Rückblick des tages

Könnt ihr euch noch erinnern, wie heise damals monatelang und jenseits jeder tagesaktuellen entwicklung den FUD mitaufgerichtet hat, dass truecrypt unsicher sei?

Nun, inzwischen ist truecrypt zwei mal überprüft worden, und bei der überprüfung durch fraunhofer kann heise nur vermelden, dass es alles in allem sicher ist, wenn man sich nicht gerade schadsoftware auf den rechner geholt hat und ein sicheres passwort gewählt hat. (Wer sich nicht mehr daran erinnert: so sah das ergebis der ersten überprüfung aus.)

Angesichts dieses rückblickes erinnere ich gern noch einmal an meine damalige einschätzung. Was ihr von auffällig monatelang platzierten sicherheitswarnungen auf der webseit von heise onlein zu halten habt, ist damit hoffentlich klar: das sind empfehlungen… und zwar vor allem dann, wenn als alternative irgendwelche softwäjhr aus dem NSA-staat USA angepriesen wird. :mrgreen:

Truecrypt war die ganze zeit einfach nur besser, als die NSA erlauben wollte.

Truecrypt: ein kleiner rückblick

Könnt ihr euch noch an „truecrypt“ und die sehr seltsame einstellung des projektes, die von allerlei FUD-propaganda auf allen kanälen (einschließlich einer monatelang prominent dargebotenen neuigkeit bei heise onlein) begleitet wurde, so dass ich nur zu dem schluss kommen konnte, dass truecrypt besser ist, als die NSA erlaubt?

Nun, hier ist, was bei einer untersuchung der kwelltexte bislang rauskam:

Basierend auf diesem Audit scheint es, als sei Truecrypt ein relativ gut designtes Stück Kryptographie-Software […] Der NCC-Audit fand keine Hinweise auf absichtliche Hintertüren oder schwerwiegende Designfehler, die die Software in üblichen Szenarien unsicher machen

Also nicht verunsichern lassen! Die verbrecherische faschistische US-staatsorganisazjon NSA wusste schon, warum sie „truecrypt“ aus der welt haben wollte. Und dank irgendwelcher drexjornalisten, die den FUD (mutmaßlich für eine handvoll euro) verbreitet haben, ist die scheiß-NSA damit auch erstaunlich weit gekommen.

Könnt ihr euch noch erinnern…

Könnt ihr euch noch erinnern, dass „TrueCrypt“ nach meinung der gesamten scheißpresse (einschließlich heise) jetzt so total unsicher geworden ist? Trotz steganografischer ansage der entwickler in ihrer erklärung? Da wurde ja auch viel für getan, dass man sich daran erinnert, der FUD triefte aus allen kanälen.

Nun, in wirklichkeit war „truecrypt“ wohl sicherer, als die NSA erlaubt:

Auch die Krypto-Software Truecrypt sei als schier unüberwindbar eingestuft worden, bevor das Entwicklerteam die Arbeit daran überraschend aufgegeben habe

Habe ich mir doch gleich gedacht, dass „nur“ von USA versucht wurde, die entwickler zum einbau eines hintertürchens zu zwingen und dass diese dann einfach aufgegeben haben.

Manchmal frage ich mich ja…

Manchmal frage ich mich ja, ob die leute da hinten in der karl-wiechert-allee eigentlich dafür bezahlt werden, dass sie seit vielen vielen monaten immer wieder diesen link mit dieser zusammenfassung am rand ihrer startseite einblenden:

heise Security: Truecrypt ist unsicher - und jetzt? Sollten wir jetzt wirklich alle auf Bitlocker umsteigen? Einen echten Nachfolger wird es jedenfalls so bald nicht geben. Daran sind nicht zuletzt die Truecrypt-Entwickler schuld.

Und wenn ich dann ein bisschen weiterdenke und mich frage, wer dem heise-verlag für diesen monatealten FUD geld geben könnte, dann wird mir ganz leer, wenn ich mir vorstelle, dass heise dieses geld annimmt.

Aber hej, ich höre ja auch nur das gras waxen, damals wie heute…

Eine kurze ansage der truecrypt-entwickler…

Achtung! Verschwörungsteorie!

Truecrypt ist so sicher, dass wir einen brief bekommen haben, über den wir nicht reden oder schreiben dürfen. Damit ihr bemerkt, warum wir unser kwelloffenes (aber leider nicht freies) projekt einstellen, empfehlen wir euch ein produkt von scheiß-NSA-meikrosoft mit geheimgehaltenen kwelltexten und schreiben mit roter webtinte folgenden, etwas steganografischen hinweis auf unsere webseit (hervorhebung von mir):

Using TrueCrypt is Not Secure As it may contain unfixed security issues

Auf eine beschreibung des „gefundenen schwerwiegenden fehlers“ wird hingegen vollständig verzichtet, damit das gemeinte auch wirklich klar ist: Die NSA wollte hintertüren in truecrypt reingemacht bekommen.

Wie man filesharing macht, wisst ihr hoffentlich alle! Und ansonsten haben die softwäjhr-archive noch die alte versjon. Diese versjon scheint so gut zu sein, dass die NSA sie aus der welt haben will. Das nenne ich einen kwalitätsstempel. Möge dieses truecrypt niemals mehr aus dem internetz verschwinden!

Fefe glaubt auch nicht, dass truecrypt unsicher ist.

Mein dank geht an den oder die anonymen truecrypt-entwickler für sein oder ihr werk und für diese recht große deutlichkeit beim ausstieg.

Nachtrag, 30. Mai, 13:10 Uhr

[…] ein TrueCrypt […], bei dem ich davon ausgehe, dass mit Versionen bis 7.1a erstellte Container bald in jedem Forensik-Toolkit mit ein wenig Brute-Force binnen Tagen geknackt sind.

Übrigens: Ich habe einen ganz konkreten Verdacht und ich vermute, dass nur mit TrueCrypt unter Windows erstellte Container betroffen sind. Ich wage zu behaupten: Die Uhr läuft, in einer Woche werden alle Details offen liegen.

Nun, da bin ich gespannt.

Prof. dr. Offensichtlich untersucht TrueCrypt

Prof. dr. Offensichtlich hat rausgekriegt, dass das kompilieren einer softwäjhr ein strikt deterministischer vorgang ist, der mit gleichen kompeilern aus gleichen kwelltexten gleiche binärdateien erzeugt. Natürlich kam dabei auch heraus, dass im beliebten „TrueCrypt“ keine zusätzlichen hintertüren verbaut wurden. Windohs-anwender können sich nun also weiterhin in gefühlter sicherheit wiegen, wenn sie stark verschlüsselte dateisystem-kontäjner zusammen mit einem betrübssystem verwenden, dass seit über einem jahrzehnt NSA-hintertüren enthält…