29 replies to this topic

[confick.ini]

Bislang keine Hintertüren gefunden

Eine Untersuchung des Bootloaders und des Windows-Kernel-Treibers von Truecrypt hat keine Auffälligkeiten ergeben. Die Überprüfung war von Sicherheitsforschern angeregt worden, die Zweifel an der Verschlüsselungssoftware hatten.

Please Login HERE or Register HERE to see this link!

findet keine nennenswerten Auffälligkeiten in dem Bootloader und dem Windows-Kernel-Treiber der Verschlüsselungssoftware Truecrypt. Die Überprüfung war unter anderem von Matthew Green initiiert worden. Green ist Kryptographieprofessor an der Johns Hopkins University.

Zwar ist Truecrypt Open Source und der Quellcode verfügbar, die Entwickler, die auch Binärdateien erstellen, sind aber anonym. Deshalb sorgte sich Green um die Vertraulichkeit der Verschlüsselungssoftware und sammelte zusammen mit dem Sicherheitsforscher Kenn White Spenden, um die Software zu überprüfen.

Die dafür gegründete gemeinnützige Organisation

Please Login HERE or Register HERE to see this link!

nutzte die Spendengelder von insgesamt 80.000 US-Dollar und beauftragte die Sicherheitsfirma iSEC mit der Überprüfung des Quellcodes. Zunächst untersuchte iSEC den Bootloader und den Windows-Kernel-Treiber auf mögliche Hintertüren.

Keine Hintertüren, aber kein guter Code

Backdoors wurden laut Bericht nicht gefunden. Es gebe nur einige wenige Fehler, die aber nicht gravierend seien, heißt es in dem PDF-Dokument. Eine potenzielle Schwachstelle fand iSEC in den Sicherheitschecks der Volume Headers. Außerdem stellten sie die Frage, warum Truecrypt XTS2 statt Hashes oder HMAC verwende.

Allerdings entspreche der gesamte Code nicht den Qualitätsnormen für Sicherheitssoftware. Es fehlten beispielsweise Kommentare, und der Code enthalte teils unsichere Funktionen oder inkonsistente Variablen-Typen. Die Dokumentation sei hingegen vorbildlich.

Noch ist die Überprüfung nicht abgeschlossen. In einem nächsten Test sollen die Verschlüsselungsmechanismen von Truecrypt überprüft werden.

Quelle:

Please Login HERE or Register HERE to see this link!

[juPP]

Quelle?

[Framerater]

Ist echt, hab ich gestern Abend auch irgendwo gelesen

[confick.ini]

Quelle?

Hinzugefügt

Gruß
Chucki

[buffer-overflow]

Hinzugefügt

Gruß
Chucki

Please Login HERE or Register HERE to see this link!

aber ich würde mich nicht ganz so darauf verlassen.snowden sagte das truecrypt für kleine kinder ist, und die metoden von truecrypt sind schon bissl älter, und der code schlamping ist,und man probleme bekommt sich in die entwickler hineinzuversetzen.

[most_uniQue]

Die Einzigen Vulns, die es for TC gibt sind bis jetzt diese:
1. Weak Volume Header key derivation algorithm
2. Sensitive information might be paged out from kernel stacks
3. Multiple issues in the bootloader decompressor
4. Windows kernel driver uses memset() to clear sensitive data
5. TC_IOCTL_GET_SYSTEM_DRIVE_DUMP_CONFIG kernel pointer disclosure
6. IOCTL_DISK_VERIFY integer overflow
7. TC_IOCTL_OPEN_TEST multiple issues
8. MainThreadProc() integer overflow
9. MountVolume() device check bypass
10. GetWipePassCount() / WipeBuffer() can cause BSOD
11. EncryptDataUnits() lacks error handling

Ne schöne PDF dazu:

Please Login HERE or Register HERE to see this link!

[Chronos]

• Ist truecrypt nun sicher oder nicht was meint ihr?

Gibt es denn jetzt irgendwelche möglichkeiten die Platte zu entschlüsseln von seiten des BKA's aus wenn der pc ausgeschlatet ist?

[most_uniQue]

Ich würd sagen vielleicht geht es noch mit Bootkits aber anders kann ich es mit nicht vorstellen. Für die Ausführung der Bootkits muss der PC aber booten, wie der Name schon sagt.

Edited by most_uniQue, 16 April 2014 - 15:35 Uhr.

[EREB0S]

Die kommenden Wochen wird die Verschlüsselung unter die Lupe genommen, steht im Artikel.
Bin gespannt. Dannach haben wir endlich mal etwas gewissheit und können ruhiger schlafen.

[Schakal]

und können ruhiger schlafen.

Oder auch nicht^^

[CyberFlash]

Bisher traue ich Tc..

Was wäre eine alternative ..?
Mir is nix bekannt .png' class='bbc_emoticon' alt='xD' />

[Framerater]

@

Please Login HERE or Register HERE to see this link!

[CyberFlash]

@

Please Login HERE or Register HERE to see this link!

ne, so schwer is das nicht .png' class='bbc_emoticon' alt='^^' />
Aber so gesehen kann man sich echt fragen, wofür es ein Forum gibt, wen solche ****** immer mit GIDF kommen ..
Naja, für das nächste ma, use doch noch den google Url shortner, sieht besser aus

Edit :

@ Framerater

Mach dir deine eigene Signatur und klau nicht die von anderen
Warst wohl via google auf deine jetzige gekommen wa

Downloading 'internet.tar.gz' from 'world-wide-web'... (76.4%)
?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€?–€
Downloading 128 YB with 235.6 KB/s (6y remaining)

Edited by CyberFlash, 17 April 2014 - 15:53 Uhr.

[noxx]

Danke @ cyberflash
Fragen wie "kennt ihr alternativen" basieren meist nicht immer auf die möglichkeiten eines ausweichsprogramms sonder fragt eher nach erfahrungen und Meinungen.

[xxas]

Das habe ich auch schon gelesen, ich bin ebenfalls gespannt. Mal sehen was die Macher da hingebaut haben, und ob es alles gut aufgebaut ist.

Liebe Grüße,
xxas

[Ph@ntom]

Da bin ich aber echt gespannt was dabei rauskommt. Hoffe auf was eindeutiges...

Edited by Ph@ntom, 19 April 2014 - 02:55 Uhr.

[Shopping Queen]

Das benutzen sogar große Firmen! Es muss sicher sein.

[Osed28]

nur weil es große firmen nutzen heißt es nicht das es sicher ist.. aber mir ist auch nichts bekannt das man Truecrypt passwörter Bruten konnte.. es gab doch mal ein vorfall wo von einem typen der pc beschlagnahmt worden ist und er sich mit Trucrypt verschlüsselt hatte.. er bekam seine sachen 3 Jahre später zurück .png' class='bbc_emoticon' alt='xD' /> weil die es nicht schafften

[Julez]

Ich nutze TrueCrypt auch seit einer gewissen Zeit, zwar lediglich für Datei Verschlüsselungen auf meinem Computer, aber ich bin gespannt auf das Ergebnis!

[Dr. p0rk]

Also an meine Daten ist das BKA nicht gekommen. Da hat TC gute Arbeit geleistet^^... Ich denke es kommt auch drauf an ob sich der Aufwand für die Polizisten wirklich lohnt, alle Register zu ziehen um TC zu knacken^^.