TrueCrypt EOL, wat nu?

w0w schreef op donderdag 29 mei 2014 @ 21:48:
Voor mensen die denken dat een programma veilig kan zijn ondanks dat de NSA een backdoor heeft laten implementeren maar alsnog denken niks te vrezen te hebben omdat het de NSA maar is:

Er zijn in dit geval meerdere MS medewerkers en NSA medewerkers die er vanaf weten. Er hoeft er maar eentje uit de school te klappen en de backdoor ligt op straat. Er zijn meerdere voorbeelden van werknemers die uit onvrede (te laag salaris, te lage beoordeling, geen verlenging) dit soort dingen kenbaar maken. Als er inderdaad een bankdoor inzit is het wat mij betreft vooral de vraag hoelang je data veilig is en dat is wat mij betreft geen prettige gedachte.

Maargoed ik kan me ook voorstellen dat veel mensen het meer voor de leuk willen hebben en er andere dingen mee encrypten dan mensen voor wie het extreem belangrijk is dat de data echt veilig is. Deze mensen stellen natuurlijk andere eisen aan bitlocker en vinden een backdoor misschien wel acceptabel.

[ Voor 9% gewijzigd door Anoniem: 502340 op 30-05-2014 00:58 ]

W3ird_N3rd schreef op donderdag 29 mei 2014 @ 05:38:
nieuws: TrueCrypt-website adviseert gebruikers software niet langer te gebruiken

Met uitermate vreemde berichten is er een einde aan TrueCrypt gekomen. Het advies om dan maar BitLocker te gebruiken is dermate absurd dat het haast niet anders kan dan dat een overheidsinstantie druk heeft gezet op de makers om te stoppen.

Het gerucht gaat dat de licentie van de laatste decrypt-only versie, 7.2, ofwel TrueCrypt License Version 3.1 meer open zou zijn dan voorgaande versies.

Ik wou even een en ander vergelijken met hoe zaken eerder waren, maar kreeg tot mijn verbazing deze melding van de wayback machine:

[...]

Hetzelfde voor http://truecrypt.sourceforge.net/.

Wat interessant zou zijn voor dit topic:
• Meer informatie over de verschillen in licentie, is het mogelijk dat er nu een fork komt met een echt open licentie?
• Betrouwbare links naar oude versies inclusief signatures en checksums.

[edit]
Na wat lezen liep ik tegen https://github.com/DrWhax/truecrypt-archive aan.

Hierin zit ook het bestand "TrueCrypt_Foundation_PGP_public_key.asc". Nu zie ik iets wat ik volgens mij nooit eerder heb gezien met een PGP pubkey..

Tot IEZvdW5kYXRpb24gPG (doe even ctrl+f) is de key identiek aan die je nu op http://sourceforge.net/pr...rueCrypt-key.asc/download kan vinden. Maar daarna zijn ze compleet anders. Iemand die daar een zinnige verklaring voor heeft?
Is niks waarschijnlijk, zie onderaan https://github.com/DrWhax/truecrypt-archive.

[edit2]
Zou mooi zijn als iemand die deze bestanden eerder heeft gedownload van de originele bron (ik heb ze van het DrWhax archief) kan bevestigen dat deze bestanden ook legit zijn:

$ sha1sum TrueCrypt\ 7.1a\ Source*
d43e0dbe05c04e316447d87413c4f74c68f5de24  TrueCrypt 7.1a Source.tar.gz
caeb2bb1d5605d1fc960e936a06e52611033788c  TrueCrypt 7.1a Source.tar.gz.sig
4baa4660bf9369d6eeaeb63426768b74f77afdf2  TrueCrypt 7.1a Source.zip
952cc187988b4044ca8e249796ba65cc65e235f6  TrueCrypt 7.1a Source.zip.sig

De signatures heb ik natuurlijk al gecheckt, maar in het scenario dat de PGP-key compromised zou zijn is het alsnog verstandig om checksums te controleren tegen bestanden die eerder zijn gedownload.

[edit3]
DrWhax archief lijkt inderdaad betrouwbaar te zijn. Hier een sha1sum ervan:

$ sha1sum master.zip 
2a42161f2a3f4f366f36912c5b08dc648c141d4e  master.zip

[ Voor 5% gewijzigd door Frozen op 30-05-2014 01:00 ]

And then the TrueCrypt developers were heard from!
Steven Barnhart (@stevebarnhart) wrote to an eMail address he had used before and received several replies from “David.” The following snippets were taken from a twitter conversation which then took place between Steven Barnhart (@stevebarnhart) and Matthew Green (@matthew_d_green):

TrueCrypt Developer “David”: “We were happy with the audit, it didn't spark anything. We worked hard on this for 10 years, nothing lasts forever.”
Steven Barnhart: (Paraphrasing) Developer “personally” feels that fork is harmful: “The source is still available as a reference though.”
Steven Barnhart: “I asked and it was clear from the reply that "he" believes forking's harmful because only they are really familiar w/code.”
Steven Barnhart: “Also said no government contact except one time inquiring about a ‘support contract.’ ”
TrueCrypt Developer “David”: Said “Bitlocker is ‘good enough’ and Windows was original ‘goal of the project.’ ”
Quoting TrueCrypt Developer David: “There is no longer interest.”

Anoniem: 502340 schreef op vrijdag 30 mei 2014 @ 00:46:
[...]

Ik ken genoeg braindead IT-ers die argeloos en onsympathiek zijn tegenover schandalen en het leven an sich. Als zij maar elke dag na thuiskomst WoW kunnen spelen met hun dure videokaart en 24" DELL ultrasharp 45" NEC van 4000 euro en waterkoelingsysteem. Er zijn zat mensen die het werkelijk geen ene moer kunnen schelen wat de bewaking van recht op privacy betekent.

Voor zover ik weet hoeft de NSA TrueCrypt helemaal niet te kraken, want het is de user die het password intypt bij boottime

Cyphax schreef op vrijdag 30 mei 2014 @ 12:41:
[...]

Als je partitie versleuteld wel, maar ik gebruik losse containers die ik "handmatig" mount (waarbij handmatig betekent: als ik de betreffende usb-stick in m'n laptop steek reageert TC daarop door te vragen om het wachtwoord). Wat moet de NSA daartegen doen dan?

Cyphax schreef op vrijdag 30 mei 2014 @ 12:41:
[...]

Als je partitie versleuteld wel, maar ik gebruik losse containers die ik "handmatig" mount (waarbij handmatig betekent: als ik de betreffende usb-stick in m'n laptop steek reageert TC daarop door te vragen om het wachtwoord). Wat moet de NSA daartegen doen dan?

skinlee78 schreef op vrijdag 30 mei 2014 @ 12:44:
[...]


Ik denk dat Trommelrem bedoelt dat TC zo veilig is als het besturingssysteem wat je draait. Als je bijv Windows XP gebruikt om jou losse containers te mounten, is dat net zo onveilig als je full disk encryptie gebruikt om dan Windows XP op te starten.

downtime schreef op vrijdag 30 mei 2014 @ 12:49:
[...]

Zodra die encrypted container is gemount is ie even toegankelijk voor eventuele malware op je PC als elke unencrypted disk.

Jester-NL schreef op donderdag 29 mei 2014 @ 22:17:
[...]

Behalve dan dat bronnen wel handig zijn, het volgende...

Leg me nu even uit HOE iemand (NSA of anders) iets aan gaten of backdoors heeft zonder fysieke toegang tot mijn PC.
Idem voor USB-sticks of encrpted containers...

Anoniem: 502340 schreef op vrijdag 30 mei 2014 @ 00:46:
[...]


Dat is een vreselijk argument om te voeren.

Persoonlijk heb ik meedrere situaties meegemaakt waarin ik, als werknemer, deel van een 'conspiracy' was samen met collegas om derden te benadelen, hoe klein of groot ook. Ik weet hoe het is om psycholgisch er absoluut geen problemen meetehebben wat een beheerder of chef wil. En wat we dan samen hebben afgesproken om X of Y te zullen doen. Je gaat er gewoon in mee. En ik heb ook gezien dat in verschillende situatites alle collegas welwillend instemmen. Het is pas jaren achteraf dat ik dacht goh gaat dit eigenljik zo makkelijk?

Het kan zo iets onschuldigs zijn als Marsrepen verkopen die overtijd zijn. Omdat je ervanaf wilt verlaag je de prijs en maak je geen verlies op de inkoop. is dit zo gek. Zou je hierom al uit de school klappen?

Als veiligheidsbambte zou ik wellicht argeloos meegaan met de "er bestaan terroristen die moeten worden opgepakt dus dit is een klein offer voor het grotere goed". Plus een dik salaris uiteraard.

Ik ken genoeg braindead IT-ers die argeloos en onsympathiek zijn tegenover schandalen en het leven an sich. Als zij maar elke dag na thuiskomst WoW kunnen spelen met hun dure videokaart en 24" DELL ultrasharp 45" NEC van 4000 euro en waterkoelingsysteem. Er zijn zat mensen die het werkelijk geen ene moer kunnen schelen wat de bewaking van recht op privacy betekent.

[ Voor 37% gewijzigd door w0w op 30-05-2014 13:37 ]

Trommelrem schreef op vrijdag 30 mei 2014 @ 12:31:
Na het volgen van dit topic begrijp ik één ding niet:

Wat is de connectie tussen TrueCrypt en de NSA?

Voor zover ik weet hoeft de NSA TrueCrypt helemaal niet te kraken, want het is de user die het password intypt bij boottime. Dat is ook de reden dat EFS in sommige gevallen beter is dan Bitlocker/TrueCrypt: Bitlocker geeft alles vrij zodra er wordt geboot, maar EFS is op een per-file basis. EFS is dus, hoe closed source ook, meteen al veiliger dan TrueCrypt tegen de NSA.

Als TrueCrypt nou een firewall was, dan was het anders, maar voor nu zie ik niet hoe TrueCrypt kan beschermen tegen de NSA. Als de NSA dit topic zou lezen, dan zouden ze hard lachen en erg blij zijn met TrueCrypt vanwege de schijnveiligheid die het biedt.

Anoniem: 502340 schreef op vrijdag 30 mei 2014 @ 13:57:
Ik ga dat EFS eens napluizen.

Gezien recent commentaar van de ontwikkelaars zelf word ik op het feit gedrukt dat Truecrypt altijd al voor het Windows-platform werd ontwikkeld. Niettemin ik altijd al wist dat Truecrypt al ernstige beveiligingslekken had net zoals bij alle encryptie software. Bijv dat de 'encryption key'? gewoon ontsleuteld in RAM zit en wordt weggescrheven naar een log bij een crash. Als truecrypt altijd al voor windows zou worden gemaakt hadden de ontwikkelaars hier toch op zn minst wat proberen tegen te doen.

PizzaMan79 schreef op vrijdag 30 mei 2014 @ 13:22:
http://truecrypt.ch

[ Voor 42% gewijzigd door Anoniem: 112755 op 30-05-2014 18:19 ]

Anoniem: 112755 schreef op vrijdag 30 mei 2014 @ 18:15:
(Rust hier nu nog copyright op?)

26779 schreef op zaterdag 31 mei 2014 @ 13:52:
Hier een blog van een (naar mijn mening) wat serieuzer te nemen beveiligingsexpert: https://www.grc.com/misc/truecrypt/truecrypt.htm
Lees ook de links die in de blogpost staan.

And then the TrueCrypt developers were heard from . . .
Steven Barnhart (@stevebarnhart) wrote to an eMail address he had used before and received several replies from “David.” The following snippets were taken from a twitter conversation which then took place between Steven Barnhart (@stevebarnhart) and Matthew Green (@matthew_d_green):

TrueCrypt Developer “David”: “We were happy with the audit, it didn't spark anything. We worked hard on this for 10 years, nothing lasts forever.”
Steven Barnhart (Paraphrasing): Developer “personally” feels that fork is harmful: “The source is still available as a reference though.”
Steven Barnhart: “I asked and it was clear from the reply that "he" believes forking's harmful because only they are really familiar w/code.”
Steven Barnhart: “Also said no government contact except one time inquiring about a ‘support contract.’ ”
TrueCrypt Developer “David” said: “Bitlocker is ‘good enough’ and Windows was original ‘goal of the project.’ ”
Quoting TrueCrypt Developer David: “There is no longer interest.”

CMD-Snake schreef op zaterdag 31 mei 2014 @ 15:53:
Even on topic. Ik heb zelf geen bewijs nog gezien dat Bitlocker onveilig zou zijn. Hoewel de code niet openbaar is vind ik persoonlijk dat het dan niet meteen als onveilig bestempeld hoeft te worden. MS deelt zijn code met beveiligingsbedrijven, grote bedrijven en diverse overheden met een geheimhoudingsverklaring.

durian schreef op zaterdag 31 mei 2014 @ 22:46:
Ja, maar dat is eigenlijk nep. We laten het aan anderen zien, maar die mogen er niks over zeggen... "trust us". Typische corporate zand-in-de-ogen-strooierij. Open, is open, en je wilt open als het om encryptie gaat. MS en BitLocker zijn niet open, alle mooi PR ten spijt,...

CMD-Snake schreef op zaterdag 31 mei 2014 @ 23:08:
[...]
Hoeveel open source programma's heb jij daadwerkelijk de code van doorgenomen? Nog specifieker, heb jij ook een keer de TrueCrypt code doorgenomen?

Dit is wederom onderbuikgevoel en complottheorieën. Ik wil eigenlijk links zien naar gerenommeerde beveiligingsbedrijven die zwart op wit aantonen dat Bitlocker eenvoudig te hacken/omzeilen is.

CMD-Snake schreef op zaterdag 31 mei 2014 @ 23:08:
[...]
Dit is wederom onderbuikgevoel en complottheorieën. Ik wil eigenlijk links zien naar gerenommeerde beveiligingsbedrijven die zwart op wit aantonen dat Bitlocker eenvoudig te hacken/omzeilen is.

CMD-Snake schreef op zondag 01 juni 2014 @ 00:21:
Dit klinkt eerder naar een drogredenering. Er moet wel een kwetsbaarheid zijn, echter die is geheim en kunnen we niet weten, maar daardoor weten we dat die er moet zijn.

Anoniem: 20531 schreef op zaterdag 31 mei 2014 @ 18:55:
Er is ondertussen een reactie van de "devs": https://www.grc.com/misc/truecrypt/truecrypt.htm


[...]

[ Voor 16% gewijzigd door Rupie op 04-06-2014 20:35 . Reden: Dat plaatje was nergens voor nodig ]

W3ird_N3rd schreef op zondag 01 juni 2014 @ 01:44:
Maar bij beveiliging kijk je daar net iets anders tegenaan. Stel ik heb mijn eigen encryptieprogramma geschreven, wn-crypt. De source geef ik niet vrij. De binaries trouwens ook niet voor het gemak. Ik beweer dat het veilig is. Jij kan niet aantonen dat het onveilig is.

Gomez12 schreef op zondag 01 juni 2014 @ 01:44:
Maar sowieso interesseert het mij niet zoveel of er een NSA-backdoor inzit (*1), ik maak me in 1e instantie zorgen om de lokale politie / brein / concurrenten / medewerkers. Zolang die het niet kunnen hacken vind ik het al mooi.

W3ird_N3rd schreef op donderdag 29 mei 2014 @ 19:48:
[...]

Nee.

Maar die DrWhax pagina durfde ik niet onmiddelijk te vertrouwen, die zal vrij populair zijn. Daarom juist was het goed om hier op een relatief onbeduidend forum te bevestigen dat de bestanden daarin dezelfde zijn die ooit op de TC-website stonden.

hendrikjan schreef op zondag 01 juni 2014 @ 14:32:
Maar wie zijn dat dan? Ik kan ook wel een tweetje de wereld in sturen, waarin ik e.e.a. bevestig..

W3ird_N3rd schreef op zondag 01 juni 2014 @ 13:48:
[...]

Dan zijn er nog twee dingetjes aan de hand. Ten eerste, hoe weet dat beveiligingsbedrijf dat de code waar ze naar kijken dezelfde code is die de compiler ingaat?

Ten tweede, duizenden ogen kunnen meer (of andere) dingen zien dan een paar. Ik geef onmiddelijk toe dat ook bij publieke broncode het wel eens een probleem is dat er niet genoeg mensen naar kijken. Maar er kan dan iig door iedereen naar gekeken worden, zowel door beveiligingsbedrijven, hobbyïsten, activisten, criminelen, hackers, het hele spectrum. En het is makkelijker controleerbaar of een binary inderdaad is gecompileerd aan de hand van de bekende broncode.

[...]

Dat denk je. In de realiteit maakt het geen moer uit. Ten eerste staat er bij een backdoor niet /* backdoor for NSA */ in de broncode. Men kan het dus gewoon op een ongelukkig lek gooien. Zie heartbleed, was dat een backdoor of gewoon een bug? Valt niet te zeggen.

Ten tweede, zelfs al zit er een backdoor in en kan er bewezen worden dat het een backdoor is, maakt geen moer uit. Mensen stoppen niet plotseling met het gebruik van Windows. Daar is de vendor-lockin voor.

En uiteindelijk komen mensen ook weer met het "ik heb niets te verbergen" argument en gaan door met de lekke software te gebruiken - gewoon omdat dat makkelijker is dan omschakelen.

[...]

Met behoorlijke regelmaat komen er ook lekken boven. Maar of dat dan een backdoor of een bug is valt normaliter niet te zeggen. Denk bijvoorbeeld aan een smerige bug als degene die Blaster exploiteeerde. Bug of backdoor? Zullen we nooit weten. Het enige verschil tussen een bug en een backdoor is dat de backdoor met opzet erin zit.

[ Voor 3% gewijzigd door Rutix op 01-06-2014 16:46 ]

W3ird_N3rd schreef op zondag 01 juni 2014 @ 13:48:
[...]
Dan zijn er nog twee dingetjes aan de hand. Ten eerste, hoe weet dat beveiligingsbedrijf dat de code waar ze naar kijken dezelfde code is die de compiler ingaat?
[...]

W3ird_N3rd schreef op zondag 01 juni 2014 @ 13:48:
[...]
Dan zijn er nog twee dingetjes aan de hand. Ten eerste, hoe weet dat beveiligingsbedrijf dat de code waar ze naar kijken dezelfde code is die de compiler ingaat?

mindcrash schreef op zondag 01 juni 2014 @ 14:24:
Warrant canary min of meer confirmed. Het lijkt er sterk op dat het een en ander niet vrijwillig is gegaan en ze zijn geNSLed
Bron

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

Puch-Maxi schreef op maandag 02 juni 2014 @ 01:36:
[...]

Zeer opmerkelijke woordkeuze als je het mij vraagt, het maakt het Warrant Canary verhaal aannemelijker.

Puch-Maxi schreef op maandag 02 juni 2014 @ 01:36:
Zeer opmerkelijke woordkeuze als je het mij vraagt, het maakt het Warrant Canary verhaal aannemelijker.

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

W3ird_N3rd schreef op zondag 01 juni 2014 @ 23:16:
[...]

En als de broncode gesloten was geweest had de bug er misschien nog wel langer ingezeten.

Dan reageer je misschien "nee, dan hadden de beveiligingsbedrijven hem opgespoord!". Dat weet je dus niet. Met regelmaat komen er lelijke bugs naar voren, zelfs nog in Windows XP. Blijkbaar allemaal over het hoofd gezien. Die methode is dus verre van perfect.

[...]

Open source is beter want het is controleerbaar. Als MS de broncode van BitLocker openbaar maakt dan maakt dat BitLocker op geen enkele manier slechter, maar het maakt het programma wel beter controleerbaar. Dùs het is beter.

26779 schreef op maandag 02 juni 2014 @ 21:28:
Ik denk dat de claim dat er mogelijk bugs in zitten en daarom TC niet meer te gebruiken de 'warrant canary' is. Als de community het project, onder een andere naam wegens de huidige licentie, overneemt zal TC alleen maar een nog beter product zijn. NSA eat that...

SalimRMAF schreef op dinsdag 03 juni 2014 @ 01:31:
Ik begrijp het 'warrant canary' verhaal niet helemaal.

Rutix schreef op maandag 02 juni 2014 @ 17:30:
[...]

Ik zeg ook niet dat het een perfecte methode is ik zeg dat het open source maken van de applicatie NIET per definitie betekent dat ze die bugs vinden.

[...]

Maar het kan simpel weg niet altijd voornamelijk omdat het bedrijf het of verkoopt, of patenten erin heeft zitten of licenties die niet met open source compatibel zijn.

Daarnaast is het misschien controleerbaar maar als het niet gebeurt wat heb je er dan aan?

Zoals ik al zei ik ben niet tegen open source en het is prima dat sommige bedrijven hun code open source maken maar open source kan ook een verkeerde werking hebben. Neem voorbeeld de volgende situaties:

1. Bedrijf heeft closed source producten en laat regelmatig security audits doen door verschillende externe partij-en. De code word dus regelmatig bekeken door specialisten.

2. Bedrijf maakt het open source maar doordat het open source is worden er geen betaalde security audits meer gedaan omdat "duizenden ogen" er toch naar kunnen kijken.

Stel nou dat er mensen geen blik op werpen. Dan is het wel controleerbaar maar het gebeurt niet en is de open source in slechtere staat dan in situatie 1.

Patriot schreef op dinsdag 03 juni 2014 @ 03:45:
Allemaal valide redenen voor bedrijven om al dan niet voor het ontwikkelen van open source software te kiezen, maar wat heeft de gebruiker daarmee te maken? Open source software is nog steeds betrouwbaarder (of beter gezegd, het hoeft minder betrouwbaar te zijn omdat het controleerbaar is).

[...]

Echter, de hoogst haalbare veiligheid is maar in 1 situatie te behalen, namelijk als een organisatie degelijke code laat schrijven, die regelmatig laat auditen en iedere willekeurige derde partij de kans geeft om die code en audits te verifiëren. Dat is een situatie die niet haalbaar is met closed source.

CMD-Snake schreef op dinsdag 03 juni 2014 @ 06:53:
[...]Bedrijven die closed source software maken zoals Microsoft laten die auditen en controleren op bugs etc. door gespecialiseerde partijen. Er valt zelfs te argumenteren dat dit beter is. Hoeveel open source software zit jij te controleren in de avonduurtjes? Ben je wel expert op het gebied van het vinden van bugs/exploits e.d.? Voor die derde partijen is het hun werk. Zij doen niets anders en is het geen avonduurtjes werk.

Eagle Creek schreef op zondag 01 juni 2014 @ 14:21:
GRC staat ook vrij hoog aangeschreven.

Blubber schreef op dinsdag 03 juni 2014 @ 10:50:
[...]


Ik ben het ermee eens dat closed en open source software aan dezelfde kwaliteitseisen zouden moeten voldoen, maar met de stelling dat open source ge-audit wordt door amateurs in de avond uurtjes is pertinent onwaar.

Er zijn genoeg grote projecten die door pros zijn/worden geaudit, bijvoorbeeld TrueCrypt (volgens mij is die audit nog onderweg.)

Rutix schreef op dinsdag 03 juni 2014 @ 14:32:
[...]

TrueCrypt word nu alleen geaudit gaan worden door snowden, onduidelijke licentie. In de praktijk is het echt niet zo dat professionals het gaan auditen als het open source is. Er moet vaak een reden zijn of toevallig moet er een professional zich vervelen en het uit zichzelf doen maar dat komt echt niet zoveel voor als men denkt.

Blubber schreef op dinsdag 03 juni 2014 @ 15:37:
[...]


Maar waar komt de aanname vandaan dat het uit verveling gedaan wordt? Er kan toch gewoon voor betalen?

Dat beeld dat open source software gemaakt wordt door amateurs in donkere kelders klopt voor geen meter, Er zijn legio bedrijven die deels of volledig zijn toegewijd aan het produceren en onderhouden van open source software, denk aan alle commerciele linux distros en bedrijven als Zarafa, JetBrains en Rackspace.

Rutix schreef op dinsdag 03 juni 2014 @ 16:09:
[...]

Het beeld dat op veel open source projects betaalde audits word gedaan klopt ook voor geen meter. Ik heb nooit gezegd dat open source door amateurs word gemaakt maar ik durf wel te zeggen dat betaalde audits niet heel vaak voor komt.

CMD-Snake schreef op dinsdag 03 juni 2014 @ 06:53:
[...]


Wederom, zoals ik al eerder schreef in een post. Ik zie nog steeds dezelfde drogredeneringen voorbij komen. Iets kan niet deugen omdat het closed source is.

En waarom moet open source aan een lagere standaard voldoen dan closed source? Puur omdat er een kans is dat iemand iets kan vinden omdat het open source is? Geeft mij weinig vertrouwen. Zowel closed als open source moeten gewoon aan dezelfde standaarden gehouden worden.

Bedrijven die closed source software maken zoals Microsoft laten die auditen en controleren op bugs etc. door gespecialiseerde partijen. Er valt zelfs te argumenteren dat dit beter is. Hoeveel open source software zit jij te controleren in de avonduurtjes? Ben je wel expert op het gebied van het vinden van bugs/exploits e.d.? Voor die derde partijen is het hun werk. Zij doen niets anders en is het geen avonduurtjes werk.

CMD-Snake schreef op dinsdag 03 juni 2014 @ 06:53:
[...]
Bedrijven die closed source software maken zoals Microsoft laten die auditen en controleren op bugs etc. door gespecialiseerde partijen.

[ Voor 3% gewijzigd door Cyphax op 04-06-2014 09:34 ]

Cyphax schreef op woensdag 04 juni 2014 @ 09:33:
[...]

En wat krijg je vervolgens aangeleverd? Niet de source. Men kan de source wel auditen en zeggen dat de code "veilig" is, maar wie zegt dat de binary die jij krijgt ook is gemaakt van de source die is beoordeeld en niet een branch waar een achterdeurtje in zit?
Als men de source wél biedt kan je die binaries zelf maken. Dan heb je wat meer kans op zekerheid zonder dat je de source zelf moet auditen.

downtime schreef op woensdag 04 juni 2014 @ 11:07:
[...]

Als de maker netjes documenteert met welke compiler en settings de code wordt gecompileerd dan kun je dat zelf doen en krijg je gewoon een executable die je kunt vergelijken met de gecompileerde versie die ze zelf uitleveren.

F_J_K schreef op woensdag 04 juni 2014 @ 11:19:
[...]

En sowieso komt er een maand na publicatie van de audit (die is gedaan obv zeg de versie van vorig jaar) weer een nieuwe versie uit zodat de achterdeur er ook dan kan zijn ingezet.

[...]

F_J_K schreef op woensdag 04 juni 2014 @ 11:19:
Samenvatting: er bestaat geen 100% gegarandeerd veilige software

[ Voor 3% gewijzigd door Cyphax op 04-06-2014 12:16 ]

A1AD schreef op dinsdag 30 december 2014 @ 08:42:
Veracrypt heeft de opmerkingen van de audit toch al (grotendeels?) geïmplementeerd.

[ Voor 57% gewijzigd door -DG- op 06-02-2016 21:19 ]

[ Voor 7% gewijzigd door 26779 op 06-02-2016 22:18 ]

26779 schreef op zaterdag 06 februari 2016 @ 22:17:
Wat wil je met Bitlocker bereiken? Als je er zeker van wilt zijn dat je data veilig is, dan zal je naar mijn mening naar iets anders moeten uitkijken dan bitlocker.
leesvoer:
https://theintercept.com/...icrosoft-disk-encryption/
https://news.ycombinator.com/item?id=7815317
https://www.reddit.com/r/...he_security_of_bitlocker/

en nog vele andere artikelen over bitlocker en backdoors....

-DG- schreef op zaterdag 06 februari 2016 @ 22:45:
[...]

Ik wil vooral voorkomen dat m'n data leesbaar is als m'n laptop of een harde schijf wordt gestolen. De NSA ben ik niet bang voor. Waarschijnlijk wordt het gewoon bitlocker.

[ Voor 15% gewijzigd door Trommelrem op 06-02-2016 22:48 ]

26779 schreef op zondag 07 februari 2016 @ 10:17:
Dat je na Snowden nog over alu-hoedjes spreekt vind ik op z'n zachtst gezegd opmerkelijk. Het is aangetoond dat er smerige spelletjes gespeeld worden door veiligheidsdiensten. En het is ook aangetoond dat veiligheidsdiensten ingezet worden voor commerciële voordelen.
Maar goed, ieder mag zijn eigen gevoel van veiligheid en privacy hebben.

-DG- schreef op zaterdag 06 februari 2016 @ 20:22:
of waar is een versie te downloaden die nog wel te vertrouwen is?

Technewbie schreef op woensdag 2 oktober 2024 @ 23:56:
Ik heb nog 1 kopie van truecrypt geinstalleerd op mijn PC. Eentje die ik vertrouw. Gedownliad van truecrypt.org toen het net uit was. Een usb met al mijn software is helaas weg. Dus ik zoek nu een betrouwbare installatie kopie van versie 1.7A

Technewbie schreef op woensdag 2 oktober 2024 @ 23:56:
Ik heb nog 1 kopie van truecrypt geinstalleerd op mijn PC. Eentje die ik vertrouw. Gedownliad van truecrypt.org toen het net uit was. Een usb met al mijn software is helaas weg. Dus ik zoek nu een betrouwbare installatie kopie van versie 1.7A

Technewbie schreef op woensdag 2 oktober 2024 @ 23:56:
Als ik een kopie installeer en ik vergelijk de hash van de .exe met de exe op mijn PC. En ze zijn hetzelfde. Kan ik er dan vanuitgaan dat ik een exacte kopie heb waarmee ik truecrypt ook op mijn PC heb geinstalleerd? Of kunnen er verschillen in drivers zijn of andere installatieverschillen?

jurroen schreef op vrijdag 4 oktober 2024 @ 07:37:
Idealiter kijk je niet alleen naar de hash maar is het ook ondertekend door de developer of diens bedrijft. Een GPG, Signify of SSH signature kunnen daar ook nog bij helpen.

F_J_K schreef op donderdag 29 mei 2014 @ 10:56:
[...]

Aanvulling: TrueCrypt Setup.exe staat 'gewoon' in \Program Files\Truecrypt

[ Voor 22% gewijzigd door Technewbie op 12-10-2024 20:00 ]