedrijven als de grote vijand zien (mogelijk ook terecht gezien dingen die bekend zijn geworden in de laatste jaren.) Maar vergeet niet dat je als bedrijf / persoon dingen wilt verstoppen voor mensen die kwaad willend zijn het geen zak uit maakt of de NSA er bij kan ja of nee. Dit is simpel weg de bedoeling van dat soort software kwaad willende weg houden bij je data.

Als je de NSA bij je data weg wilt houden dan moet je eerst eens bedenken waarom je dat wilt en daarna al je netwerk kabeltjes uit je systemen halen en er voor zorgen dat al je data vernietigd is als er iemand binnen valt want naast dat kun je toch niets doen tegen dat soort USA geweld.

Game PC
2 Post or Not 2 Post What's the question ?
"If it ain't broken, you didn't try hard enough"

donderdag 29 mei 2014 12:13

Acties:

0 Henk 'm!

Pruttelpot

Ik blijf het een vreemd verhaal vinden en totdat we meer info hebben, blijft het speculeren; maarem, die source audit was nog niet afgerond toch? Zou er soms iets bovenwater zijn gekomen wat het daglicht echt niet kan verdragen en de ontwikkelaars tot deze drastische acties heeft bewogen?

donderdag 29 mei 2014 12:13

Acties:

0 Henk 'm!

Anoniem: 594198

Heel erg jammer dit; ondanks het feit dat de echte audit nog moest komen had ik veel vertrouwen in TrueCrypt.

Nu dus op zoek naar alternatieven (voor W8.1). Ik houd de post hierboven in overweging, maar ik sta open voor meer suggesties.

donderdag 29 mei 2014 12:37

Acties:

0 Henk 'm!

Mentalist

[avdD]

Topicstarter

Shunt schreef op donderdag 29 mei 2014 @ 12:12:
[...]

En dat geld niet voor een open source project? Daar kunnen geen kwetsbaarheid gevonden worden waardoor een jaren eerder versleutelde disk / container dan in eens gewoon toegankelijk is?

Nee, dat klopt, daar heb je gelijk in. Ik zei dat om de reactie "ach pfff, boeie, dan patchen ze dat en is alles weer okee" voor te zijn.

Punt is wel dat je bij een project waarvan je de source in kan zien veel makkelijker dergelijke fouten op kan sporen. Er is (of nu waarschijnlijk, was..) een audit project voor TrueCrypt. Niet voor BitLocker. Waarom niet? Omdat je het niet kan auditten.

Je kan het ook anders beredeneren omdat niemand toegang heeft tot de source behalve eigen mensen die betaald worden om de code te controleren op problemen en dit dus ook oplossen omdat het hun werk is zou het product wel eens heel veilig kunnen zijn.

Wikipedia: Security through obscurity

Nu weet ik dat de meeste mensen hier Microsoft en alle grote Amerikaanse bedrijven als de grote vijand zien (mogelijk ook terecht gezien dingen die bekend zijn geworden in de laatste jaren.) Maar vergeet niet dat je als bedrijf / persoon dingen wilt verstoppen voor mensen die kwaad willend zijn het geen zak uit maakt of de NSA er bij kan ja of nee. Dit is simpel weg de bedoeling van dat soort software kwaad willende weg houden bij je data.

Maar als de NSA een backdoor heeft dan wil dat zeggen dat er een backdoor is.

En behalve de NSA weet je niet wie er verder bij kan. De Mossad? De Maffia? Microsoft? Anonymous? LulzSec? En als er een backdoor is, dan kan ie uitlekken. Dan kan iedereen erbij. Een backdoor die er niet is kan ook niet uitlekken.

Maar ach, wat is de kans dat er iets uitlekt bij de NSA. Oh wacht..

Buiten dat kan de backdoor ook gewoon als lek worden ontdekt zonder dat er iets is gelekt.

Als je de NSA bij je data weg wilt houden dan moet je eerst eens bedenken waarom je dat wilt

Heel simpel. Omdat ze daar helemaal niets zoeken hebben. Dit is het "ik heb niets te verbergen"-argument.

Heb je nu iets te verbergen? Misschien niet. Maar als behalve de NSA ook de Russische overheid erbij kan? Dan hoop ik voor je dat je niet de voorzitter van een grote homobeweging bent..

Het is altijd de ander die bepaald of je iets te verbergen hebt, niet jijzelf.

en daarna al je netwerk kabeltjes uit je systemen halen en er voor zorgen dat al je data vernietigd is als er iemand binnen valt want naast dat kun je toch niets doen tegen dat soort USA geweld.

Natuurlijk kan je niet alles beveiligen. Maar dat is geen reden om dan maar voor inferieure of zelfs geen beveiliging te kiezen.

[ Voor 7% gewijzigd door Mentalist op 29-05-2014 12:47 ]

Verstuurd vanaf mijn Computer®

donderdag 29 mei 2014 12:50

Acties:

0 Henk 'm!

Juup

Dit heeft alle kenmerken van een National Security Letter.

- De developer(s) geven geen verklaring voor hun actie.
- De oude sources en binaries zijn weggehaald.
- De actie is plotsklaps, onaangekondigd.
- Encrypten is onmogelijk gemaakt, decrypten kan nog wel.

Ik zet mijn geld op de NSL.

[ Voor 8% gewijzigd door Juup op 29-05-2014 12:51 ]

Ben ik nou zo dom of zijn jullie nou zo slim?

donderdag 29 mei 2014 13:07

Acties:

0 Henk 'm!

CMD-Snake

Juup schreef op donderdag 29 mei 2014 @ 12:50:
Dit heeft alle kenmerken van een National Security Letter.

- De developer(s) geven geen verklaring voor hun actie.
- De oude sources en binaries zijn weggehaald.
- De actie is plotsklaps, onaangekondigd.
- Encrypten is onmogelijk gemaakt, decrypten kan nog wel.

Ik zet mijn geld op de NSL.

Kan ook een rage quit zijn.... Dat heeft ook wel dezelfde symptomen.

De boodschap op de website lijkt ook wel op trolling. Vandaar ook berichtgevingen dat TrueCrypt z'n site gehackt is.

Straks was het gewoon dat de ontwikkelaar zeik reacties nummer oneindig las, nog een post moest doornemen van een alu hoedjes drager en dacht "zak er maar in". Of wie weet wilde de ontwikkelaar er gewoon mee stoppen. Naarmate je ouder wordt gaan je prioriteiten toch anders liggen. Wellicht wilde deze persoon meer tijd doorbrengen met het gezin, meer uurtjes overhouden 's avonds en in het weekend. En werd ontwikkelen voor nieuwe OS'en lastiger door de antieke compiler. (Laten we wel wezen, er was voor zover ik weet nog geen Windows 8 versie uit terwijl Windows 8 al een hele tijd op de markt is.)

En wie weet wist de ontwikkelaar gewoon niet wat hij/zij moest schrijven in het afscheid. Dan maar dit.

Overigens wat betreft Bitlocker en Microsoft. MS laat zijn broncode e.d. wel onderzoeken door beveiligingsbedrijven. Ook bepaalde grote overheden (China, Europese Unie e.d.) mogen de broncode doorspitten. Dus om direct te zeggen dat open source beter is dan closed source zou ik niet doen. De controle loopt anders.

donderdag 29 mei 2014 13:19

Acties:

0 Henk 'm!

MegaTronics

Chef WiFi Kabels

Zat me al een tijdje af te vragen wanneer Truecrypt nu zou komen met de beloofde GPT ondersteuning. Naar nu blijkt komt die er dus niet.

Op de zaak hebben we alle laptops voorzien van Truecrypt als eerste beveiliging van de data. Ik zie nog niet gebeuren dat we dat op een snelle termijn gaan veranderen (we zijn net over naar Windows 7 Pro op de laptops, dus BitLocker is sowieso geen optie).

Vroeger, toen de Batavieren nog met zijn vijven waren.

donderdag 29 mei 2014 13:24

Acties:

0 Henk 'm!

Juup

CMD-Snake schreef op donderdag 29 mei 2014 @ 13:07:
Kan ook een rage quit zijn.... Dat heeft ook wel dezelfde symptomen.

En dan zorgvuldig alle screenshots maken voor BitLocker(Win) en FileVault(Mac) en die op de website zetten?

Ben ik nou zo dom of zijn jullie nou zo slim?

donderdag 29 mei 2014 14:19

Acties:

0 Henk 'm!

GlowMouse

Eagle Creek schreef op donderdag 29 mei 2014 @ 09:33:
Daarover gesproken te hebben: ik hoop dat dit verhaal een staartje krijgt. BitLocker is an sich geen slecht advies (tal van bedrijven gebruiken het immers)

Daarover las ik op Reddit twee opmerkingen:

Microsoft put DUAL_EC_DRBG in Windows, too.
Who knows, their own crypto solution may just accidentally happen to make use of it! "But it was certified!" I can hear them say already...

Who in their right mind would use BitLocker?
organizations that need to check a box.

Het is lastig te bepalen wie je kunt vertrouwen. MS heeft het geld om goede cryptografen in te huren, maar is als groot bedrijf afhankelijk van een overheid. Omgekeerd heb je die open-source projecten waar goedbedoelende mensen aan programmeren, maar waarvan lastig is te controleren of de encryptie op een veilige manier is geïmplementeerd en waarbij een overheid druk kan uitoefenen op de makers.

donderdag 29 mei 2014 14:33

Acties:

0 Henk 'm!

redfoxert

nightwing schreef op donderdag 29 mei 2014 @ 10:35:
Ik heb alleen nog de Win Setup liggen van 26 Jan 2013, maar kan daarmee wel die van ironx bevestigen :
$ sha1sum "TrueCrypt Setup 7.1a.exe"
7689d038c76bd1df695d295c026961e50e4a62ea TrueCrypt Setup 7.1a.exe

Klopt, die van 2 januari 2014 heeft dezelfde SHA-1 key. Heb hem hier nog staan. Tijd om die maar eens veiliger te stellen

https://discord.com/invite/tweakers

donderdag 29 mei 2014 14:38

Acties:

0 Henk 'm!

Sniffert

Het is zeker raar dat een OpenSource project als TrueCrypt dat ook nog een multiplatform is, een commercieel product van Microsoft gaat aanraden. Ook de berichtgeving voor de Linux en Mac users is rondom vaag opgesteld. Zit gewoon een vies luchtje aan. Ik ben benieuwd naar de berichtgevingen die gaan komen in de toekomst rondom TrueCrypt.

[ Voor 12% gewijzigd door Sniffert op 29-05-2014 14:40 ]

donderdag 29 mei 2014 14:39

Acties:

0 Henk 'm!

Dreeke fixed

Voor de mensen die hun truecrypt container willen lezen in de toekomst:
ScramDisk
http://sd4l.sourceforge.net/
Finally version 2.1-0 implementes support for TrueCrypt 7 containers.

Theoretisch kan je de sources downloaden, ik heb ze (nog) niet bekeken.

Edit:
Stamt uit 2011, dus wordt niet zo actief onderhouden.

[ Voor 11% gewijzigd door Dreeke fixed op 29-05-2014 14:41 ]

donderdag 29 mei 2014 14:46

Acties:

0 Henk 'm!

SlaadjeBla

GlowMouse schreef op donderdag 29 mei 2014 @ 14:19:
[...]

Het is lastig te bepalen wie je kunt vertrouwen. MS heeft het geld om goede cryptografen in te huren, maar is als groot bedrijf afhankelijk van een overheid.

Maar Microsoft is als bedrijf nog veel meer afhankelijk van zijn enterprise klanten. Dat zijn klanten die veel te verliezen hebben bij backdoors. Microsoft is out-of-business op het moment dat ze backdoors zouden inbouwen en het uitkomt en dat is een kwestie van tijd. Er hoeft maar 1 Snowden zijn mond open te doen en je kunt inpakken.

Nee, ik geloof niet in bewuste achterdeurtjes of zwakheden in Bitlocker. Het risico is te groot.

donderdag 29 mei 2014 14:53

Acties:

0 Henk 'm!

Brons

Fail!

SlaadjeBla schreef op donderdag 29 mei 2014 @ 14:46:
[...]

Maar Microsoft is als bedrijf nog veel meer afhankelijk van zijn enterprise klanten. Dat zijn klanten die veel te verliezen hebben bij backdoors. Microsoft is out-of-business op het moment dat ze backdoors zouden inbouwen en het uitkomt en dat is een kwestie van tijd. Er hoeft maar 1 Snowden zijn mond open te doen en je kunt inpakken.

Nee, ik geloof niet in bewuste achterdeurtjes of zwakheden in Bitlocker. Het risico is te groot.

We hebben net een heel lijst aan onthullingen gehad van bedrijven die meewerkten om data toegankelijk te maken aan de Amerikaanse overheid. Volgens mij is geen een van de bedrijven op dit moment out-of-business.

donderdag 29 mei 2014 14:55

Acties:

0 Henk 'm!

26779

Hier nog wat alternatieven: http://alternativeto.net/software/truecrypt/

Brons schreef op donderdag 29 mei 2014 @ 14:53:
[...]

We hebben net een heel lijst aan onthullingen gehad van bedrijven die meewerkten om data toegankelijk te maken aan de Amerikaanse overheid. Volgens mij is geen een van de bedrijven op dit moment out-of-business.

De weinige bedrijven die de ballen hadden om niet mee te werkten zijn hierdoor wel gestopt. Bijvoorbeeld Lavabit...
De gang van zaken bij TC ruikt erg naar een gelijksoortige actie: 'allow backdoor or shutdown'.

[ Voor 83% gewijzigd door 26779 op 29-05-2014 15:16 ]

donderdag 29 mei 2014 14:56

Acties:

0 Henk 'm!

SlaadjeBla

Brons schreef op donderdag 29 mei 2014 @ 14:53:
[...]

We hebben net een heel lijst aan onthullingen gehad van bedrijven die meewerkten om data toegankelijk te maken aan de Amerikaanse overheid. Volgens mij is geen een van de bedrijven op dit moment out-of-business.

Dat waren gevallen waarbij data werd overgedragen die op servers stonden van die bedrijven. Het betrof daarbij individuele gevallen.

Welke bedrijven hebben bewust achterdeurtjes ingebouwd waarmee op grote schaal data ontvreemd kon worden?

donderdag 29 mei 2014 15:10

Acties:

0 Henk 'm!

SniperEye

Shunt schreef op donderdag 29 mei 2014 @ 12:12:
[...]

Als je de NSA bij je data weg wilt houden dan moet je eerst eens bedenken waarom je dat wilt en daarna al je netwerk kabeltjes uit je systemen halen en er voor zorgen dat al je data vernietigd is als er iemand binnen valt want naast dat kun je toch niets doen tegen dat soort USA geweld.

Misschien omdat jij en ik niet weten wat de NSA met de gevonden data doet? Als ik Google naar canabis, tippen zij dan de politie in NL bijvoorbeeld? Wellicht simplistisch voorbeeld doch wel een exemplarisch voorbeeld.

donderdag 29 mei 2014 15:12

Acties:

0 Henk 'm!

smiba

Lijkt me toch dat ze een NSL ontvangen hebben, zeker omdat ze (expres) een van de slechtste alternatieven gebruikt hebben.

donderdag 29 mei 2014 15:15

Acties:

0 Henk 'm!

Trommelrem

SlaadjeBla schreef op donderdag 29 mei 2014 @ 14:46:
[...]

Nee, ik geloof niet in bewuste achterdeurtjes of zwakheden in Bitlocker. Het risico is te groot.

Linkje

donderdag 29 mei 2014 15:15

Acties:

0 Henk 'm!

Sniffert

SlaadjeBla schreef op donderdag 29 mei 2014 @ 14:56:
[...]

Dat waren gevallen waarbij data werd overgedragen die op servers stonden van die bedrijven. Het betrof daarbij individuele gevallen.

Welke bedrijven hebben bewust achterdeurtjes ingebouwd waarmee op grote schaal data ontvreemd kon worden?

Bewijzen zijn er, ook Microsoft heeft relaties met de NSA. Als je me niet gelooft, lees dit of dit artikel maar eens.

donderdag 29 mei 2014 15:18

Acties:

0 Henk 'm!

SlaadjeBla

Sniffert schreef op donderdag 29 mei 2014 @ 15:15:
[...]

Bewijzen zijn er, ook Microsoft heeft relaties met de NSA. Als je me niet gelooft, lees dit of dit artikel maar eens.

Het eerste artikel versterkt juist mijn punt (heb je het zelf gelezen?), het tweede heeft niets met BitLocker te maken.

donderdag 29 mei 2014 15:25

Acties:

0 Henk 'm!

Trommelrem

Wat boeit trouwens de NSA eigenlijk? Al dat gebash op de NSA...
Het enige belangrijke is dat de concurrent geen toegang krijgt tot gestolen data. Wat de NSA ermee doet zal slechts weinig organisaties jeuken. Laat ze er lekker worstjes mee bakken, of kabouters mee inhuren die servertjes stelen.

Bitlocker is veilig. Wellicht niet tegen de NSA, maar in ieder geval wel tegen de concurrent. En dat is waar het om gaat bij encryptie van opgeslagen data.

[ Voor 15% gewijzigd door Trommelrem op 29-05-2014 15:27 ]

donderdag 29 mei 2014 15:26

Acties:

0 Henk 'm!

Rutix

In dit geval is de open source argument een beetje onzin. Er is in al die jaren nog nooit een audit op de code geweest en weinig mensen hebben ook echt gekeken naar de source code. Recentelijk zijn ze pas begonnen met de audit dus het argument "lekken worden sneller gevonden" is ongelooflijke onzin in dit geval

.

Nothing to see here!

donderdag 29 mei 2014 15:28

Acties:

0 Henk 'm!

Shunt

Boe

Sniffert schreef op donderdag 29 mei 2014 @ 15:15:
[...]

Bewijzen zijn er, ook Microsoft heeft relaties met de NSA. Als je me niet gelooft, lees dit of dit artikel maar eens.

Heb je ze zelf al eens gelezen/
ze geven aan dat ze NIET mee willen werken aan een back door?
Maar ik kan er dus vanuit gaan dat iedereen die hier geen bitlocker gebruikt vanuit de overtuiging dat Microsoft backdoors inbouwt zijn eigen opensource sloten en sleutels laat maken voor zijn huis / auto / fiets? Want ja die grote bedrijven verkopen allemaal skeleton keys aan de politie en daar kunnen dus andere mensen ook gebruik maken van die methode.
Want ja zo kunnen overheden zomaar je huis binnen komen en zo ALLES over je te weten komen.

Ik heb het niet over het feit dat de regering / NSA of what ever maar alles moet kunnen inzien of dat ze het maar moeten bekijken want bij mij is er toch niets te halen ik heb het over het beschermen van je data binnen alle redelijkheid. En in mijn mening voldoet een product als bitlocker daar perfect aan.

Het houd nagenoeg alles of iedereen buiten (mits je geen stomme dingen doet zoals je laptop / pc aan en onbeheerd achter laat)(iets met geheugen koelen en overzetten in speciale hardware)). Dat het een grote regering buiten houd ja tot een zekere mate denk ik wel als ze willen komen ze aan je data daar ben ik overtuigd van maar dat geld voor ieder publiek beschikbaar encryptie protocol denk ik.

Sniffert schreef op donderdag 29 mei 2014 @ 15:29:
[...]

Ging mij meer om de relatie tussen MS en NSA, waar jij nogal lichtzinnig over denkt.

IEDERE grote organisatie in de US heeft contact met de NSA (of welke regeringsinstantie dan ook) zolang ze maar data van mensen hebben of beveiligen. En deze contacten hadden ze bij Truecrypt ook.

[ Voor 10% gewijzigd door Shunt op 29-05-2014 15:31 ]

Game PC
2 Post or Not 2 Post What's the question ?
"If it ain't broken, you didn't try hard enough"

donderdag 29 mei 2014 15:29

Acties:

0 Henk 'm!

Sniffert

SlaadjeBla schreef op donderdag 29 mei 2014 @ 15:18:
[...]

Het eerste artikel versterkt juist mijn punt (heb je het zelf gelezen?), het tweede heeft niets met BitLocker te maken.

Ging mij meer om de relatie tussen MS en NSA, waar jij nogal lichtzinnig over denkt.

donderdag 29 mei 2014 15:34

Acties:

0 Henk 'm!

SlaadjeBla

Sniffert schreef op donderdag 29 mei 2014 @ 15:29:
[...]

Ging mij meer om de relatie tussen MS en NSA, waar jij nogal lichtzinnig over denkt.

Dat doe ik helemaal niet. Maar als je securityproducten aanbiedt aan overheden en multinationals en dat niet waarmaakt, ben je niet meer geloofwaardig en kun je inpakken. Ik heb het dus niet over Skype of Xbox live, maar over BitLocker.
Kijk naar de huidige controverse rond RSA. Die gaan echt geen overheidscontracten meer krijgen.

Trommelrem schreef op donderdag 29 mei 2014 @ 15:25:
Wat boeit trouwens de NSA eigenlijk? Al dat gebash op de NSA...

...

Bitlocker is veilig. Wellicht niet tegen de NSA, maar in ieder geval wel tegen de concurrent. En dat is waar het om gaat bij encryptie van opgeslagen data.

Omdat de NSA ook in is gezet voor economische spionage boeit het wel degelijk dat er backdoors in zouden kunnen zitten.

[ Voor 30% gewijzigd door SlaadjeBla op 29-05-2014 15:38 ]

donderdag 29 mei 2014 15:39

Acties:

0 Henk 'm!

26779

Trommelrem schreef op donderdag 29 mei 2014 @ 15:25:
Bitlocker is veilig. Wellicht niet tegen de NSA

Hoe kan je dit met droge ogen beweren? Onbegrijpelijk
* 26779 schut meewarig zijn hoofd.

donderdag 29 mei 2014 15:45

Acties:

0 Henk 'm!

Shunt

Boe

26779 schreef op donderdag 29 mei 2014 @ 15:39:
[...]

Hoe kan je dit met droge ogen beweren? Onbegrijpelijk
* Shunt schut meewarig zijn hoofd.

Kom nu eens met onomstotelijk bewijs dat bitlocker alles behalve veilig is en kom nu AUB niet met van die linkjes aan waar ze verwijzen naar het uitlezen van bevroren geheugen modules van een computer die gelocked maar wel actief was. Want naar mijn weten is iedere vorm van encryptie in Windows daar gevoelig voor.

Het zou mensen sieren niet met het onderbuikgevoel te reageren maar met harde feiten.

Game PC
2 Post or Not 2 Post What's the question ?
"If it ain't broken, you didn't try hard enough"

donderdag 29 mei 2014 15:49

Acties:

0 Henk 'm!

downtime

Everybody lies

Rutix schreef op donderdag 29 mei 2014 @ 15:26:
In dit geval is de open source argument een beetje onzin. Er is in al die jaren nog nooit een audit op de code geweest en weinig mensen hebben ook echt gekeken naar de source code. Recentelijk zijn ze pas begonnen met de audit dus het argument "lekken worden sneller gevonden" is ongelooflijke onzin in dit geval

Was met OpenSSL toch ook al het probleem? Iedereen kon in theorie de source bekijken maar niemand had de moeite ooit genomen. Het is nu eenmaal complex en tijdrovend werk om andermans code te auditen en de hele wereld vertrouwt erop dat iemand anders die moeite wel zal nemen.

donderdag 29 mei 2014 15:50

Acties:

0 Henk 'm!

26779

Ik wijs niet op technische bewijzen maar op opgelegde backdoors. Bijvoorbeeld de reden waaom lavabit ook gestopt is.
Noem het alu-hoedje-opzetten, maar sinds Snowden een tipje van de sluier, van de omvang van de werkwijzes van clubs als NSA en soorgelijke instanties van andere landen, heeft opgelicht, is een dergelijk scenario eerder waarschijnlijk dan alu-hoedjes-opzetten.

donderdag 29 mei 2014 15:56

Acties:

0 Henk 'm!

Shunt

Boe

26779 schreef op donderdag 29 mei 2014 @ 15:50:
Ik wijs niet op technische bewijzen maar op opgelegde backdoors. Bijvoorbeeld de reden waaom lavabit ook gestopt is.
Noem het alu-hoedje-opzetten, maar sinds Snowden een tipje van de sluier, van de omvang van de werkwijzes van clubs als NSA en soorgelijke instanties van andere landen, heeft opgelicht, is een dergelijk scenario eerder waarschijnlijk dan alu-hoedjes-opzetten.

Dus een onderbuik gevoel?
Er is geen ENKELE aanwijzing dat er daadwerkelijk achterdeuren in zitten.
En nog steeds gaat het om kwaadwillende buiten houden mensen met de resources als de NSA of andere grote high tech overheden hebben geen backdoor nodig.

Je moet niet uit het oog verliezen waar je de encryptie voor nodig hebt. En dat is de concurrent / buurman / dieven buiten houden. Of woon jij in een huis dat niet af te luisteren is je hebt geen online footprint je bent geen klant bij bedrijven?

Ik begrijp het onderbuik gevoel maar mensen blijven het doel van software als bitlocker uit het oog verliezen. Dat heeft niets met het onderbuik gevoel te maken maar met het buiten houden van de mensen die je buiten MOET houden voor het voortbestaan van je bedrijf.

Game PC
2 Post or Not 2 Post What's the question ?
"If it ain't broken, you didn't try hard enough"

donderdag 29 mei 2014 16:20

Acties:

0 Henk 'm!

Ettepet

Als je kijkt naar de uitspraken van binnen de NSA over hun mogelijkheden, zoals naar buiten gebracht door Snowden dan is het 100% zeker dat de NSA elke mogelijkheid van backdoor of (bij hun bekende) zwakheid zal hebben afgedwongen de afgelopen 5+ jaar.

Als er geen zwakheid te vinden was dan hebben ze wel bij de makers (dus ook die van TrueCrypt) in zijn systemen ingebroken en desnoods als die naar de wc was wat lichte aanpassinkjes gemaakt. Een aantal van de intelligentste mensen werken voor hen, dus zeker mensen die vrij eenvoudig mee kunnen denken met de programmeur(s) van dit soort tools. Als je hun leven letterlijk kunt volgen en in kunt grijpen door OF sources aan te passen OF hun compiler(s) en ontwikkelomgeving dan zijn er nog maar heel weinig ontwikkelaars bestand tegen zo'n aanpak. Je moet een off-line computer gebruiken die je via een niet actief medium (SD of iets) benaderd om überhaupt een kans te maken. Als je het de NSA/enz. lastig genoeg maakt en belangrijk genoeg bent dan zijn er nog legio andere middelen, inclusief inbraak, invallen of wat dan ook.

Ik denk dat de ontwikkelaar van TrueCrypt gezwicht is onder externe druk, en alleen nog dit soort radicale kattensprongen kon maken. Waarschijnlijk mocht hij juridisch geen uitspraken meer doen en heeft nu in ieder geval duidelijk kunnen maken dat het wat TrueCrypt betreft over en sluiten is.

donderdag 29 mei 2014 16:33

Acties:

0 Henk 'm!

26779

Je moet niet uit het oog verliezen waar je de encryptie voor nodig hebt. En dat is de concurrent / buurman / dieven buiten houden. Of woon jij in een huis dat niet af te luisteren is je hebt geen online footprint je bent geen klant bij bedrijven?

Er is een essentieel verschil tussen data encryptie en een slot op je huis: voor je huis heb je _fysieke_ toegang nodig. Voor data is dat niet zo. Zodra er een netwerk/internet verbinding is, is toegang mogelijk vanaf ieder willekeurige plek.
En vertrouwen op een encryptie techniek die gecompromitteerd is of waarvan het vermoeden is dat deze door andere instanties uitleesbaar is? Sorry, dan neem je je _eigen_ data ook niet serieus.

Ik denk dat de ontwikkelaar van TrueCrypt gezwicht is onder externe druk, en alleen nog dit soort radicale kattensprongen kon maken. Waarschijnlijk mocht hij juridisch geen uitspraken meer doen en heeft nu in ieder geval duidelijk kunnen maken dat het wat TrueCrypt betreft over en sluiten is.

Dus truecrypt sluit aan in ht rijtje van lavabit....

[ Voor 20% gewijzigd door 26779 op 29-05-2014 16:35 ]

donderdag 29 mei 2014 16:45

Acties:

0 Henk 'm!

Shunt

Boe

26779 schreef op donderdag 29 mei 2014 @ 16:33:
[...]

Er is een essentieel verschil tussen data encryptie en een slot op je huis: voor je huis heb je _fysieke_ toegang nodig. Voor data is dat niet zo. Zodra er een netwerk/internet verbinding is, is toegang mogelijk vanaf ieder willekeurige plek.
En vertrouwen op een encryptie techniek die gecompromitteerd is of waarvan het vermoeden is dat deze door andere instanties uitleesbaar is? Sorry, dan neem je je _eigen_ data ook niet serieus.

Volgens mij haal je nu twee dingen door elkaar. Ondanks de encryptie op je hdd ben je net zoals met een inbraak in je huis net zo kwetsbaar zolang je pc aan staat en de drives ge mount heeft kan je OS er namelijk gewoon bij. Encryptie is het nuttigste bij diefstal bij fysieke inbraak of het kwijt raken van een USB disk / of totaal systeem.

Verder neem ik mijn data inderdaad niet serieus en waarom niet vraag je misschien af? Omdat ik mijzelf niet boeiend vind voor een NSA of welke regering instantie dan ook. En nee ik loop niet te strooien met mijn persoon gegevens op het internet. Maar mijn CV en foto's van mijn vakanties heb ik geen moeite mee als daar ooit iemand een kijkje in neemt. Natuurlijk vind ik het niet fijn als iemand door mijn foto's loopt te bladeren als ik daar geen toestemming voor geef. Maar ik maak mij geen illusies dat ik een gericht doel ben van spionage en dus al mijn data moet gaan versleutelen.

En daar kom je weer met dat onderbuik gevoel omdat ik Bitlocker gebruik neem ik mijn data niet serieus? Mijn normale PC heeft niet eens een vorm van encryptie op de disks. Waarom niet omdat het me niet boeit . Mijn werk pc's hebben allemaal Bitlocker + een Truecrypt container (de container omdat dit bedrijf beleid is). Waarom daar wel nou dat is simpel die data kan het bedrijf schaden als dit in handen komt van een kwaadwillende of een concurrent. Maar ik ben er van overtuigd dat alleen Bitlocker hier net zo effectief in zou zijn en tot dat iemand mij het tegendeel BEWIJST dan zal ik dit ook blijven zeggen en adviseren.

Game PC
2 Post or Not 2 Post What's the question ?
"If it ain't broken, you didn't try hard enough"

donderdag 29 mei 2014 16:57

Acties:

0 Henk 'm!

ik dus

AtleX schreef op donderdag 29 mei 2014 @ 11:49:
[...]

Kan je hier eens nader op in gaan?

Ik weet natuurlijk niet wat OP precies bedoelt maar ik vermoed dat hij erop doelt dat bitlocker van MS is en met alle onthulling van de afgelopen jaren is dat niet de partij die erom bekent staat om voor jouw privacy op te komen. Of dit ook betekent dat Bitlocker een backdoor oid bevat is natuurlijk een ander verhaal. Een onafhankelijke project heeft geen belang bij jouw gegevens en heeft niets met de NSA te maken (hopelijk), wat in de ideale situatie lijdt tot een project enkel gericht op versleuteling en zonder backdoors.

donderdag 29 mei 2014 17:07

Acties:

0 Henk 'm!

Shunt

Boe

ik dus schreef op donderdag 29 mei 2014 @ 16:57:
[...]

Ik weet natuurlijk niet wat OP precies bedoelt maar ik vermoed dat hij erop doelt dat bitlocker van MS is en met alle onthulling van de afgelopen jaren is dat niet de partij die erom bekent staat om voor jouw privacy op te komen. Of dit ook betekent dat Bitlocker een backdoor oid bevat is natuurlijk een ander verhaal. Een onafhankelijke project heeft geen belang bij jouw gegevens en heeft niets met de NSA te maken (hopelijk), wat in de ideale situatie lijdt tot een project enkel gericht op versleuteling en zonder backdoors.

Even een lekker stukje onderbuik gevoel.
Ik vertrouw liever in een partij waar ik van weet wat ze doen met mijn gegevens (staat namelijk allemaal netjes in de voorwaarden).
Liever vertrouw ik niet in een partij waar niemand enige zichtbare controle over heeft die geen enige verantwoording of verplichting naar de eindgebruiker heeft.

Onderbuik gevoel weer uit.
We zullen zien waar het schip strand zonder meer informatie van de ontwikkelaars kunnen we enkel een beetje speculeren. Verder staan de tegenstanders toch niet open voor alternatieven als bitlocker want onderbuik gevoelens.

Game PC
2 Post or Not 2 Post What's the question ?
"If it ain't broken, you didn't try hard enough"

donderdag 29 mei 2014 17:08

Acties:

0 Henk 'm!

donny007

Try the Nether!

De manier waarop TrueCrypt het heeft gepubliceerd heeft veel weg van een Warrant Canary, geen enkele security professional zal Bitlocker adviseren of tegen Linuxgebruikers zeggen dat ze maar een willekeurig encryptieprogramma moeten downloaden.

/dev/null

donderdag 29 mei 2014 17:16

Acties:

0 Henk 'm!

Shunt

Boe

donny007 schreef op donderdag 29 mei 2014 @ 17:08:
De manier waarop TrueCrypt het heeft gepubliceerd heeft veel weg van een Warrant Canary, geen enkele security professional zal Bitlocker adviseren of tegen Linuxgebruikers zeggen dat ze maar een willekeurig encryptieprogramma moeten downloaden.

En ook hier kom eens met links van bekende / erkende experts die dit afraden?

Game PC
2 Post or Not 2 Post What's the question ?
"If it ain't broken, you didn't try hard enough"

donderdag 29 mei 2014 17:19

Acties:

0 Henk 'm!

Anoniem: 599140

Ik heb zojuist een rapport gepubliceerd omtrent de TrueCrypt website, waar je niet echt blij van word.
Check it out! http://www.mischavangeelen.nl/report.html

donderdag 29 mei 2014 17:23

Acties:

0 Henk 'm!

MuddyMagical

Anoniem: 599140 schreef op donderdag 29 mei 2014 @ 17:19:
Ik heb zojuist een rapport gepubliceerd omtrent de TrueCrypt website, waar je niet echt blij van word.
Check it out! http://www.mischavangeelen.nl/report.html

Rapport? Een check van de DNS record en een paar traces?
Het hostingbedrijf waar je over begint kan iedereen gewoon hosting aanvragen. Sorry, maar dit zegt echt niets.

Is het IP in een reeks die aantoonbaar door andere overheidsinstanties wordt gebruikt? Dan wordt het iets om verder naar te kijken.

donderdag 29 mei 2014 17:25

Acties:

0 Henk 'm!

SKiLLa

Byte or nibble a bit ?

Shunt schreef op donderdag 29 mei 2014 @ 15:45:
[...]

Kom nu eens met onomstotelijk bewijs dat bitlocker alles behalve veilig is en kom nu AUB niet met van die linkjes aan waar ze verwijzen naar het uitlezen van bevroren geheugen modules van een computer die gelocked maar wel actief was. Want naar mijn weten is iedere vorm van encryptie in Windows daar gevoelig voor.

Het zou mensen sieren niet met het onderbuikgevoel te reageren maar met harde feiten.

Harde feiten: Amerika en de NSA doen aan bedrijfsspionage, MS is een Amerikaans bedrijf en is onderhevig aan de Amerikaanse wetgeving. Amerikaanse wetgeving vereist dat in Amerika gevestigde bedrijven keihard bukken voor de overheid. Hoe duidelijk wil je het hebben ?

Toch geloof jij blindelings dat het Bitlocker systeem veilig is, zonder enige onderbouwing (op wat marketing PR na) ? Volgens mij is de uitgaanssituatie nog altijd 'assume nothing' en niet 'assume everything', jij bent diegene die het omdraait: ... dus waar is de onderbouwing dat het wel veilig is ? Ik heb nog nooit gehoord van Bitlocker code-reviews, static/statistic/dynamic/crypto analysis, audit reports en/of resultaten daarvan die gepubliceerd zijn ...

'Political Correctness is fascism pretending to be good manners.' - George Carlin

donderdag 29 mei 2014 17:33

Acties:

0 Henk 'm!

hendrikjan

VOORMALIG STUNTMAN

Ik weet niet of dit hier al voorbij is gekomen, maar TAILS was al een dag of tien geleden van plan om TC er uit te slopen en te vervangen... https://tails.boum.org/blueprint/replace_truecrypt/

donderdag 29 mei 2014 17:43

Acties:

0 Henk 'm!

Sando

Sandoichi

Jammer dat die zlternatieven alleen voor linux zijn. Voor linux gebruik ik al LUKS en EcryptFS, maar ik zou ze ook graag in Windows kunnen mounten. ,

🇪🇺 Buy from EU (GoT)

donderdag 29 mei 2014 17:55

Acties:

0 Henk 'm!

donny007

Try the Nether!

Shunt schreef op donderdag 29 mei 2014 @ 17:16:
[...]

En ook hier kom eens met links van bekende / erkende experts die dit afraden?

Ik heb het niet over afraden ervan, maar over het aanraden van Bitlocker.

De security professionals achter open source software als TrueCrypt (waar controleerbaarheid van de code en openheid hoog in het vaandel staan) zullen niet snel closed source software aanraden.

/dev/null

donderdag 29 mei 2014 19:02

Acties:

0 Henk 'm!

Lothlórien

nee inderdaad.

Wat ik ook bijzonder vindt is dat er geen linux alternatieven worden gegeven.

donderdag 29 mei 2014 19:27

Acties:

0 Henk 'm!

Eagle Creek

Breathing security

donny007 schreef op donderdag 29 mei 2014 @ 17:08:
De manier waarop TrueCrypt het heeft gepubliceerd heeft veel weg van een Warrant Canary, geen enkele security professional zal Bitlocker adviseren of tegen Linuxgebruikers zeggen dat ze maar een willekeurig encryptieprogramma moeten downloaden.

Oh....?

Anoniem: 599140 schreef op donderdag 29 mei 2014 @ 17:19:
Ik heb zojuist een rapport gepubliceerd omtrent de TrueCrypt website, waar je niet echt blij van word.
Check it out! http://www.mischavangeelen.nl/report.html

Word hier niet echt warm van... Weinig 'rapport' imo.

~ Information security professional & enthousiast ~ EC Twitter ~

donderdag 29 mei 2014 19:29

Acties:

0 Henk 'm!

Anoniem: 599140

MuddyMagical schreef op donderdag 29 mei 2014 @ 17:23:
[...]

Rapport? Een check van de DNS record en een paar traces?
Het hostingbedrijf waar je over begint kan iedereen gewoon hosting aanvragen. Sorry, maar dit zegt echt niets.

Is het IP in een reeks die aantoonbaar door andere overheidsinstanties wordt gebruikt? Dan wordt het iets om verder naar te kijken.

Zoals je kan zien op de website van "het hostingbedrijf" (http://www.layeredtech.co.../fisma-compliant-hosting/) worden de sites van U.S bij dit bedrijf gehost. Als de developers van TrueCrypt veilig en anoniem willen/wilden zijn dan zou dit geen logische keuze zijn geweest. Ook is het ip op 29-05-2014 gewijzigd zoals te zien in de DNS records.

Dus feit blijft dat er iets niet klopt.

donderdag 29 mei 2014 19:38

Acties:

0 Henk 'm!

SKiLLa

Byte or nibble a bit ?

Als er met de iSec crypto audit een lek gevonden was in een van de algo's, had een 'reguliere' update toch voldaan ? De code-audit was best positief (imho), dat het spaghetti-code was, was te verwachten ...

Dus waarom een nieuwe decrypt-only versie uitbrengen ? Zelfs als de private key van het TC app-cert zelf gelekt was, had men een nieuwe kunnen nemen en verder gaan ...

Ook de crypto-prof van de Audit (zie: http://arstechnica.com/se...orge-page-abruptly-warns/) wist van niets en zag geen directe aanleiding. Ik denk inderdaad ook aan een WarrentCanary achtige constructie om gebruikers te waarschuwen ... dat hele XP verhaal is natuurlijk onzin.

'Political Correctness is fascism pretending to be good manners.' - George Carlin

donderdag 29 mei 2014 19:48

Acties:

0 Henk 'm!

Mentalist

[avdD]

Topicstarter

Eagle Creek schreef op donderdag 29 mei 2014 @ 16:39:
[...]

Seriously? Verwacht je een georganiseerde NSA-aanval om Tweakers te verleiden getamperde versies te downloaden?

Nee.

Maar die DrWhax pagina durfde ik niet onmiddelijk te vertrouwen, die zal vrij populair zijn. Daarom juist was het goed om hier op een relatief onbeduidend forum te bevestigen dat de bestanden daarin dezelfde zijn die ooit op de TC-website stonden.

Als ik mensen op grote schaal zou willen overtuigen dat een versie waar ik mee heb lopen knoeien legit is zou ik trouwens wel op de top-1000 fora gaan posten dat het legit is (en daar zit GoT dan dus ook wel bij). Maar dan zijn het waarschijnlijk geen 10+ jaar geregistreerde accounts.

Shunt schreef op donderdag 29 mei 2014 @ 16:45:
Verder neem ik mijn data inderdaad niet serieus en waarom niet vraag je misschien af? Omdat ik mijzelf niet boeiend vind voor een NSA of welke regering instantie dan ook. En nee ik loop niet te strooien met mijn persoon gegevens op het internet. Maar mijn CV en foto's van mijn vakanties heb ik geen moeite mee als daar ooit iemand een kijkje in neemt. Natuurlijk vind ik het niet fijn als iemand door mijn foto's loopt te bladeren als ik daar geen toestemming voor geef. Maar ik maak mij geen illusies dat ik een gericht doel ben van spionage en dus al mijn data moet gaan versleutelen.

Opnieuw het "ik heb niets te verbergen" argument.

Nee, je hebt wél iets te verbergen.

Het is niet aan jou. In Rusland moet je verbergen dat je homo bent. In China moet je verbergen dat je democraat bent. In Amerika moet je verbergen dat je wiet rookt. In Saoedi-Arabië moet je verbergen dat je drinkt. In Staphorst moet je verbergen dat je heiden bent. In Turkije moet je verbergen dat je een kritische noot over Erdogan wil uitspreken. En als je een Pakistaans meisje bent dan moet je verbergen dat je naar school wil.

Maar ik ben er van overtuigd dat alleen Bitlocker hier net zo effectief in zou zijn en tot dat iemand mij het tegendeel BEWIJST dan zal ik dit ook blijven zeggen en adviseren.

Dat is het lollige. Dat is wat betreft BL heel lastig te bewijzen. Op de TC-code kan je een audit doen en dan heb je een redelijke fundering om te zeggen dat het vermoedelijk veilig is. Voor BL moet je MS (+de paar overheden die de source in mogen zien) maar op hun blauwe ogen geloven. Inclusief iedereen die voor MS werkt. Dus als een crypto-expert van de NSA voor MS werkt, pech gehad. MS als bedrijf hoeft er niet eens van op de hoogte te zijn.

En àls er een backdoor inzit dan is de code als geheel ook minder secure. Want een backdoor kan ontdekt worden. Of we op dat moment denken dat het een bug is of een backdoor maakt niet eens zoveel uit, maar het is HeartBleed all over again.

Als er bewijs komt dat BL onveilig zou zijn dan is het al te laat. En er kan geen audit op worden gedaan.

Shunt schreef op donderdag 29 mei 2014 @ 17:07:
Onderbuik gevoel weer uit.
We zullen zien waar het schip strand zonder meer informatie van de ontwikkelaars kunnen we enkel een beetje speculeren. Verder staan de tegenstanders toch niet open voor alternatieven als bitlocker want onderbuik gevoelens.

Niks onderbuik. Niemand hier heeft iets tegen BL an sich. Laat MS de broncode van BL openbaar maken en laat ons zelf de code compileren en dan zal het prima zijn. Op dat moment kan iedereen er een audit op doen, niet alleen MS en een handjevol overheden.

Of er ook daadwerkelijk audits gedaan worden op publieke broncode, ja, dat is altijd al een probleem geweest. Maar de broncode helemaal niet hebben is daar geen oplossing voor.

[ Voor 4% gewijzigd door Mentalist op 29-05-2014 19:56 ]

Verstuurd vanaf mijn Computer®

donderdag 29 mei 2014 19:55

Acties:

0 Henk 'm!

Trommelrem

SKiLLa schreef op donderdag 29 mei 2014 @ 17:25:
[...]

Harde feiten: Amerika en de NSA doen aan bedrijfsspionage

Dus? 99% van de gebruikers van Bitlocker, gebruikt het om beschermd te zijn tegen verlies en diefstal van laptops door een dief. Niet tegen overheidsspionage, waar overigens ook TrueCrypt niet tegen bestand is omdat de keys gewoon in het RAM geheugen staan.

Toch geloof jij blindelings dat het Bitlocker systeem veilig is

Ja. Als ik mij zou willen beschermen tegen de NSA dan gebruikte ik wel iets anders, maar Bitlocker voldoet voor 99% van de gebruikers.

En ja, ik wil mij (prive) beschermen tegen overheidsmeekijken, maar zakelijk zal het mij echt jeuken. Zakelijk is Bitlocker veruit de mooiste oplossing.

Het lijkt wel alsof men Truecrypt wil gebruiken tegen de NSA, terwijl men vergeet dat Truecrypt echt niet helpt tegen spionage van de NSA. Denk je echt dat de NSA kabouters op pad gaat sturen om je laptop even op te halen? Truecrypt is helemaal geen almachtige firewall ofzo. Truecrypt kan alleen helpen tegen diefstal en dan is Bitlocker veel makkelijker door alle enterprisefeatures. Dat is de reden dat er wordt verwezen naar Bitlocker. Het is net zo effectief als Truecrypt, maar dan makkelijker.

[ Voor 31% gewijzigd door Trommelrem op 29-05-2014 20:00 ]

donderdag 29 mei 2014 20:00

Acties:

0 Henk 'm!

rr7r

Trommelrem schreef op donderdag 29 mei 2014 @ 19:55:
[...]

En ja, ik wil mij (prive) beschermen tegen overheidsmeekijken,

TC / BL beschermd alleen tegen fysieke toegang uiteindelijk. Ik denk niet dat ze je laptop stiekem gaan jatten om backdoor BL toe te passen, data te over te kopiëren en je laptop ongezien terug te plaatsen. Eenmaal gemount en internettoegang en hacken is een betere optie.

donderdag 29 mei 2014 20:06

Acties:

0 Henk 'm!

Jester-NL

... pakt een botte bijl

W3ird_N3rd schreef op donderdag 29 mei 2014 @ 19:48:
[...]Opnieuw het "ik heb niets te verbergen" argument.

Nee, je hebt wél iets te verbergen.

Het is niet aan jou. In Rusland moet je verbergen dat je homo bent. In China moet je verbergen dat je democraat bent. In Amerika moet je verbergen dat je wiet rookt. In Saoedi-Arabië moet je verbergen dat je drinkt. In Staphorst moet je verbergen dat je heiden bent. In Turkije moet je verbergen dat je een kritische noot over Erdogan wil uitspreken. En als je een Pakistaans meisje bent dan moet je verbergen dat je naar school wil.[...]

Misschien is dit niet onmiddelijk het "ik heb niets te verbergen"-argument, maar veel eerder het "ik verdom het ten elke male om in een constante staat van paranoia rond te lopen, en me voor te stellen dat ik voldoende doelwit ben voor [vul hier je favoriete bangmaak-instantie in].
Vooralsnog heb ik er geen enkele boodschap, aan als lesbisch, wiet-rokend meisje dat graag wil stemmen, maar dan tégen meneer Erdogan, omdat ik op school heb geleerd dat ik als heiden mag drinken wat en waar ik wil...

Sorry... ik heb zat dingen die jou en anderen geen ruk aangaan... maar ik weiger me allerhanden angsten aan te laten praten.

On-topic... Ik zie een paar kopjes lager (in B&V) een topic dat met als titel Truecrypt.org lijkt gehacked ...
Eigenlijk zegt dat al genoeg

TC is niet gestopt... Microsoft heeft (uiteraard samen met de NSA (en nadat E. Snowden zijn biezen heeft gepakt)) die site gehackt omdat het zoveel beter was dat Truecrypt niet meer wordt gebruikt, en daarom maar een uitgebreide handleiding Bitkeeper op de site neergezet.
Ik geloof eigenlijk het stukje dat de maker er (om welke van de vele genoemde redenen) er geen zin meer in had makkelijker dan de complottheorieen die ik verder lees.
Is uiteindelijk tijd en zin niet (vrijwel) altijd wat dit soort een-mans (of mini team) projecten de das omdoet???

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

donderdag 29 mei 2014 20:21

Acties:

0 Henk 'm!

Sniffert

W3ird_N3rd schreef op donderdag 29 mei 2014 @ 19:48:
[...]

Niks onderbuik. Niemand hier heeft iets tegen BL an sich. Laat MS de broncode van BL openbaar maken

Hier ben ik het dus volledig mee eens. Cryptografic software moet in mijn optiek open-source zijn, daar ligt dan ook de kracht en de betrouwbaarheid. Niemand heeft een idee wat het design en structuur achter BitLocker is,er zijn geen publieke cryptanalysis rapporten en het is Windows-only. Al met al zeer vreemd dat de makers van TrueCrypt deze software aanraadt. Hopelijk is dit niet het einde van TrueCrypt, er zijn zo weinig alternatieven beschikbaar (vooral multi-platform)

[ Voor 4% gewijzigd door Sniffert op 29-05-2014 20:22 ]

donderdag 29 mei 2014 20:37

Acties:

0 Henk 'm!

Qunix

Heeft iemand de documentatie toevallig opgeslagen?

http://www.truecrypt.org/docs/

[ Voor 25% gewijzigd door Qunix op 29-05-2014 20:38 ]

donderdag 29 mei 2014 20:44

Acties:

0 Henk 'm!

Dreeke fixed

Qunix schreef op donderdag 29 mei 2014 @ 20:37:
Heeft iemand de documentatie toevallig opgeslagen?

http://www.truecrypt.org/docs/

Ze kunnen echt internet niet schoonvegen met alle tutorials:
https://help.ubuntu.com/community/TrueCrypt
YouTube: How to encrypt a USB drive using truecrypt

donderdag 29 mei 2014 21:48

Acties:

0 Henk 'm!

w0w

Voor mensen die denken dat een programma veilig kan zijn ondanks dat de NSA een backdoor heeft laten implementeren maar alsnog denken niks te vrezen te hebben omdat het de NSA maar is:

Er zijn in dit geval meerdere MS medewerkers en NSA medewerkers die er vanaf weten. Er hoeft er maar eentje uit de school te klappen en de backdoor ligt op straat. Er zijn meerdere voorbeelden van werknemers die uit onvrede (te laag salaris, te lage beoordeling, geen verlenging) dit soort dingen kenbaar maken. Als er inderdaad een bankdoor inzit is het wat mij betreft vooral de vraag hoelang je data veilig is en dat is wat mij betreft geen prettige gedachte.

Maargoed ik kan me ook voorstellen dat veel mensen het meer voor de leuk willen hebben en er andere dingen mee encrypten dan mensen voor wie het extreem belangrijk is dat de data echt veilig is. Deze mensen stellen natuurlijk andere eisen aan bitlocker en vinden een backdoor misschien wel acceptabel.

donderdag 29 mei 2014 21:53

Acties:

0 Henk 'm!

Anoniem: 514006

Sorry hoor, maar ik geloof eerlijk gezegd geen flikker van dit nieuws. Dat de EOL is aangebroken zal wel, maar ik weet zeker dat het de Amerikaanse regering is (en wellicht andere regeringen) die in de nek van de developers zit te hijgen.

Net even TrueCrypt 7.1 binnengehaald en veiliggesteld. Vergeet met de kwantum-technologie in het vooruitzicht dat alle huidige encryptie algoritmes over 10 jaar compleet waardeloos zijn.

[ Voor 5% gewijzigd door Anoniem: 514006 op 29-05-2014 21:54 ]

donderdag 29 mei 2014 22:09

Acties:

0 Henk 'm!

i-chat

persoonlijk vraag ik me maar een ding af, met hoeveel copyright schendingen zou je weg kunnen komen
ergo is het mogelijk truecripts oudere versies te forken en te fixen om er weer leven in te brengen, het lijkt me toch dat het nuttig kan zijn ... ik ben echt benieuwd of er wegen omheen zijn, het was een te nuttig programma om van de aardbodem te laten verdwijnen...

als dit door de vs overheid komt dan wordt het wat mij betreft eens tijd dat er een opstand komt die meer doet da een paar tentjes opzetten.

donderdag 29 mei 2014 22:17

Acties:

0 Henk 'm!

Jester-NL

... pakt een botte bijl

w0w schreef op donderdag 29 mei 2014 @ 21:48:
Voor mensen die denken dat een programma veilig kan zijn ondanks dat de NSA een backdoor heeft laten implementeren maar alsnog denken niks te vrezen te hebben omdat het de NSA maar is:

Er zijn in dit geval meerdere MS medewerkers en NSA medewerkers die er vanaf weten. Er hoeft er maar eentje uit de school te klappen en de backdoor ligt op straat. Er zijn meerdere voorbeelden van werknemers die uit onvrede (te laag salaris, te lage beoordeling, geen verlenging) dit soort dingen kenbaar maken. Als er inderdaad een bankdoor inzit is het wat mij betreft vooral de vraag hoelang je data veilig is en dat is wat mij betreft geen prettige gedachte.

Maargoed ik kan me ook voorstellen dat veel mensen het meer voor de leuk willen hebben en er andere dingen mee encrypten dan mensen voor wie het extreem belangrijk is dat de data echt veilig is. Deze mensen stellen natuurlijk andere eisen aan bitlocker en vinden een backdoor misschien wel acceptabel.

Behalve dan dat bronnen wel handig zijn, het volgende...
Waarom denk je nu precies dat het overgrote deel van de wereld dit soort software voor gebruikt?

Ik heb voor wat clubs gewerkt die Safeboot, Truecrypt of Bitlocker gebruikten om een (simpele) reden: bij verlied of diefstal kan de (on) eerlijke vinder niet bij de data. En is er dus veel minder kans dat geclassificeerde, geheime of bedrijskritische informatie op straat komt.
Ik ken TC niet, maar noch Bitkeeper noch Safeboot beschermen je data tegen gaten in je OS, of ingelogd knullig internet gebruik.

Leg me nu even uit HOE iemand (NSA of anders) iets aan gaten of backdoors heeft zonder fysieke toegang tot mijn PC.
Idem voor USB-sticks of encrpted containers...

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

donderdag 29 mei 2014 22:18

Acties:

0 Henk 'm!

Gerco

Professional Newbie

i-chat schreef op donderdag 29 mei 2014 @ 22:09:
persoonlijk vraag ik me maar een ding af, met hoeveel copyright schendingen zou je weg kunnen komen
ergo is het mogelijk truecripts oudere versies te forken en te fixen om er weer leven in te brengen, het lijkt me toch dat het nuttig kan zijn ... ik ben echt benieuwd of er wegen omheen zijn, het was een te nuttig programma om van de aardbodem te laten verdwijnen...

Om een copyrightschending aan te vechten zal de auteur zich toch eerst bekend moeten maken en daar lijkt deze een probleem mee te hebben. Het lijkt me prima te doen om een fork te gaan releasen, het lijkt me sterk dat iemand moeilijk gaat doen.

Het blijft natuurlijk wel een probleem dat je technisch gezien de licentie mogelijk aan het schenden bent en dat zal nog steeds opname in FOSS distros blijven bemoeilijken. Ook commercieel krijg je problemen omdat niemand het risico wil lopen dat de eigenaar plots opduikt en een paar aanklachten indient.

Het had netter geweest als de source in het public domain gereleased was, maar zoals het nu is zie ik weinig toekomst voor de TrueCrypt sourcecode.

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

donderdag 29 mei 2014 22:33

Acties:

0 Henk 'm!

Basje

Toevallig had ik mijn vrije Hemelvaartsdag ingepland voor een hobbyproject, namelijk het inrichten van een offsite backupserver voor mijn essentiële gegevens. Het plan was een VPS met veel hardeschijfruimte in Nederland, van een Amerikaans bedrijf, met daarop Debian Wheezy x64 en een sync-server: Bittorrrent Sync danwel SyncThing. Om de gegevens te beveiligen was het plan om een TrueCrypt-container te maken met een private key die uiteraard niet naar de server wordt gestuurd. Beide sync-programma's hebben apps voor Android, en het is in principe mogelijk om een TrueCrypt-bestand te mounten op Android. Met het nieuws over TrueCrypt ligt het plan stil en ben ik op zoek naar een alternatief. Mijn hoop is dat jullie iets kunnen suggereren.

De eisen aan het alternatief zijn als volgt:

Open source
Clients voor het mounten in in ieder geval Windows 7+ x64, maar Linux en Adroid zijn een plus
Het creëren van een container, dus geen hd-encryptie
Real-time encryptie

Wat is in deze use case een bruikbaar alternatief? Of raden jullie wellicht aan om gewoon TrueCrypt te gaan gebruiken totdat er een alternatief is?

Gezien de titel van dit topic leek me dit de juiste plek om deze vraag te stellen.

donderdag 29 mei 2014 22:51

Acties:

0 Henk 'm!

170074

Bitlocker (of het Linux full disk encryptie equivalent) voldoet prima wanneer je de gemiddelde dief bij je data wil weghouden.

Of het tegen NSA e.d. beschermd, ik denk het niet. Op dit moment heb ik onvoldoende zin om te onderzoeken of dit zo is.. en wat het alternatief zou kunnen zijn. Daarnaast is het probleem is groter dan slechts lokaal je data afschermen. Communicatie afluisteren, big data misbruik en hacks en exploits door de NSA zijn ook nog steeds orde van de dag. Ik ga er wel vanuit dat dankzij Snowden mensen in het algemeen skeptischer en kritischer zijn geworden. Hopelijk kan het tij nog gekeerd worden.

donderdag 29 mei 2014 23:00

Acties:

0 Henk 'm!

Zanbee

Volgens mij mag je op basis van de 3.0 license wel een ander programma uitbrengen gebaseerd op de TC code. Er zijn wel een aantal eisen gesteld waaronder een andere naam wat geen TrueCrypt bevat of er op lijkt. Het moet duidelijk zijn dat TrueCrypt.org en de Foundation niets met het nieuwe programma te maken hebben. En de license mag niet aangepast worden.

Alleen lijkt mij de grootste uitdaging om het vertrouwen te winnen en ik denk dat het doorzetten van de audit daar wel een belangrijke rol in kan spelen. Immers als de eerste versie van de clone alleen een naamswijziging is en een diff check wijst dat uit is het net zo betrouwbaar als TC zelf naar mijn mening.

Failure is not an option -- it comes bundled with Windows.

donderdag 29 mei 2014 23:32

Acties:

0 Henk 'm!

Anoniem: 468870

Ik vind het hele bericht van TC juist een reden om het absoluut wel te gebruiken...voor de zekerheid nog even extra de versie 7.1a voor alle platformen binnengehaald.

Bitlocker was toch pas echt veilig icm een TPM? Laat die laatste juist expliciet ge-backdoord zijn door de NSA...

Wij van WC-eend raden aan WC-eend.

Gelukkig is er leven na TC, maar het is imo een superfijn, eenvoudig, cross-platform bruikbare totaal-oplossing. Over de reden van het verdwijnen kunnen we gissen, maar ik zeg: NSA.

vrijdag 30 mei 2014 00:21

Acties:

0 Henk 'm!

Anoniem: 112755

WIl je nog zekerder zijn dan gebruikt je beiden gecombineerd (Bitlocker + Truecrypt).
Dit vormde op mijn SSD geen problemen en performance issues.

vrijdag 30 mei 2014 00:33

Acties:

0 Henk 'm!

Anoniem: 112755

Het lijkt mij in ieder geval veiliger. Bitlocker kan pas wat als je eerst het wachtwoord van Truecrypt bootloader ingevoerd hebt.
Kijk voor OS-backdoors kun je je op windows natuurlijk moeilijk veilig stellen.

Ok ik zou BitLocker wel in ruil voor goud gaan gebruiken, maar nooit never voor persoonlijke diebrare data.

$_/-\o_$

[ Voor 24% gewijzigd door Anoniem: 112755 op 30-05-2014 00:35 ]