• *****
    Achtung Derzeit ist die Registrierfunktion deaktiviert. Wer einen Account möchte: Mail an wahrexakten @ gmx.net mit Nickwunsch. Geduld, es kann etwas dauern, bis Ihr eine Antwort bekommt.
    Wir danken für Euer Verständnis!
    *****

IT-Projekte und National Security Letters

Merlin

Boardleitung, Root
Teammitglied
Registriert
30. Oktober 2002
Beiträge
6.568
Punkte Reaktionen
183
Ort
Wien
Nachdem wir das offenbar noch gar nicht haben: National Security Letters sind "Kooperations-Aufforderungen" von 3-Buchstaben-Organisationen im Namen der nationalen Sicherheit (der USA). Man darf darüber nicht berichten und hat eigentlich keine Rechtsmittel - im Namen der nationalen Sicherheit sind Gesetze zweitrangig und Geheimgerichte üblich :oconfused:

Bekannt geworden im Zusammenhang mit IT-Projekten ist der Fall Lavabit. Dessen Gründer verweigerte die Kooperation mit den Behörden und sperrte letztlich seinen Dienst lieber zu, bevor er die geheimen Schlüssel herausgab. Anlass für die NSL war offenbar, dass Edward Snowden diesen eMail-Dienst zur Kommunikation nutzte. (Link: NSA-Affäre: E-Mail-Anbieter Lavabit lieferte sich Katz-und-Maus-Spiel mit US-Justiz | heise online )

Heute überraschte nun Truecrypt mit einer Warnseite, dass die Software nicht mehr sicher sei, und man doch stattdessen BitLocker (von Microsoft) benutzen sollte :oeek: Eine neue Version der Software kann nur mehr vorhandene Truecrypt-Volumes entschlüsseln. Da die bekannten Schlüssel zur Signatur benutzt wurden, muss die Version für echt gehalten werden.

Link: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher" | heise online

Wie kommt es also dazu, und was bedeutet das nun? Ein Hackerangriff erscheint unwahrscheinlich. Von einer behaupteten Sicherheitslücke zeigte sich bei einem ersten Audit auch keine Spur. Als mögliche Ursache gilt nun ein NSL, woraufhin die Autoren im Stil von Lavabit ebenfalls lieber die Entwicklung einstellten.

Auffällige Hinweise auf der Seite:
  • Der erste Satz lautet: "WARNING: Using TrueCrypt is Not Secure As it may contain unfixed security issues" Die Autoren waren zwar schon bisher nicht stilsicher in Englisch, trotzdem ist diese Formulierung nicht unbedingt üblich...
  • Die Anleitung zur Datenmigration für MacOS enthält ein Bild mit "Encryption: none" - Absicht?
  • Ausgerechnet die Empfehlung für BitLocker, wo bekannt ist, dass Microsoft mit der NSA kooperiert? Man muss davon ausgehen, dass das unsicher ist...
  • Die Empfehlung für Linux, irgendwas mit Encryption zu nehmen ist auch eher bewusst schlampig :owink:

Meine persönliche Einschätzung ist, dass Truecrypt 7.1a nach wie vor sicher ist, und ich würde keine Veranlassung sehen, seine Daten weg zu migrieren. Besser wäre natürlich sowieso der Einsatz von Linux mit LUKS/dmcrypt...
 
Gerade gesehen: unter http://www.truecrypt.ch/ soll das Projekt fortgeführt werden. Dort gibt es auch alle Downloads von Version 7.1a.

Gesendet von meinem Nexus 4 mit Tapatalk
 
Truecrypt hat keine Hintertüren und keinen schlimmen Fehler, ist das Ergebnis des Audit: http://stadt-bremerhaven.de/truecrypt-keine-hintertueren/

Die besagte Cache-Timing-Attacke bedeutet doch, dass ein Angreifer die Schlüssel aus dem RAM auslesen kann? Was nur funktioniert, wenn das verschlüsselte Volumen gerade gemountet ist, oder?

Inzwischen gibt es auch VeraCrypt: VeraCrypt - Download - CHIP
Ist ein Fork, wobei man dabei Vertrauen zu der Firma haben muss, dass die nichts in den Code eingebaut haben, was sich als Hintertür nutzen lässt. Ist noch nicht stark verbreitet, daher wenig Nutzerberichte im Gegensatz zu Truecrypt. Außerdem glauben viele Kritiker im Internet, dass Veracrypt lizenzrechtlich problematisch sein könnte.

Der "offizielle" (kann man das so sagen?) Nachfolger wird allerdings Ciphershed heißen: https://ciphershed.org/ Hier auch ein Artikel dazu: http://www.computerbase.de/2014-09/aus-truecrypt-wird-ciphershed/
 
Veracrypt

Ist ein verbesserter Fork von Truecrypt, der von einem französischen Unternehmen entwickelt wurde.

Um so erstaunter war ich als ich las, dass in Frankreich Kryptographie angeblich illegal sei (außer man hat dafür eine Genehmigung). Ist aber ein älteres Gesetz. Weiß darüber jemand mehr, wie es zur Zeit aktuell aussieht?

Falls dieses Gesetz noch gilt, fragt man sich ja automatisch, wie ein französisches Unternehmen dann ein Verschlüsselungswerkzeug anbieten kann.

Siehe auch hier: https://groups.google.com/forum/#!topic/linux.debian.user.german/GK3K98xtYAc
 
Können diese NS-Letter nur zur Erlangung von Kundendaten bzw. für Hintertüren etc. eingesetzt werden, oder theoretisch auch um eine Firma zu zwingen zukünftiges oder evtl. schon vorhandenes Wissen nicht zu veröffentlichen?

Z.B. wenn private Raumfahrtunternehmen wie Space X mal eine Rakete bzw. Sonde um den Mond schicken und höchstauflösende Fotos von der Rückseite machen.
Ein Szenario unter der Annahme dass sich dort Dinge befinden, dessen Veröffentlichung im Falle der NASA das Pentagon über das NASA-Gesetz untersagt.
Der Aussage eines Reparaturtechniker zufolge, hat er dort einmal einen aufgeregten und deshalb gesprächigen NASA-Mitarbeiter getroffen, der ihm evtl. in den 50/60ern Fotos gezeigt hat, mit einer Auflösung über dem was man der Welt heute zeigt.
1cm/1m wäre heute möglich.
Oder eine Sonde zu Phobos. Bisher sind alle Sonden unter seltsamen Umständen verunglückt.
Entweder kurz vor dem Ziel (angeblich gab oder gibt es noch ein Bild mit einem "25km großen" Objekt), oder nach dem Start von der Erde.
Wenn man auf Tschurjumow-Gerassimenko landen kann, dann sollte es nach dem Dritten Versuch ja wohl auch mal auf dem Mars-"Mond" (klein, daher nicht rund, eher ein "Stein") Phobos landen können, und ihn vorher in niedrigem Orbit für Bilder umkreisen können.
Nach X Versuchen ist es schon von der Wahrscheinlichkeit her nicht mehr normal wenn die alle verunglücken.
 
Zurück
Oben