Deelnemers Open Crypto Audit Project overwegen fork van TrueCrypt

Deelnemers aan het Open Crypto Audit Project, waarbij de broncode van de opensource-encryptietool TrueCrypt wordt nagelopen op mogelijke beveiligingsgaten, hebben aangegeven dat zij een TrueCrypt-fork overwegen. Er zijn twijfels of de licentie dit echter wel toelaat.

Eerder deze week verscheen onverwacht een mededeling op de webpagina van Truecrypt op SourceForge dat het anonieme ontwikkelteam per direct was gestopt met de ontwikkeling van de encryptiesoftware. Als reden werd het staken van XP-ondersteuning door Microsoft genoemd. Ook zou TrueCrypt niet meer gebruikt moeten worden vanwege onveiligheid. Een nieuwe 7.2-versie die online werd gezet kan alleen TrueCrypt-containers decrypten en gebruikers werden doorverwezen naar Microsofts Bitlocker.

De mededelingen op de TrueCrypt-pagina zorgde voor veel commotie en speculatie. Zo dachten veel gebruikers dat de site en mogelijk ook de software door hackers waren gekraakt, maar er klonken ook geluiden dat de makers door een onbekende partij onder druk zijn gezet om het project te staken.

Matthew Green, deelnemer aan het auditprogramma Open Crypto Audit Project, denkt dat het TrueCrypt-team zelf de stekker uit het project heeft getrokken. Onder andere het signen van de laatste TrueCrypt-versie met de juiste sleutel en ongewijzigde dns- en whois-records maken dat waarschijnlijk. Hoewel Green indirect contact heeft met de anonieme ontwikkelaars, heeft hij nog geen toelichting gekregen over de beweegredenen van het ontwikkelteam. Een collega zou echter wel mail hebben gehad met de mededeling: "We hebben hier 10 jaar hard aan gewerkt. Niets is voor de eeuwigheid".

Green zegt op het weblog KrebsOnSecurity verder dat hij hoopt dat er een fork wordt gemaakt van de TrueCrypt-code. Bij een eerste auditronde zijn geen beveiligingsgaten of achterdeurtjes aangetroffen, en een mogelijke doorontwikkeling van de broncode door een ander team zou de kwaliteit mogelijk verder kunnen verhogen. Een anonieme ontwikkelaar die zegt een team van beveiligingsspecialisten te vertegenwoordigen heeft ondertussen al anoniem aan Reuters aangegeven dat zij TrueCrypt willen forken.

Een potentieel probleem is de licentie van TrueCrypt. Daarbij is de code weliswaar opensource, maar de licentie geeft gebruikers niet het expliciete recht om op basis van de broncode een nieuwe encryptietool te bouwen. Green heeft daar nog geen oplossing voor, maar een eventuele fork moet een duidelijkere opensource-licentie krijgen. Het Open Crypto Audit Project gaat desondanks door met het ontleden van de broncode in een tweede auditronde, mede omdat de organisatie nog geld over heeft.

IT-banen

Reacties (61)

CAPSLOCK2000

Netwerk en systeembeheer
Open source
Encryptie

30 mei 2014 13:08

Aangezien de auteurs van TrueCrypt zich al 10 jaar anoniem hebben gehouden denk ik niet dat ze een rechtzaak zouden beginnen als iemand hun code onder een andere licentie zou uitbrengen.

Of dat ethisch is en of je beveiligingssoftware van auteurs met een dergelijke gevoel voor ethiek wil gebruiken is een ander verhaal. Als je kijkt wat er nu zoal in de commerciele softwarewereld gebruikt denk ik niet dat veel mensen zich daar door laten tegenhouden.

RoestVrijStaal @CAPSLOCK2000 • 30 mei 2014 13:35

Ik wou al zeggen.

Van de andere kant, wat hebben de ex-ontwikkelaars van TrueCrypt te vrezen als die onder het mom van ethiek/moraal een rechtszaak starten tegen de 'forkers' omdat 'hun' licentie wordt gebroken?

Per slot van rekening ontwikkelen ze niet meer aan TrueCrypt en hebben ze hun banden met het project gebroken.

CAPSLOCK2000

Netwerk en systeembeheer
Open source
Encryptie

@RoestVrijStaal • 30 mei 2014 13:53

Ik kan nog wel wat dingen bedenken, niet allemaal even logisch of redelijk, maar niet iedereen is redelijk en snapt crypto:

Een bezoekje van de NSA met het verzoek om alsnog de PGP-sleutels over te dragen zodat dat de NSA zelf wat updates kan uitbrengen?
Criminelen die eisen dat de developers helpen om de truecrypt-lockers van hun concurrenten te kraken?
Hun naam op allerlei zwarte lijsten met staatgevaarlijke figuren?
Vervelende journalisten op de stoep?

Daarnaast, wat hebben ze nog te winnen met een rechtzaak? Ze hebben hun software gratis weggegeven dus financieele schade kunnen ze moeilijk claimen (dat is wel vaker een probleem met open source software).

[Reactie gewijzigd door CAPSLOCK2000 op 31 juli 2024 22:14]

Gyzome 30 mei 2014 13:22

Er is ook een fork uitgebracht op http://truecrypt.ch/. Hij wordt ontwikkeld door Thomas Bruderer en Joseph Doekbrijder.

RoestVrijStaal @Gyzome • 30 mei 2014 13:43

http://www.linkedin.com/pub/joseph-doekbrijder/2b/384/43a

Co-Founder / Partner
S.W.I.S. GROUP
January 1999 – Present (15 years 5 months) Zürich Area, Switzerland
Consulting, design and realization of secure FINRA/SEC OATS data exchange (USA– Switzerland) for major Swiss bank.

Opleiding van Joseph Doekbrijder:
Texas A&M University
BBA, Management
1986 – 1990

Geen idee wat ik van die goede man moet denken.

[Reactie gewijzigd door RoestVrijStaal op 31 juli 2024 22:14]

MrMonkE @RoestVrijStaal • 30 mei 2014 13:59

Je kunt in elk geval iets van hem denken.
Dit in tegenstelling tot de anonieme makers van TrueCrypt.

invic @MrMonkE • 30 mei 2014 14:35

Wellicht hebben zij bewust anoniem gehouden om NIET gechanteerd of gegijzeld te worden om eea. te openbaren....

Verwijderd @invic • 30 mei 2014 18:06

Aan de andere kant kan (semi) anoniem blijven ook de kans op het bovenstaande verhogen, Ik bedoel de NSA en zijn bedrijven weten heus wel wie de ontwikkelaars van tc zijn. Dit was ongetwijfeld voor snowden ook een belangrijke reden om publiek te gaan.

[Reactie gewijzigd door Verwijderd op 31 juli 2024 22:14]

Gyzome @RoestVrijStaal • 30 mei 2014 13:45

Als je reactie bedoeld is om vragen te stellen bij de integriteit van die man, dan zie ik daar eerder bewijs voor het tegendeel. Ik denk niet dat een grote Zwitserse bank het zou tolereren dat de NSA data aftapt. Ze zullen dan ook zeer voorzichtig zijn geweest in het aanstellen van een verantwoordelijke die integer genoeg is.

Moortn

30 mei 2014 12:28

Als de orginele ontwikkelaars onder druk zijn gezet om de ontwikkeling van truecrypt te staken, vinden ze het vast niet erg als er een fork wordt gemaakt. Dus ik zou zeggen: Gewoon beginnen en kijken wat er gebeurt. Dan wordt het misschien ook iets duidelijker wat er aan de hand is met truecrypt.

Sinnergy @Moortn • 30 mei 2014 12:35

Er bestaat al een fork voor TrueCrypt genaamd RealCrypt, zie: http://rpmfusion.org/Package/realcrypt

Ik zie dus eigenlijk geen licentie problemen zolang ze maar dezelfde licentie voorwaarden blijven gebruiken (als ze het onder een andere licentie willen uitbrengen zitten ze met een probleem)

fevenhuis @Sinnergy • 30 mei 2014 18:46

Helaas vermoed ik dat als de software gehost wordt op Amerikaanse sites of ontwikkeld wordt door iemand in Amerika dat het hezelfde lot zal ondergaan als Truecrypt.

Je kan daar nou eenmaal voor onbeperkte tijd zonder rechtzaak in de gevangenigs vedrwijnen (NDAA), al zullen ze eerder andere vervelende methoden gebruiken. De veiligehidsdiensten hoeven alleen te beweren dat de nationale veiligeheid in gevaar komt als mensen hun bestanden kunnen encrypten en alleen dat is voldoende voor een "geheim" besluit daarover.

TheVivaldi @fevenhuis • 31 mei 2014 13:40

Volgens mij is lezen erg moeilijk voor je. Zoals je op de homepage kunt lezen http://rpmfusion.org/RPM%20Fusion is RPMFusion alleen maar een verzamelsite voor installatiepakketten met een kleine wiki. Net als dat er voor Windows ook vele sites zijn die een verzameling van software hebben zoals Filehippo bijvoorbeeld.

GigaPixels @Moortn • 30 mei 2014 14:21

Een fork lijkt me er wel te komen, dit staat er ondermee op de GitHub pagina:

Note that the license specifies, for example, that a derived work must not be
called 'TrueCrypt'.

en meer:

You may modify This Product (thus forming Your
Product), derive new works from This Product or portions thereof
(thus forming Your Product), include This Product or portions
thereof in another product (thus forming Your Product, unless
defined otherwise in Chapter I), and You may use (for non-
commercial and/or commercial purposes), copy, and/or distribute
Your Product.

[Reactie gewijzigd door GigaPixels op 31 juli 2024 22:14]

Qwerty-273 30 mei 2014 12:41

Tja, TrueCrypt is altijd een beetje vreemd geweest. Opensource maar niet dat je van de source je eigen binary kan compilen. Onbekend en geheimzinnig ontwikkel team. Achter lopende ontwikkeling, ondersteuning voor UEFI en GPT disks bijvoorbeeld (net als vele anderen trouwens....).
Er zijn genoeg moderne encryptie producten beschikbaar voor de enterprise die behoorlijk gebruiksvriendelijk zijn - zit dan wel een prijskaartje aanvast natuurlijk. Thuisgebruik is een ondergewaardeerd kindje in deze hele sector. Dan kom je toch eigenlijk terecht bij opensource waarvan de ontwikkeling niet denderend loopt - en achterloopt op "moderne" technieken. Kijk naar GnuPG en de kant en klare Gpg4win waar toch behoorlijk wat bugs en integratie issues in zitten....

7o9 @Qwerty-273 • 30 mei 2014 14:47

Opensource maar niet dat je van de source je eigen binary kan compilen.

En waarom kan dat niet? Met een beetje zoeken zijn er werkende instructies te vinden. Zoals hier:
How do I build TrueCrypt on Windows?

Hardfreak @Qwerty-273 • 30 mei 2014 13:01

Er zijn ook wel een hoop enterprise-encryptie producten die op geen bal trekken. Het product dat ze bij ons op 't werk onze laptops zetten is bijvoorbeeld lekker modern omdat het gebruik maakt van de ingebouwde TPM module, maar de hoeveelheid bluescreen, corrupte bestanden en de onmogelijkheid om ook maar iets te herstellen of te decrypteren in geval van problemen is mijn inziens eerder contra-productief (om dan nog maar te zwijgen over hoe snel je SSD kapot gaat met die encryptie-software).

Met TrueCrypt heb ik nooit last gehad voor hierboven genoemde problemen en dan verkies ik toch liever een iets 'verouderd' product dan een product waarmee ik gegarandeerd elke 2 jaar mijn laptop moet laten formateren om dan vervolgens 24u te wachten om een schijfje van 120GB te encrypteren. Een TrueCrypt fork zou dus een welkome toevoeging zijn, al denk ik dat de huidige versie zonder problemen nog een aantal jaren verder kan gaan met alles wat Windows 7 draait of ouder

Lounge Deluxe

@Hardfreak • 30 mei 2014 13:55

Gaat een SSD eerder kapot vanwege encryptiesoftware? Onderbouwing graag.

Hardfreak @Lounge Deluxe • 30 mei 2014 16:57

Kapot is misschien een verkeerde omschrijving, maar de wear met de door ons gebruikte encryptie software is wel aanzienlijk: na een half jaar developen op een FDE SSD hebben wel nog maar amper snelheidsvoordeel tov dezelfde laptops met een gewone HDD. Kan natuurlijk ook zijn dat het product niet overweg kan met trimming, wat natuurlijk ook wel baggere resultaten kan verklaren.

Whieee Moderator Apple Talk @Hardfreak • 30 mei 2014 21:36

Grootste verdachte zou hier zijn dat gebruik gemaakt wordt van Sandforce controllers, die met name hun snelheidswinst halen uit comprimeerbare data. Als je dan vervolgens FDE toepast, is er geen comprimeerbare data meer, en zie je het snelheidsvoordeel aanzienlijk teruglopen.

Hardfreak @Whieee • 31 mei 2014 11:05

Dan zou die in het begin al traag moeten geweest zijn. Hier gaat het echt om het trager en trager worden van de SSDs over tijd.

Whieee Moderator Apple Talk @Hardfreak • 31 mei 2014 12:46

Behalve dat door het niet kunnen comprimeren van data de wear op de cellen ook hoger is dan bij comprimeerbare data

Er moet immers bij gelijke belasting meer data geschreven worden.

Verwijderd @Lounge Deluxe • 30 mei 2014 16:47

eigen ervaring met agility 3: nee. heb m al 4 jaar, al 4 jaar encrypted, en 0 damaged cells

MrMonkE @Hardfreak • 30 mei 2014 13:21

Ik heb het op mijn laptop met win8.1
Doet het ook.
Dus maak daar maar win8.1 of ouder van

Verwijderd 30 mei 2014 12:43

Een potentieel probleem is de licentie van TrueCrypt.

Dat lijkt me dan het eerste wat ze moeten gaan oplossen.

Als het project echt dood is, en de ontwikkelaars aangeven dat ze er niets meer aan gaan doen, dan lijkt het me niet ondenkbaar dat ze de rechten willen vrijgeven.

Dat gebeurt ook wel eens bij closed source software, dus bij 'semi' open moet het toch ook mogelijk zijn?

i-chat

Open source

@Verwijderd • 30 mei 2014 13:36

tenzei er een national security leter aanvooraf ging, dan zullen ze misschien zelfs 'verplicht' worden om inbreuk tegen te gaan...

in dit soort gevallen ben ik iig VOOR schending van copyrights.

op het moment dat je als software maker aangeeft geen belang meer te hebben, dan moeten dus ook je balangen niet meer wegen in de zin van copyrights. en zou een en ander dus direct moeten vervallen in het public domain...

er zou een verbod moeten komen op het misbruiken van patenten en andere 'voorrechten' om de markt te blokkeren...
ander voorbeeld: shell zou het verboden moeten worden om patenten die over waterstof gaan, te gebruiken om hun olie nog een tijdje langer te kunnen verkopen.

tenzij er sprake is van moord, zouden auteurs rechten na de dood direct moeten komen te vervallen, zodat andere artiesten ongehinder je favorite liedje kunnen spelen zonder gezeik met grijpgrage nabestaanden... en zelfs als er sprake is van moord, zouden er verplichtingen moeten zijn voor het in licentie-geven.

Verwijderd @i-chat • 30 mei 2014 20:34

shell zou het verboden moeten worden om patenten die over waterstof gaan, te gebruiken om hun olie nog een tijdje langer te kunnen verkopen.

En wie ben jij om dat te bepalen? Waar trek je trouwens de grens als je bedenkt dat waterstof voor een beetje raffinaderij van levensbelang is? Moet Shell Pernis in jouw opinie dan maar vast de Hycon-faciliteit sluiten? Laat me niet lachen, zeg.

mxcreep @i-chat • 31 mei 2014 10:51

Ik ben het met je eens, patenten gebruiken om vooruitgang of een verbeterde situatie te blokkeren alleen voor eigen gewin zou verboden moeten zijn. Het lijkt me niet logisch dat de gehele mensheid flink benadeeld wordt om een groepje aandeelhouders rijk te houden. Dat het in het huidige systeem mogelijk is laat eigenlijk alleen maar zien dat we daar dus vanaf moeten.

basvd 30 mei 2014 12:25

Ah kijk, er dus in ieder geval één iemand die een reactie heeft gehad van de ontwikkelaars. Al is de reactie weer net zo vaag als de melding op de website.

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

bogy @basvd • 31 mei 2014 15:41

volgens mij hé, en dat is dan volgens mij en niet omdat ik he ergens gelezen heb of opgevangen heb...
maar ik denk dat de NSA gewoon niet wil dat men nog truecrypt gebruikt omdat het niet te hacken viel en dat men daarom een paar mensen onder druk heeft gezet (jouw broer rookt toch cannabis hé, we zullen hem eens oppakken!) om te beweren dat hun pakket niet voldoet én om ineens snel een decrypt only tool uit te brengen én snel alle encrypt-versies te verwijderen..

een tijdje terug was er namelijk nog een audit waaruit bleek dat truecrypt geen problemen zou hebben; waarom zou dat dan nu ineens wél zo zijn?

ik denk dat, als je je gevevens veilig wil bewaren; je beter truecrypt kan blijven gebruiken dan dat je overschakelt naar het NSA-Injected Bitlocker van microsoft..ik vind het alleen spijtig dat ik op mijn ubuntu's nog geen truecrypt geinstalleerd had (of de software apart gedownload) want nu ga ik daarvoor niet meer aan de juiste binaries geraken vrees ik; ik ben op dat gebied namelijk nog een redelijke newbie (msdos/windows is een ander verhaal met 20 jaar poweruser ervaring)

wie de 7.1 versie van truecrypt voor windows nog zoekt (7.1a) mag me altijd een pm sturen.....
voor linux ben ik blijven hangen op 7.0a (linux algemeen) en 6.2a (ubuntu)
iemand die dus in z'n collectie nog versie 7.1(a) voor ubuntu heeft zitten; lemme know via pm of mail ofzo !

Laat je alvast niet afschrikken door die stoute meneren van de NSA en bescherm je gegevens hoe je zelf wil, niet hoe een ander wil!

divvid @bogy • 31 mei 2014 21:40

7.1a is anders gewoon te vinden in diverse mirrors van o.a. debian.

Standeman 30 mei 2014 12:29

Ik hoop echt dat er een fork komt. TrueCrypt is 1 van de weinige opensource software dat je in staat stelt om je gegevens veilig op te slaan zonder dat anderen er in rond neuzen. Voor 80% van de bevolking boeit het niet zo dat anderen dat kunnen inzien, maar als je directeur van Unilever of Shell bent kan dat serieuze impact hebben op je onderhandelingspositie. Niet te spreken over politici (Merkel, Rutte, etc) die hun data veilig op willen slaan of iemand die een (hackende) stalker achter zich aan heeft.

Privacy wordt helaas voor de meeste mensen pas belangrijk als ze het nodig hebben en dan is het al dik te laat

[Reactie gewijzigd door Standeman op 31 juli 2024 22:14]

The Zep Man

Encryptie
Netwerk en systeembeheer
Open source

@Standeman • 30 mei 2014 12:35

k hoop echt dat er een fork komt. TrueCrypt is 1 van de weinige opensource software dat je in staat stelt om je gegevens veilig op te slaan zonder dat anderen er in rond neuzen.

Eén van de weinigen, maar er zijn alternatieven. Uit het artikel:

Een potentieel probleem is de licentie van TrueCrypt. Daarbij is de code weliswaar opensource, maar de licentie geeft gebruikers niet het expliciete recht om op basis van de broncode een nieuwe encryptietool te bouwen. Green heeft daar nog geen oplossing voor, maar een eventuele fork moet een duidelijker opensource-licentie krijgen.

Is het niet praktischer om DiskCryptor van een audit te voorzien en daarop verder te ontwikkelen, mede omdat het onder de GPLv3 is uitgegeven?

[Reactie gewijzigd door The Zep Man op 31 juli 2024 22:14]

i-chat

Open source

@The Zep Man • 30 mei 2014 13:27

[...]
Eén van de weinigen, maar er zijn alternatieven. Uit het artikel:
[...]
Is het niet praktischer om DiskCryptor van een audit te voorzien en daarop verder te ontwikkelen, mede omdat het onder de GPLv3 is uitgegeven?

om te beginnen is diskcryptor al niet mac/bsd/linux compatible (of iig niet in zijn huidige vorm), misschien kunnen ontwikkelaars bepaalde ideeën uit de een overnemen naar de anders, maar het kunnen uitwisselen van je data lijkt me een belangrijke pre, zeker nu windows massaal markt aandeel aan het verliezen is aan osx ios android linux en anderen alternatieven.

windows xp heeft nog steeds steeds een milioen installaties in nederland, ik zou bijna verwachten dat als men nu nog niet over is naar windows 7 (of

, de kans met de dag groter wordt dat men uiteindelijk over stapt naar een alternatief, als een bedrijf als cononical eens zijn best zou doen, konden ze wel eens ontdekken dat ze zomaar een paar honder duizend nieuwe installaties erbij kregen. hopende dat het niet alleen hier zou gebeuren, lijkt het me zonde om in te zetten op iets dat alleen onder windows werkt.

JAVE @The Zep Man • 30 mei 2014 13:01

Het voordeel van Truecrypt is/was dat je op Windows/MacOS/Linux de vaults kan mounten, zodat je niet aan 1 OS vastzit.
DiskCryptor heeft geen ander support dan Windows, en heeft ook niets in de planning staan daarvoor.
Da's dus geen alternatief

Verwijderd 30 mei 2014 12:59

en hoe zit t dan met veracrypt? ziet er veelbelovend uit als je t mij vraagt:

http://sourceforge.net/projects/veracrypt/

Zwerver @Verwijderd • 30 mei 2014 13:10

Ook dat lijkt windows only te zijn. Het mooie van TC is/was juist dat het op alle grote OS-en draait.

Verwijderd @Zwerver • 30 mei 2014 13:18

lijkt, maar volgens mij kan je dit gewoon compilen in linux:

http://sourceforge.net/p/veracrypt/code/ci/master/tree/src/

heb een mail gestuurd aan de makers of er een linux vesie is/komt:
http://www.idrix.fr/Root/

----

hun reactie:

Hi,

There is no Linux version of VeraCrypt. It started as a Windows only
implementation with Linux in mind but with no urgency.
Because of the TrueCrypt story, there are more requests for VeraCrypt
targeting MacOSX and Linux. We will try to schedule these ports as soon
as possible but for now we have no specific milestone for it.
Personally, I hope we can have a new release during this summer that
includes MacOSX and Linux support.

Cheers,
--
Mounir IDRASSI

[Reactie gewijzigd door Verwijderd op 31 juli 2024 22:14]

gepebril 30 mei 2014 12:34

maar er klonken ook geluiden dat de makers door een onbekende partij onder druk zijn gezet om het project te staken.

Welke partij zou er nou in godsnaam belang bij hebben dat Truecrypt stopt.......

.oisyn Moderator Devschuur®

Encryptie

@gepebril • 30 mei 2014 12:37

Overheden cq veiligheids- en spionagediensten.

[Reactie gewijzigd door .oisyn op 31 juli 2024 22:14]

Standeman @.oisyn • 30 mei 2014 12:39

En criminelen... Maar soms vraag ik me af of er echt verschil tussen zit....

TtL8e7ay @Standeman • 30 mei 2014 12:49

Ik zie eigenlijk niet hoe criminelen last kunnen hebben van het bestaan van TrueCrypt. Kun je dat uitleggen?

Verwijderd @TtL8e7ay • 30 mei 2014 13:16

Beschermde zakelijke gegevens. Persoonsgegevens. etc. Ik kan me echt wel een paar dingen bedenken waar een crimineel wat mee zou kunnen beginnen.

rickiii

@TtL8e7ay • 30 mei 2014 13:38

Dan kunnen ze niet meer zo makkelijk gevoelige informatie te vinden.

Terrestrial 30 mei 2014 13:15

Pas maar op want straks bevat dat nieuwe team ineens mensen van bepaalde organisaties. Je gaat echt niet van de ene op de andere dag stoppen met je cryptotool zonder goede reden. De kans is groot dat ze onder druk gezet zijn omdat teamviewer te goed werkt en dat is een doorn in het oog van overheden.

[Reactie gewijzigd door Terrestrial op 31 juli 2024 22:14]

MrMonkE @Terrestrial • 30 mei 2014 13:32

Laatste release was meer dan 2 jaar geleden.
Wellicht waren ze eigenlijk al gestopt.

elmuerte @MrMonkE • 30 mei 2014 14:41

Als je stopt met de ontwikkeling ga je niet alle oude releases weggooien.

Op dit item kan niet meer gereageerd worden.

Deelnemers Open Crypto Audit Project overwegen fork van TrueCrypt

Lees meer

IT-banen

Reacties (61)

Sorteer op:

Weergave: