schade schon, aber ziemlich eindeutig: Zitat Fedora Wiki http://fedoraproject.org/wiki/ForbiddenItems#TrueCrypt
"The TrueCrypt software is under an extremely poor license, which is not only non-free, but actively dangerous to end users who agree to it, opening them to possible legal action even if they abide by all of the licensing terms. Fedora made extensive efforts to try to work with the TrueCrypt upstream to fix these mistakes in their license, but was unsuccessful."
Das ist entweder FUD oder obsolet. Denn die aktuelle Fassung der Lizenz hat IMO nur ein einziges Problem, sie ist unnötig und könnte durch die GPL ersetzt werden.
Von obgr_seneca am Di, 4. November 2008 um 11:49 #
Es ist kein FUD. Es ging soweit, dass erst vor ein paar Wochen eine Warnung von Fedora/Redhat an die anderen Distributoren raus ging, da es unklare Passi in der Lizenz gibt. Interessant zu lesen ist, was die Lizenz betrifft auch ein offener Brief von Adam Williamson (Mandriva): KLICK!
Am Schluss des Threads steht doch u.a.: "As an update, TrueCrypt is again communicating with us on this issue, so there is hope that the license can be fixed. As I am permitted, I will pass along any updates. I apologize in advance for the limited information." http://lists.freedesktop.org/archives/distributions/2008-October/000280.html So endgültig ist das, was in diesem Thread vor drei Wochen geschrieben wurde, also nicht.
Viel interressanter finde ich, dass kein Schwein die Personen hinter Truecrypt kennt und dazu noch, dass die Domain auf die Truecrypt Foundation (Herndon VA)registriert ist wo zufällig auch eins der CIA Headquarters liegt.
Truecrypt ist für mich jedenfalls absolut nicht vertrauenswürdig.
Auch wenn man den Quellcode in Händen hält ist es wohl schwierig herauszufinden ob man den Implementierungen der dort verwandten Algorithmen vertrauen kann, z.B schlechter Initialisierungsvektor etc., das können wenn dann nur absolute Kryptoexperten und wenn man dann wirklich eine schwache Implementierung finden würde, dann kann man es auch nicht nachweisen, dass sowas Absicht war.
Achja was mir dazu noch einfällt, es ist schon merkwürdig, dass hier eins der besten Verschlüsselungsprogramme schnell mal kurz aus dem Boden gestampft wurde und es alles kostenlos erhältlich ist, die Featureliste ist einfach schon zu gut, dass sie von Leuten kommt die niemand kennt.
So einen simplen Blick nach Wikipedia zu machen war wohl zu schwer oder?
Klickst du hier http://de.wikipedia.org/wiki/Truecrypt#Geschichte
"TrueCrypt basiert auf Encryption for the Masses (E4M), dessen Entwicklung im Jahr 2000 eingestellt worden war. Anfang 2004 wurde das Programm als TrueCrypt weiterentwickelt. Ein Nachteil dieser schrittweisen Entwicklung ist die nicht einheitliche Lizenz. Der Quellcode des Programms ist zwar offen, allerdings besitzen einzelne Programmteile unterschiedliche teilweise autorenspezifische Lizenzen, die dann in der TrueCrypt Collective License zusammengefasst werden. Damit ist es zum Beispiel nicht ohne weiteres möglich, eine Abspaltung unter einer üblichen freien Lizenz (wie der GPL) durchzuführen."
Wenn dus nicht glaubst, kannst es ja nachprüfen. Aber wenigstens gibt es hier eine Erklärung im Gegensatz zu dem FUD den du da verbreitest.
Das bestreitet auch niemand, aber OpenSource heißt nicht, dass ein Algorithmus frei von Fehlern ist etc. Siehe Debian Openssl Lücke, Problem mit Zufallszahlengenerator. In der Regel kennt man aber Leute, die hinter OSS Software stehen.
Desweiteren TrueCrypt Foundation ist angeblich eine Stiftung, zu dieser Stiftung gibts keine Infos, sie selbst bemerken auf ihrer Seite, dass man Spenden an sie nicht von der Steuer absetzen kann, was aber bei normalen Stiftungen in den USA geht, insgesamt stinkt Truecrypt.
Also so einen Schwachsinn hab ich ja schon lange nicht mehr gelesen - da die Quellen offen liegen, kannst Du ja bitte selber überprüfen, ob es vertrauenswürdig ist oder nicht. Du kannst Dir dann aus den Quellen Deine eigene Version kompilieren. Wenn Du nicht die Fachkompetenz mitbringst, das auch durchführen zu können, bist Du IMMER auf andere angewiesen, die dann vielleicht alle beim CIA arbeiten, weil es Dir "irgendwie so vorkommt"? Das ist echt der Nachteil am Internet - das jeder Geisteskrüppel seine unausgegorene Gehirnsuppe hier auskotzen kann - aber zum Glück diskreditieren sich die Urheber solcher unverifizierter Vermutungen nur selber als Homo Erectus - in der Hoffnung, dass die Intelligenten weiter denken und Einfluss nehmen auf die Äffchen.
Wenn das stimmen sollte, dass die Personen hinter Truecrypt niemand kennt (und damit meine ich auch niemand), dann sind Zweifel wohl mehr als berechtigt.
>>>da die Quellen offen liegen, kannst Du ja bitte selber überprüfen, ob es vertrauenswürdig ist oder nicht
Ja kannst du das oder sonst jemand hier:-)
Es gibt in der Welt evtl eine Handvoll Leute, die in der Lage wären, die Implementation auf Schwachstellen zu untersuchen, da du meine Argumentation dahingehend nicht verstehst, zeigst du mir, dass du keine Krypto Grundlagen hast und nicht mal ansatzweise eine Ausbildung wie die meine genossen hast.
Wenn du dir mal diverse Bruce Schneier Artikel durchgelesen hättest, dann wüsstest du wie oft es vorkommt, dass ein Algorithmus schawch implementiert wird. Selbst unterschiedliche CPU Architekturen können zu Schwachstellen führen. Anderes Beispiel, OpenSSL Lücke in Debian:
Die als CVE-2008-0166 verzeichnete Lücke betrifft nur Debian-Systeme ab der Version 0.9.8c-1 von OpenSSL, die im September 2006 zunächst im Unstable-Zweig und später in der Version 4.0 Einzug fand. Damals hatten die Entwickler einen Patch für den Zufallszahlengenerator aufgenommen, der in einem gewissen Maße vorhersagbare Werte liefert.
Langezeit gabs hier ne Lücke, die niemand gesehen hat, wegen einem simplen Problem mit dem Zufallszahlengenerator.
Wenn ich jetzt auf eine Software unbekannter Herkunft setze, habe ich nicht mal die geringste Garantie, dass hier jemand nach bestem Wissen und Gewissen gearbeitet hat und wieso hat die Debian Lücke solange keiner gefunden, wenn doch tausende wie du den Code lesen können. *LOL*
Wenn sich hier also Leute gezielt hinsetzen und nach einer schwachen nicht auszumachenden Lücke in einer Implementation suchen und die einbauen, fällt das wie im Debian Debakel Jahre lang nicht auf.
Jetzt kotzt ruhig weiter, lächerlich gemacht hast du dich ja schon einmal.
Cryptographie ist eine komplexe Angelegenheit, und für die breite Masse (zu der ich bei diesem Thema auch gehöre) eine Frage des vertrauens. Man muss sich darauf verlassen das die Personen die diese Software entwickelt und/oder getestet haben kompetent sind, und wirklich auch das Ziel haben eine solche Software sicher zu machen. Das geht nur wenn man weiss wer das getan hat, und dessen Background kennt.
Ich stimme euch zwar auch voll und ganz zu, jedoch gibt es da ein Problem: wie soll man denn bitte schön die Leute "kennen", die die Software entwickeln? Kennt ihr jeden Debianentwickler, geschweige denn die hochbezahlten, erfahrenen Programmierer die hinter RHEL stecken?
Und selbst wenn ihr jeden kennen würdet, von jedem wüsstet, dass er nie unmoralische Angebote der Regierung eingegangen ist - wer sagt, dass dem auch in der Zukunft so ist?
An dieser Stelle befindet sich eben eine "Sicherheitslücke" die wohl nicht so einfach wie irgendwelcher fehlerhafte Quellcode zu schließen ist... leider.
>>>Und selbst wenn ihr jeden kennen würdet, von jedem wüsstet, dass er nie unmoralische Angebote der Regierung eingegangen ist - wer sagt, dass dem auch in der Zukunft so ist?
Schon langsam denkt ihr mit, aber dann denk nochmal einen Schritt weiter. Der Unterschied ist z.B. an einer Cryptofunktion im Kernel , dass hier in der Regel nicht nur ein Bekannter dran ist, sondern mehrere Bekannte in verschiedenen Ländern, das erst erhöht die Sicherheit.
Um hier eine möglichst hohe Vertrauensstufe zu erreichen ist es nötig, dass kritische Systeme mit dem 4 od. mehr Augen Prinzip arbeiten und möglichst diese 4 Augen nicht nebeneinander sitzen:-)
Im Grunde geht es um ein relativ einfaches Vertrauensnetzwerk. Man vertraut ja nicht nur einer Person, sondern mehreren die davon zu tun haben, auch denen die es prüfen.
Aber der/die Hauptentwickler sind immer am wichtigsten. Am besten ist es natürlich wenn es mehrere vertrauenswürdige Entwickler sind, die "fassbar" sind, und sich auch gegenseitig kontrollieren.
Aber grundsätzlich ist es schon so: Wirklich sicher kann man nie sein, außer man prüft es selbst. Und das ist schwer. Aber je mehr über die Entwickler und die Prüfer bekannt sind, umso eher kann man auch vertrauen darin haben.
Und "einkaufen" in eine Entwicklung ist dann schwerer, wenn das Vertrauensnetzwerk größer ist
Und selbst wenn die CIA meine Verschlüsselung knacken kann, ich habe ja nicht vor was in die Luft zu jagen. Mir reicht es bereits, wenn das LKA nicht an die Raubkopien kommt.
Das mag sein, dass dir sowas reicht. Es gibt aber bestimmt sehr viele Leute, die z.B. geschäftlich in die USA reisen und wichtige Daten , z.B. Patentrelevante Infos, Firmenstrategien etc. mit sich tragen müssen.
Jetzt kommt dazu, dass der Zoll sich mittlerweile ohne Probleme Images von Laptops ziehen darf, auch das Abkommen mit der EU namlich Passagierdaten kommt da sehr zu gute.
Somit ist es für die Amis ein leichtes gezielt Personen am Zoll herauszufischen, ihnen die Daten abzugreifen und sie dann für Wirtschaftsspionage zu nutzen, alles im Deckmantel von Anti Terrorismus etc., wenn man dann noch in der Lage ist eine Verschlüsselung ala Truecrypt zu knacken hat man alles was man braucht. Die Amis agieren immer in erster Linie zur Stützung der Wirtschaft, sei es Irak Krieg etc. wo nix zu holen ist, mischt sich die USA nicht ein.
Die ganz schlauen(das sind nur eine Handvoll) Firmen in DE geben mittlerweile die Anweisung raus, Daten nach Möglichkeit gar nicht mehr mitzuführen sondern sie bei Bedarf über VPN nachzuladen:-)
Von Entäuschter Leser am Mo, 3. November 2008 um 17:23 #
Das Buch "Diabolus" ist aus IT-Sicht absolut lächerlich. Da steht ein Dumfug drinnen. Das ging ja gar nicht! Jemand der sich gar nicht in der IT auskennt kann das Buch lesen ohne zu denken: "Wie lächerlich!"
deswegen hats mir ja auch nciht so gut gefallen und weil es schreiberisch einfach viele Defizite aufzeigt die Dan Brown damals noch nicht überwunden hatte. War unglücklich (aber wirtschaftlich sinnvoll) ein früheres Werk nach einem Bestseller rauszubringen ;) nur so meine paar cents
Es ist inzwischen unerheblich, ob du sowas vor hast. Das einzige das zählt, ist, was der Beamte glaubt. Die Staatsparanoia verzichtet schon seit einiger Zeit auf die Realität. Schon die Verschlüsselung macht dich verdächtig. Das heißt, "die" nehmen dich mit, obwohl sie die Daten noch gar nicht kennen. Aber das paßt ja zu deinem "Wer nichts zu verbergen hat, hat auch nichts zu befürchten."
... , dass die Domain auf die Truecrypt Foundation (Herndon VA) registriert ist wo zufällig auch eins der CIA Headquarters liegt.
Das CIA Hauptquartier liegt in Langley, VA, nicht in Herndon. Es ist gut zu erkennen und es gibt sogar reichlich Autobahnschilder, die darauf hinweisen. Ausserdem ist es das einzige CIA Hauptquartier - weitere gibt es nicht. Natürlich gibt es Aussenstellen in vielen Amerikanischen Städten; diese stehen auch im Telefonbuch, denn die CIA ist eine Regierungsbehörde und von Steuergeldern finanziert.
Truecrypt ist Open Source; du kannst es ansehehn, lesen, verstehen und verändern - wie passt das zu deiner Geheimdienstmasche? Verschwörungstheorien sagen immer viel über Diejenigen aus, die sie verbreiten!
>>>Das CIA Hauptquartier liegt in Langley, VA, nicht in Herndon.
http://acs.lbl.gov/~deba/presentations/list.html
Guck mal unten Herndon:
"Secure Distributed Collaboration Capabilities and Infrastructure," D. Agarwal, Presented at the CIA Headquarters, Herndon, VA, June 19, 2003. pdf
Übrigends, wie jemand vorher schon sagte, Herndon ist die Adresse des Registrars, da hier eine Private Registration gemacht wurde, was somit ebenfalls nicht gerade das Vertrauen bestärkt.
>>>Truecrypt ist Open Source; du kannst es ansehehn, lesen, verstehen und verändern - wie passt das zu deiner Geheimdienstmasche?
Lies meine Kommentare oben und du wirst sehen, dass das handfeste Argumente sind. Verschwörung hin oder her, wenn du Argumente hast, die darlegen warum Truecrypt vertrauenswürdig ist, dann her damit.
Opensource gewährleistest gar nichts, in meinem Fachgebiet (Bildverarbeitung) gibt es auch wenige, die meine Implementationen auf evtl. Schwachstellen/Probleme prüfen könnten, selbst wenn ich die Quellen dazu bereitstellen würde, so könnte kaum einer nachvollziehen, warum ich bei manchen Berechnungen bestimmte Wertetabellen verwende, ich weis, dass sie optimal sind, weil ich lange damit rumexperimentiert habe und herausgefunden habe, dass es einfach dafür keine einfache Berechnungsformel gibt.
Es gibt zu viele OSS Dumpfeifen, die immer weder ihre Mär von absoluter Sicherheit und Bugfreiheit runterrattern ohne mal das Hirn einzuschalten.
Wenn du dann aber konsequent bist, dann darfst du niemandem trauen. Jemand sprach von einem Vertrauensnetzwerk und Leuten aus unterschiedlichen Ländern, die Code, z.B. im Kernel, vertrauenswürdiger machen würden. Aber es würde für die CIA ein Leichtes sein gute Programmierer zu finden und die in unterschiedliche Länder zu verfrachten damit Sie dort verdeckt programmieren.
Weiterhin ist es doch unwarscheinlich, dass die CIA solch groben Fehler schon bei der Sicherung der Domain macht. Sicher machen auch solche Organisationen immer wieder dumme Fehler aber das ist doch zu offensichtlich. Gerade diese Behauptungen haben absolut keine Aussagekraft. Es gibt sicher noch über etliche Leute mehr in Herndon oder Langley, die an sicherheitskritischen Dingen arbeiten und wo die CIA sicher auch ein Interesse dran hätte Einsicht zu haben und die dennoch nichts mit der CIA zu tun haben. Kann alles Zufall sein - Aussagekraft gleich null.
Ich will ja nicht sagen, dass deine Argumente kompletter Unsinn sind aber Sie lassen sich ohne größeren Aufwand und nur schwer nachprüfen. Woher will ich wissen ob die Entwickler wirklich niemand kennt? Woher will ich wissen, dass an anderen Softwarelösungen nicht auch CIA Leute mitarbeiten? Und warum ist kein einziger Fall bekannt, bei dem ein TrueCrypt Medium erfolgreich durch die CIA gelesen werden konnte? Zumindestens der Inhaber des Medium dürfte ein Interesse daran haben, dass das rauskommt. Oder wurden die alle gleich nach Guantanamo abgeschoben?
>>>Woher will ich wissen ob die Entwickler wirklich niemand kennt?
Guck doch einfach mal im Internet nach. Die Frage ist zu tausenden im Netz niemand hat je etwas von diesen Entwicklern gehört. Entwickler, die in der Lage sind so eine Software zu entwickeln, kommen bestimmt nich aus irgendeinem Hinterhof.
>>>Aber es würde für die CIA ein Leichtes sein gute Programmierer zu finden und die in unterschiedliche Länder zu verfrachten damit Sie dort verdeckt programmieren.
Naja der Aufwand ist aber schon um einiges höher, außerdem könnte man sich fragen, woher kommen diese Leute etc. also so einfach wie du es darstellst ist das wohl nicht. Außerdem sieht man ja, dass genügend Leute scherheitskritische Software auch von jedem x beliebigen Heinei einsetzen, solange OSS draufsteht.
>>>Woher will ich wissen, dass an anderen Softwarelösungen nicht auch CIA Leute mitarbeiten?
Wie wir oben schon angemerkt haben, 100%ige Sicherheit gibt es nie, aber genauso gut könnte jemand sagen, ich leg keinen Sicherheitsgurt an, denn bei nem richtigen Unfall hilft der auch nicht. Ich versteh nicht, warum hier aufeinmal alles vertrauenswürdig ist nur weil OSS draufsteht, dass ist genauso dämlich, wie wenn ein "Polizist" zu ner alten Oma nach Hause kommt und sie ihn reinlässt, nur weil er auf seiner Jacke Polizei drauf stehen hat.
Man kann halt ganz auf blöd machen und sagen egal ob 0% Sicherheit oder 100% Sicherheit, ist immer das gleiche.
>>>Und warum ist kein einziger Fall bekannt, bei dem ein TrueCrypt Medium erfolgreich durch die CIA gelesen werden konnte?
Wieviele Fälle von Wirtschaftsspionage gibt es die nicht bekannt sind?
>>Zumindestens der Inhaber des Medium dürfte ein Interesse daran haben, dass das rauskommt
Wie stellst du dir denn sowas vor?? Der CIA druckt den Inhalt deiner Datei in der Times ab, wenn hier z.B. eine Firmenstrategie ausgeforscht wird und es danach zu Börsenspekulationen etc. kommt, wie willst du erstmal draufkommen, dass du ausgeforscht worden bist und noch besser wie willst du das beweisen? Woher wiest du, obs von der Platte kommt?
> Wie wir oben schon angemerkt haben, 100%ige Sicherheit gibt es nie, aber genauso gut könnte jemand sagen, ich leg keinen Sicherheitsgurt > an, denn bei nem richtigen Unfall hilft der auch nicht. Ich versteh nicht, warum hier aufeinmal alles vertrauenswürdig ist nur weil OSS > draufsteht, dass ist genauso dämlich, wie wenn ein "Polizist" zu ner alten Oma nach Hause kommt und sie ihn reinlässt, nur weil er auf > seiner Jacke Polizei drauf stehen hat.
Du hast mich nicht verstanden. Ich meine nur, dass viele sagen, hey ich bin sicher da ich Kernel-eigene Crypto-Sachen nutzen. Das ist dann aber genauso blauäugig. Um dein Gleichnis zu bemühen. Die Oma verwehrt dem Polizisten den Eintritt aber lässt den Typen mit ner Zoll-Jacke rein. ;)
> Wie stellst du dir denn sowas vor?? Der CIA druckt den Inhalt deiner Datei in der Times ab, wenn hier z.B. eine Firmenstrategie > ausgeforscht wird und es danach zu Börsenspekulationen etc. kommt, wie willst du erstmal draufkommen, dass du ausgeforscht worden bist und > noch besser wie willst du das beweisen? Woher wiest du, obs von der Platte kommt?
Naja wenn mein Notebook konfisziert wird und aufgrund des Inhaltes mir der Prozess gemacht wird, da man auch in amerikanischen Gerichten normalerweise Beweise vorlegen muss um jemanden zu verurteilen. Ja dann weiß ich doch am besten woher sie das haben. Natürlich kann man die gewonnenen Kenntnisse auch geheim weiter nutzen, das hängt wohl von den Infos selbst ab.
>>Du hast mich nicht verstanden. Ich meine nur, dass viele sagen, hey ich bin sicher da ich Kernel-eigene Crypto-Sachen nutzen. Das ist dann aber genauso blauäugig. Um dein Gleichnis zu bemühen. Die Oma verwehrt dem Polizisten den Eintritt aber lässt den Typen mit ner Zoll-Jacke rein
Nein du hast mich nicht verstanden. Die Oma könnte ja auch nach dem Ausweis fragen, wenn der dann nen gültigen Ausweis rausholt, dann hast du "eher" die Gewissheit, dass er auch ein Polizist ist. Es ist ein riesen Unterschied zwischen Truecrypt und den Kernel Cryptosachen, bei den Kernelcryptosdachen weis man wer dahintersteckt, ich zumindestens. Und ich weis, dass das nicht nur US only Entwickler sind. Bei Truecrypt konnte jeder dahinterstecken. Kaufst du lieber die Katze im Sack oder nimmst du den Spatz?
>>>Naja wenn mein Notebook konfisziert wird und aufgrund des Inhaltes mir der Prozess gemacht wird, da man auch in amerikanischen Gerichten normalerweise Beweise vorlegen muss um jemanden zu verurteilen. Ja dann weiß ich doch am besten woher sie das haben.
Es heißt nicht umsonst Geheimdienst, weil man da nicht so operiert, dass jeder davon Wind bekommt. Der Sinn hinter einem versteckten Feature ist ja, dass man es nicht preisgibt und es einfach nutzt und die Infos dann weiterverwendet.
Um auf dein Beispiel zu kommen, sie finden was auf deiner Platte, dann reicht es dich zu überwachen irgendwann haben die dann nen Beweis um dich dingfest zu machen ohne das dabei in irgendeine Verbindung mit den Daten deiner Festplatte zu bringen. Du musst ja die Daten irgendwo herhaben, die wachsen ja nicht auf deiner Platte.
"Aber es würde für die CIA ein Leichtes sein gute Programmierer zu finden und die in unterschiedliche Länder zu verfrachten damit Sie dort verdeckt programmieren."
Nur, wo hört gesundes Misstrauen auf, und fängt Verfolgungswahn an? :)
ein grund warum die programmierer niemand kennt könnte auch sein das sie fürchten gegen die crypto-export-vorschriften der usa zu verstossen und deswegen auf dem stuhl zu landen. andererseits... klar verstösst truecrypt gegen diese exportbeschränkungen. warum wird nicht nach den urherbern des programmes gefahndet (zumindest innerhalb der usa)?
Absolute Sicherheit gibt es nciht, wer das denkt, denkt verkehrt :) aber man kann seine Daten stärker schützen wenn man sich ein paar Gedanken macht und auch Software wie truecrypt hilft dabei. Hierbei ist es dann auch völlig egal(für mich) ob die CIA eine per truecrypt verschlüßelte Partition lesen kann oder nicht! Die meisten Script Kiddies oder Pseudo-Cracker-Hacker können es nicht. Außerdem muss man erstmal an meine Crypto Partition rankommen und dann gibt es immer noch die Hürde meine nochmals (anderweitig) verschlüßelten Daten zu entschlüßeln. Wer dann soweit ist, kann Sie haben Es ist zwar viel Aufwand, aber in spätestens 2 Stunden hab ich die Accounts alle gesperrt oder geändert und das mach ich nicht erst wenn ich ne Info bekommen hab das meine Daten gehackt wurden, sondern einfach dann wenn meine Partition endeckt wurde. Okay klingt für die meisten paranoid, aber ich hab hier schon so einiges gesehen und manches geht einfach niemanden was an, egal ob privat oder für die firma.
nur meine Gedanke, wenn jmd meine Horizont erweitern möchte gern :)
Wenn wirklich die CIA dahinter steckt, wäre es aus deren Sicht wohl effektiver gewesen, TrueCrypt als Freeware, nicht aber als Open Source freizugeben. Gibt doch einige praktische Closed-Source Programme die jeder auf dem (Windows-)Rechner hat (z.B. WinRar, Adobe Reader, Antivir, etc.)
Die breite Masse würde dennoch nicht misstrauisch werden und die CIA hätte die Sicherheit, dass keiner die Lücken im System entdecken könnte.
Aber vielleicht haben die auch etwas trickreicher gedacht...
ich wollte truecrypt mal unter fc9 u. fc10 kompilieren, das haut aber nicht hin, folgende Meldungen bekomme ich:
Cleaning Platform Cleaning Volume Cleaning Driver Cleaning Core Cleaning Main Compiling Buffer.cpp Compiling Exception.cpp Compiling Event.cpp Compiling FileCommon.cpp Compiling MemoryStream.cpp Compiling Memory.cpp Compiling PlatformTest.cpp Compiling Serializable.cpp Compiling Serializer.cpp Compiling SerializerFactory.cpp Compiling StringConverter.cpp Compiling TextReader.cpp Compiling Directory.cpp Compiling File.cpp Unix/File.cpp: In member function 'TrueCrypt::uint32 TrueCrypt::File::GetDeviceSectorSize() const': Unix/File.cpp:93: error: '_IO' was not declared in this scope Unix/File.cpp: In member function 'void TrueCrypt::File::Open(const TrueCrypt::FilePath&, TrueCrypt::File::FileOpenMode, TrueCrypt::File::FileShareMode, TrueCrypt::File::FileOpenFlags)': Unix/File.cpp:211: error: 'EAGAIN' was not declared in this scope Unix/File.cpp:216: error: 'EAGAIN' was not declared in this scope Unix/File.cpp:221: error: 'EAGAIN' was not declared in this scope make[1]: *** [Unix/File.o] Error 1 make: *** [all] Error 2
schade schon, aber ziemlich eindeutig: Zitat Fedora Wiki http://fedoraproject.org/wiki/ForbiddenItems#TrueCrypt
"The TrueCrypt software is under an extremely poor license, which is not only non-free, but actively dangerous to end users who agree to it, opening them to possible legal action even if they abide by all of the licensing terms. Fedora made extensive efforts to try to work with the TrueCrypt upstream to fix these mistakes in their license, but was unsuccessful."
Aber mir reicht ja eh encfs.
Gruss,
Kay
Interessant zu lesen ist, was die Lizenz betrifft auch ein offener Brief von Adam Williamson (Mandriva): KLICK!
Google nach "Adam Williamson Blog Truecrypt" hilft...
"As an update, TrueCrypt is again communicating with us on this issue, so
there is hope that the license can be fixed. As I am permitted, I will
pass along any updates. I apologize in advance for the limited
information."
http://lists.freedesktop.org/archives/distributions/2008-October/000280.html
So endgültig ist das, was in diesem Thread vor drei Wochen geschrieben wurde, also nicht.
Truecrypt ist für mich jedenfalls absolut nicht vertrauenswürdig.
Auch wenn man den Quellcode in Händen hält ist es wohl schwierig herauszufinden ob man den Implementierungen der dort verwandten Algorithmen vertrauen kann, z.B schlechter Initialisierungsvektor etc., das können wenn dann nur absolute Kryptoexperten und wenn man dann wirklich eine schwache Implementierung finden würde, dann kann man es auch nicht nachweisen, dass sowas Absicht war.
Klickst du hier http://de.wikipedia.org/wiki/Truecrypt#Geschichte
"TrueCrypt basiert auf Encryption for the Masses (E4M), dessen Entwicklung im Jahr 2000 eingestellt worden war. Anfang 2004 wurde das Programm als TrueCrypt weiterentwickelt. Ein Nachteil dieser schrittweisen Entwicklung ist die nicht einheitliche Lizenz. Der Quellcode des Programms ist zwar offen, allerdings besitzen einzelne Programmteile unterschiedliche teilweise autorenspezifische Lizenzen, die dann in der TrueCrypt Collective License zusammengefasst werden. Damit ist es zum Beispiel nicht ohne weiteres möglich, eine Abspaltung unter einer üblichen freien Lizenz (wie der GPL) durchzuführen."
Wenn dus nicht glaubst, kannst es ja nachprüfen. Aber wenigstens gibt es hier eine Erklärung im Gegensatz zu dem FUD den du da verbreitest.
Ich glaub du bist n bissl zu paranoid Mister.
PS: huuu o.O vll bin ich ja ein CIA Angestellter der gerade eben deine Meinung infiltriert!! und nun?
Siehe Debian Openssl Lücke, Problem mit Zufallszahlengenerator. In der Regel kennt man aber Leute, die hinter OSS Software stehen.
Desweiteren TrueCrypt Foundation ist angeblich eine Stiftung, zu dieser Stiftung gibts keine Infos, sie selbst bemerken auf ihrer Seite, dass man Spenden an sie nicht von der Steuer absetzen kann, was aber bei normalen Stiftungen in den USA geht, insgesamt stinkt Truecrypt.
Das ist echt der Nachteil am Internet - das jeder Geisteskrüppel seine unausgegorene Gehirnsuppe hier auskotzen kann - aber zum Glück diskreditieren sich die Urheber solcher unverifizierter Vermutungen nur selber als Homo Erectus - in der Hoffnung, dass die Intelligenten weiter denken und Einfluss nehmen auf die Äffchen.
... hebt das Niveau in keiner Weise, zudem wäre es konstruktiver gewesen, Du hättest Informationen geliefert, statt beleidigend zu werden.
Ja kannst du das oder sonst jemand hier:-)
Es gibt in der Welt evtl eine Handvoll Leute, die in der Lage wären, die Implementation auf Schwachstellen zu untersuchen, da du meine Argumentation dahingehend nicht verstehst, zeigst du mir, dass du keine Krypto Grundlagen hast und nicht mal ansatzweise eine Ausbildung wie die meine genossen hast.
Wenn du dir mal diverse Bruce Schneier Artikel durchgelesen hättest, dann wüsstest du wie oft es vorkommt, dass ein Algorithmus schawch implementiert wird.
Selbst unterschiedliche CPU Architekturen können zu Schwachstellen führen.
Anderes Beispiel, OpenSSL Lücke in Debian:
Die als CVE-2008-0166 verzeichnete Lücke betrifft nur Debian-Systeme ab der Version 0.9.8c-1 von OpenSSL, die im September 2006 zunächst im Unstable-Zweig und später in der Version 4.0 Einzug fand. Damals hatten die Entwickler einen Patch für den Zufallszahlengenerator aufgenommen, der in einem gewissen Maße vorhersagbare Werte liefert.
Langezeit gabs hier ne Lücke, die niemand gesehen hat, wegen einem simplen Problem mit dem Zufallszahlengenerator.
Wenn ich jetzt auf eine Software unbekannter Herkunft setze, habe ich nicht mal die geringste Garantie, dass hier jemand nach bestem Wissen und Gewissen gearbeitet hat und wieso hat die Debian Lücke solange keiner gefunden, wenn doch tausende wie du den Code lesen können. *LOL*
Wenn sich hier also Leute gezielt hinsetzen und nach einer schwachen nicht auszumachenden Lücke in einer Implementation suchen und die einbauen, fällt das wie im Debian Debakel Jahre lang nicht auf.
Jetzt kotzt ruhig weiter, lächerlich gemacht hast du dich ja schon einmal.
Cryptographie ist eine komplexe Angelegenheit, und für die breite Masse (zu der ich bei diesem Thema auch gehöre) eine Frage des vertrauens.
Man muss sich darauf verlassen das die Personen die diese Software entwickelt und/oder getestet haben kompetent sind, und wirklich auch das Ziel haben eine solche Software sicher zu machen.
Das geht nur wenn man weiss wer das getan hat, und dessen Background kennt.
wie soll man denn bitte schön die Leute "kennen", die die Software entwickeln?
Kennt ihr jeden Debianentwickler, geschweige denn die hochbezahlten, erfahrenen Programmierer die hinter RHEL stecken?
Und selbst wenn ihr jeden kennen würdet, von jedem wüsstet, dass er nie unmoralische Angebote der Regierung eingegangen ist - wer sagt, dass dem auch in der Zukunft so ist?
An dieser Stelle befindet sich eben eine "Sicherheitslücke" die wohl nicht so einfach wie irgendwelcher fehlerhafte Quellcode zu schließen ist... leider.
Schon langsam denkt ihr mit, aber dann denk nochmal einen Schritt weiter. Der Unterschied ist z.B. an einer Cryptofunktion im Kernel , dass hier in der Regel nicht nur ein Bekannter dran ist, sondern mehrere Bekannte in verschiedenen Ländern, das erst erhöht die Sicherheit.
Um hier eine möglichst hohe Vertrauensstufe zu erreichen ist es nötig, dass kritische Systeme mit dem 4 od. mehr Augen Prinzip arbeiten und möglichst diese 4 Augen nicht nebeneinander sitzen:-)
Aber der/die Hauptentwickler sind immer am wichtigsten. Am besten ist es natürlich wenn es mehrere vertrauenswürdige Entwickler sind, die "fassbar" sind, und sich auch gegenseitig kontrollieren.
Aber grundsätzlich ist es schon so: Wirklich sicher kann man nie sein, außer man prüft es selbst. Und das ist schwer. Aber je mehr über die Entwickler und die Prüfer bekannt sind, umso eher kann man auch vertrauen darin haben.
Und "einkaufen" in eine Entwicklung ist dann schwerer, wenn das Vertrauensnetzwerk größer ist
Mir reicht es bereits, wenn das LKA nicht an die Raubkopien kommt.
Jetzt kommt dazu, dass der Zoll sich mittlerweile ohne Probleme Images von Laptops ziehen darf, auch das Abkommen mit der EU namlich Passagierdaten kommt da sehr zu gute.
Somit ist es für die Amis ein leichtes gezielt Personen am Zoll herauszufischen, ihnen die Daten abzugreifen und sie dann für Wirtschaftsspionage zu nutzen, alles im Deckmantel von Anti Terrorismus etc., wenn man dann noch in der Lage ist eine Verschlüsselung ala Truecrypt zu knacken hat man alles was man braucht.
Die Amis agieren immer in erster Linie zur Stützung der Wirtschaft, sei es Irak Krieg etc. wo nix zu holen ist, mischt sich die USA nicht ein.
Die ganz schlauen(das sind nur eine Handvoll) Firmen in DE geben mittlerweile die Anweisung raus, Daten nach Möglichkeit gar nicht mehr mitzuführen sondern sie bei Bedarf über VPN nachzuladen:-)
Wenn wir am Zoll angehalten werden sollten und die das Notebook
haben wollen, sollen wir entscheiden ob wir ohne Einreise
wieder zurückfliegen.
nur so meine paar cents
Es ist inzwischen unerheblich, ob du sowas vor hast. Das einzige das zählt, ist, was der Beamte glaubt. Die Staatsparanoia verzichtet schon seit einiger Zeit auf die Realität. Schon die Verschlüsselung macht dich verdächtig. Das heißt, "die" nehmen dich mit, obwohl sie die Daten noch gar nicht kennen.
Aber das paßt ja zu deinem "Wer nichts zu verbergen hat, hat auch nichts zu befürchten."
http://geekz.co.uk/schneierfacts/
sitzt:
Network Solutions Llc
www.namesecure.com
13861 Sunrise Valley Dr # 300
Herndon, VA 20171
(703) 668-5505
Das CIA Hauptquartier liegt in Langley, VA, nicht in Herndon. Es ist gut zu erkennen und es gibt sogar reichlich Autobahnschilder, die darauf hinweisen. Ausserdem ist es das einzige CIA Hauptquartier - weitere gibt es nicht. Natürlich gibt es Aussenstellen in vielen Amerikanischen Städten; diese stehen auch im Telefonbuch, denn die CIA ist eine Regierungsbehörde und von Steuergeldern finanziert.
Truecrypt ist Open Source; du kannst es ansehehn, lesen, verstehen und verändern - wie passt das zu deiner Geheimdienstmasche? Verschwörungstheorien sagen immer viel über Diejenigen aus, die sie verbreiten!
http://acs.lbl.gov/~deba/presentations/list.html
Guck mal unten Herndon:
"Secure Distributed Collaboration Capabilities and Infrastructure,"
D. Agarwal, Presented at the CIA Headquarters, Herndon, VA, June 19, 2003. pdf
Übrigends, wie jemand vorher schon sagte, Herndon ist die Adresse des Registrars, da hier eine Private Registration gemacht wurde, was somit ebenfalls nicht gerade das Vertrauen bestärkt.
>>>Truecrypt ist Open Source; du kannst es ansehehn, lesen, verstehen und verändern - wie passt das zu deiner Geheimdienstmasche?
Lies meine Kommentare oben und du wirst sehen, dass das handfeste Argumente sind. Verschwörung hin oder her, wenn du Argumente hast, die darlegen warum Truecrypt vertrauenswürdig ist, dann her damit.
Opensource gewährleistest gar nichts, in meinem Fachgebiet (Bildverarbeitung) gibt es auch wenige, die meine Implementationen auf evtl. Schwachstellen/Probleme prüfen könnten, selbst wenn ich die Quellen dazu bereitstellen würde, so könnte kaum einer nachvollziehen, warum ich bei manchen Berechnungen bestimmte Wertetabellen verwende, ich weis, dass sie optimal sind, weil ich lange damit rumexperimentiert habe und herausgefunden habe, dass es einfach dafür keine einfache Berechnungsformel gibt.
Es gibt zu viele OSS Dumpfeifen, die immer weder ihre Mär von absoluter Sicherheit und Bugfreiheit runterrattern ohne mal das Hirn einzuschalten.
Wenn die Alternative mit Containern arbeitet würde mir das schon reichen.
Weiterhin ist es doch unwarscheinlich, dass die CIA solch groben Fehler schon bei der Sicherung der Domain macht. Sicher machen auch solche Organisationen immer wieder dumme Fehler aber das ist doch zu offensichtlich. Gerade diese Behauptungen haben absolut keine Aussagekraft. Es gibt sicher noch über etliche Leute mehr in Herndon oder Langley, die an sicherheitskritischen Dingen arbeiten und wo die CIA sicher auch ein Interesse dran hätte Einsicht zu haben und die dennoch nichts mit der CIA zu tun haben. Kann alles Zufall sein - Aussagekraft gleich null.
Ich will ja nicht sagen, dass deine Argumente kompletter Unsinn sind aber Sie lassen sich ohne größeren Aufwand und nur schwer nachprüfen. Woher will ich wissen ob die Entwickler wirklich niemand kennt? Woher will ich wissen, dass an anderen Softwarelösungen nicht auch CIA Leute mitarbeiten? Und warum ist kein einziger Fall bekannt, bei dem ein TrueCrypt Medium erfolgreich durch die CIA gelesen werden konnte? Zumindestens der Inhaber des Medium dürfte ein Interesse daran haben, dass das rauskommt. Oder wurden die alle gleich nach Guantanamo abgeschoben?
Guck doch einfach mal im Internet nach. Die Frage ist zu tausenden im Netz niemand hat je etwas von diesen Entwicklern gehört. Entwickler, die in der Lage sind so eine Software zu entwickeln, kommen bestimmt nich aus irgendeinem Hinterhof.
>>>Aber es würde für die CIA ein Leichtes sein gute Programmierer zu finden und die in unterschiedliche Länder zu verfrachten damit Sie dort verdeckt programmieren.
Naja der Aufwand ist aber schon um einiges höher, außerdem könnte man sich fragen, woher kommen diese Leute etc. also so einfach wie du es darstellst ist das wohl nicht.
Außerdem sieht man ja, dass genügend Leute scherheitskritische Software auch von jedem x beliebigen Heinei einsetzen, solange OSS draufsteht.
>>>Woher will ich wissen, dass an anderen Softwarelösungen nicht auch CIA Leute mitarbeiten?
Wie wir oben schon angemerkt haben, 100%ige Sicherheit gibt es nie, aber genauso gut könnte jemand sagen, ich leg keinen Sicherheitsgurt an, denn bei nem richtigen Unfall hilft der auch nicht. Ich versteh nicht, warum hier aufeinmal alles vertrauenswürdig ist nur weil OSS draufsteht, dass ist genauso dämlich, wie wenn ein "Polizist" zu ner alten Oma nach Hause kommt und sie ihn reinlässt, nur weil er auf seiner Jacke Polizei drauf stehen hat.
Man kann halt ganz auf blöd machen und sagen egal ob 0% Sicherheit oder 100% Sicherheit, ist immer das gleiche.
>>>Und warum ist kein einziger Fall bekannt, bei dem ein TrueCrypt Medium erfolgreich durch die CIA gelesen werden konnte?
Wieviele Fälle von Wirtschaftsspionage gibt es die nicht bekannt sind?
>>Zumindestens der Inhaber des Medium dürfte ein Interesse daran haben, dass das rauskommt
Wie stellst du dir denn sowas vor?? Der CIA druckt den Inhalt deiner Datei in der Times ab, wenn hier z.B. eine Firmenstrategie ausgeforscht wird und es danach zu Börsenspekulationen etc. kommt, wie willst du erstmal draufkommen, dass du ausgeforscht worden bist und noch besser wie willst du das beweisen? Woher wiest du, obs von der Platte kommt?
Ihr denkt schon wirklich sehr primitiv!
> an, denn bei nem richtigen Unfall hilft der auch nicht. Ich versteh nicht, warum hier aufeinmal alles vertrauenswürdig ist nur weil OSS
> draufsteht, dass ist genauso dämlich, wie wenn ein "Polizist" zu ner alten Oma nach Hause kommt und sie ihn reinlässt, nur weil er auf
> seiner Jacke Polizei drauf stehen hat.
Du hast mich nicht verstanden. Ich meine nur, dass viele sagen, hey ich bin sicher da ich Kernel-eigene Crypto-Sachen nutzen. Das ist dann aber genauso blauäugig. Um dein Gleichnis zu bemühen. Die Oma verwehrt dem Polizisten den Eintritt aber lässt den Typen mit ner Zoll-Jacke rein. ;)
> Wie stellst du dir denn sowas vor?? Der CIA druckt den Inhalt deiner Datei in der Times ab, wenn hier z.B. eine Firmenstrategie
> ausgeforscht wird und es danach zu Börsenspekulationen etc. kommt, wie willst du erstmal draufkommen, dass du ausgeforscht worden bist und
> noch besser wie willst du das beweisen? Woher wiest du, obs von der Platte kommt?
Naja wenn mein Notebook konfisziert wird und aufgrund des Inhaltes mir der Prozess gemacht wird, da man auch in amerikanischen Gerichten normalerweise Beweise vorlegen muss um jemanden zu verurteilen. Ja dann weiß ich doch am besten woher sie das haben.
Natürlich kann man die gewonnenen Kenntnisse auch geheim weiter nutzen, das hängt wohl von den Infos selbst ab.
Nein du hast mich nicht verstanden. Die Oma könnte ja auch nach dem Ausweis fragen, wenn der dann nen gültigen Ausweis rausholt, dann hast du "eher" die Gewissheit, dass er auch ein Polizist ist. Es ist ein riesen Unterschied zwischen Truecrypt und den Kernel Cryptosachen, bei den Kernelcryptosdachen weis man wer dahintersteckt, ich zumindestens. Und ich weis, dass das nicht nur US only Entwickler sind. Bei Truecrypt konnte jeder dahinterstecken. Kaufst du lieber die Katze im Sack oder nimmst du den Spatz?
>>>Naja wenn mein Notebook konfisziert wird und aufgrund des Inhaltes mir der Prozess gemacht wird, da man auch in amerikanischen Gerichten normalerweise Beweise vorlegen muss um jemanden zu verurteilen. Ja dann weiß ich doch am besten woher sie das haben.
Es heißt nicht umsonst Geheimdienst, weil man da nicht so operiert, dass jeder davon Wind bekommt. Der Sinn hinter einem versteckten Feature ist ja, dass man es nicht preisgibt und es einfach nutzt und die Infos dann weiterverwendet.
Um auf dein Beispiel zu kommen, sie finden was auf deiner Platte, dann reicht es dich zu überwachen irgendwann haben die dann nen Beweis um dich dingfest zu machen ohne das dabei in irgendeine Verbindung mit den Daten deiner Festplatte zu bringen. Du musst ja die Daten irgendwo herhaben, die wachsen ja nicht auf deiner Platte.
Nur, wo hört gesundes Misstrauen auf, und fängt Verfolgungswahn an? :)
andererseits... klar verstösst truecrypt gegen diese exportbeschränkungen. warum wird nicht nach den urherbern des programmes gefahndet (zumindest innerhalb der usa)?
aber man kann seine Daten stärker schützen wenn man sich ein paar Gedanken macht und auch Software wie truecrypt hilft dabei. Hierbei ist es dann auch völlig egal(für mich) ob die CIA eine per truecrypt verschlüßelte Partition lesen kann oder nicht! Die meisten Script Kiddies oder Pseudo-Cracker-Hacker können es nicht.
Außerdem muss man erstmal an meine Crypto Partition rankommen und dann gibt es immer noch die Hürde meine nochmals (anderweitig) verschlüßelten Daten zu entschlüßeln. Wer dann soweit ist, kann Sie haben
Okay klingt für die meisten paranoid, aber ich hab hier schon so einiges gesehen und manches geht einfach niemanden was an, egal ob privat oder für die firma.
nur meine Gedanke, wenn jmd meine Horizont erweitern möchte gern :)
cyd
Die breite Masse würde dennoch nicht misstrauisch werden und die CIA hätte die Sicherheit, dass keiner die Lücken im System entdecken könnte.
Aber vielleicht haben die auch etwas trickreicher gedacht...
folgende Meldungen bekomme ich:
Cleaning Platform
Cleaning Volume
Cleaning Driver
Cleaning Core
Cleaning Main
Compiling Buffer.cpp
Compiling Exception.cpp
Compiling Event.cpp
Compiling FileCommon.cpp
Compiling MemoryStream.cpp
Compiling Memory.cpp
Compiling PlatformTest.cpp
Compiling Serializable.cpp
Compiling Serializer.cpp
Compiling SerializerFactory.cpp
Compiling StringConverter.cpp
Compiling TextReader.cpp
Compiling Directory.cpp
Compiling File.cpp
Unix/File.cpp: In member function 'TrueCrypt::uint32 TrueCrypt::File::GetDeviceSectorSize() const':
Unix/File.cpp:93: error: '_IO' was not declared in this scope
Unix/File.cpp: In member function 'void TrueCrypt::File::Open(const TrueCrypt::FilePath&, TrueCrypt::File::FileOpenMode, TrueCrypt::File::FileShareMode, TrueCrypt::File::FileOpenFlags)':
Unix/File.cpp:211: error: 'EAGAIN' was not declared in this scope
Unix/File.cpp:216: error: 'EAGAIN' was not declared in this scope
Unix/File.cpp:221: error: 'EAGAIN' was not declared in this scope
make[1]: *** [Unix/File.o] Error 1
make: *** [all] Error 2
hat jemand schon einen Workaround ?
Gruß Mada