Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 256 reacties
Submitter: Spacespider

De makers achter de opensource-encryptietool TrueCrypt adviseren om hun software niet langer te gebruiken. Volgens TrueCrypt zitten er mogelijk beveiligingslekken in de software. Het is mogelijk dat het om een hack gaat.

TrueCryptDe melding verscheen zonder veel uitleg op de TrueCrypt-website op Sourceforge. Op de website geven de makers aan dat de ondersteuning van de encryptiesoftware per deze maand is beëindigd. Gebruikers worden geadviseerd om TrueCrypt niet langer te gebruiken wegens mogelijk beveiligingsproblemen, al worden hier verder geen details over verschaft. Op hun website hebben de ontwikkelaars een handleiding geplaatst om gebruikers hun bestanden te laten versleutelen met Bitlocker van Microsoft, als vervanging voor TrueCrypt.

Tegelijkertijd werd met versie 7.2 een nieuwe release van de opensource encryptiesoftware online gezet. Gebruikers die deze nieuwe versie hebben gedownload geven aan dat deze ook meldingen geeft over beveiligingsproblemen in TrueCrypt en dat de encryptiefunctie uit de software is gehaald. Daardoor is slechts het ontsleutelen van bestanden nog mogelijk. Oudere versies dan 7.2 zijn van de TrueCrypt-website verwijderd.

Het is opmerkelijk dat TrueCrypt plotsklaps stopt met de ondersteuning van zijn encryptiesoftware. Daardoor werd op sociale media veelvuldig gesuggereerd dat het om een hack zou gaan; hackers zouden de signing key hebben gestolen om zo de nieuwe versie 7.2 van de TrueCrypt-software legitiem te laten lijken. Op moment van schrijven kon er voor een eventuele hack geen bewijs worden geleverd, al kon de authenticiteit van de waarschuwing om TrueCrypt niet langer te gebruiken eveneens niet worden geverifieerd.

Kortgeleden werd er nog een beveiligingsaudit uitgevoerd bij de encryptiesoftware. Beveiligingsonderzoekers gaven toen aan geen backdoors te kunnen vinden. Na de NSA-onthullingen werd gesuggereerd dat veiligheidsdiensten toegang hebben tot data die versleuteld is met TrueCrypt, wat leidde tot het doorspitten van de broncode van de opensourcesoftware. Het is mogelijk dat de waarschuwing voortkomt uit een recent ontdekt beveiligingslek.

Moderatie-faq Wijzig weergave

Reacties (256)

1 2 3 ... 6
Voor meer info/discussies:
bij HN
reddit #1
reddit #2
/.

tl;dr: Ofwel gehackt, ofwel de ontwikkelaars stoppen ermee, al dan niet vrijwillig, en via deze methode (die vrij absurd is) duidelijk proberen te maken dat er iets niet in de haak is, maar ze niet willen zeggen wat.

Helpt natuurlijk niet dat de auteurs niet bekend zijn :)
Ik zou toch ook vooral een parallel maken met Lavabit.

Lavabit kreeg een National Security Letter (NSL) binnen om alle encryption keys op te geven. Hier hadden ze absoluut geen zin in omdat het de absolute meerwaarde van hun product zou nihilleren.

In dit geval halen de ontwikkelaars alle encryptiemogelijkheden uit hun product (je kan met de laatste versie enkel nog dingen decrypten), en waarschuwen ze gebruikers met een bijzonder algemene waarschuwing. Niet: "Om reden X, Y & Z stoppen we er mee" of: "Er zat een security leak in, die is gefixed". Maar in plaats daarvan een waarschuwing die feitelijk voor ieder software pakket geldt.

Dat lijkt mij nou typisch iets wat je zou doen als een overheid je verplicht om een backdoor te maken in je encryptieproduct en je verbiedt er iets over te zeggen: je zorgt dat je encryptieproduct niet meer aan encryptie doet, waarschuwt het publiek in algemene termen om zodoende niet de voorwaarden van de NSL te schenden.

Daar komt bij dat TrueCrypt eeder een vrij specifieke licentie had die er voor zorgde dat sommige distro's het niet als opensource wilden aanbieden. Maar ook met het weghalen van alle encryptiefunctionaliteit is de licentie aangepast en een stuk vrijer geworden. Bijna also ze nu hopen/willen dat iemand anders er mee doorgaat (die nog geen NSL gehad heeft).

offtopic:
Noem mij een complottheoriedenker, maar bij Lavabit gebeurde het eerder ook, en de diverse overheden in de VS hebben herhaaldelijk geklaagd over hoe ze zo weinig konden doen tegen pedofielen en terroristen die truecrypt gebruiken...
offtopic:
Noem mij een complottheoriedenker...
Of het daadwerkelijk een NSL is, dat is echt speculatie, maar het gebeurd maar zelden dat open source op deze manier 'gekilled' wordt.
Vooral dat oude versies van de site worden gehaald is heel bijzonder, het idee van open source is dat iemand anders verder kan gaan met, of anders wat kan leren van de code. Meestal sterft een open source project een langzame dood en kwijnt er wat antieke source code weg in een repository.

Het actief verwijderen van de encryptie code lijkt erop dat er ergens een wet, patent of ander belang geschaad wordt, waarbij het 'voortdurend' schaden van dat belang gevolgen kan hebben voor de ontwikkelaars. De vage bewoording duid op iets van een NDA (non disclosure agreement) constructie, waarbij de consequenties dusdanig zijn dat de ontwikkelaars deze (nog) niet durven te breken.

Maar of het de NSA is, of gewoon een groot bedrijf met wat patenten, dat is speculatie. Microsoft heeft met (FAT) patenten ook weleens vergelijkbare spelletjes gespeeld: "U schendt niet nader te noemen patenten, teken deze NDA + betaal deze licentie en we klagen u niet aan".
Verder bouwend op jouw Lavabit theory ...
Hoe lang duurt het, indien dit niet al het geval is, dat alle Amerikaanse commerciele software backdoors ingebouwd heeft ?

Als dit het geval is; wie zal nog Amerikaanse commerciele software willen gebruiken ?
Dat de Chinezen Windows 8 verbieden is een feit. Is dit puur een antwoord op de Amerikaanse aanklacht tegen 5 Chinese hackers ?

Of is er meer dat de Chinese overheid richting Ubuntu Kylin duwt, zoals backdoors in recentere Windows versies ?

Om terug te komen naar het begin; Hoe lang duur het voor de rest van de wereld om af te stappen van Windows ?
Duitsland is als sinds 2004 bezig met de ontwikkeling van een Linux overheids desktop.
Blijkbaar is de ICT-dienst niet overtuigt van Windows 8 en waarschuwen deze voor backdoors die niet méér gesloten kunnen worden ! Vooral de "niet méér" is interessant, niet ?
Ik zie nog geen parallel met Lavabit.

Lavabit kreeg een NSL en hier ging Lavabit op een zeer amateurische wijze mee om (bron: techdirt.com, 16-4-2014).

Bij Truecrypt wordt door anonieme ontwikkelaars om onduidelijke redenen gestopt met de ondersteuning van de versleutelsoftware.
Precies, omdat ze er niet over mogen praten. Dus als je dan als TrueCrypt dev op de site zet dat je als Windows gebruiker maar Bitlocker moet gebruiken, is dat volgens mij toch wel een aanwijzing dat er iets niet klopt.
Dat ze er niet over praten kan vele oorzaken hebben. Zo ook bijvoorbeeld dreiging van de ontmaskering van de ontwikkelaars. Kortom, speculatie en dus nog geen parallel.

Ik denk dat het Bitlocker-advies gericht is aan leken.
Dus als je dan als TrueCrypt dev op de site zet dat je als Windows gebruiker maar Bitlocker moet gebruiken
Hoezo? Voordat we allerlei wilde theorieën over backdoors in bitlocker gaan geloven is het misschien verstandig om te bedenken dat het inderdaad zo ongeveer het enige serieuze gelijkwaardige alternatief voor truecrypt is.
Of ze kappen ermee en willen mensen wijzen op een redelijk alternatief?
Noem mij een complottheoriedenker, maar bij Lavabit gebeurde het eerder ook, en de diverse overheden in de VS hebben herhaaldelijk geklaagd over hoe ze zo weinig konden doen tegen pedofielen en terroristen die truecrypt gebruiken...
Juist dat feit maakt dat ik ook geloof in die theorie. Verschillende overheidsinstanties hebben openlijk geklaagd over het niet kunnen breken van Truecrypt encryptie. En nu zou het opeens zo onveilig zijn dat de ontwikkelaars het niet hebben kunnen fixen en alles hebben verwijderd? Ik denk eerder dat de overheid het via juridische weg heeft geprobeerd met dit tot gevolg.

Kijk, het gebruik van Truecrypt is lang niet in alle gevallen tegen overheden bedoeld. Ik gebruikte het zelf bijvoorbeeld als een mooie cross platform tool om mijn USB sticks te beveiligen, zodat ik geen risico heb op gegevensdiefstal als ik mijn USB sticks laat slingeren (ze breken nog wel eens van mijn sleutelbos bijvoorbeeld). Voor een gelegenheidsdief is Truecrypt echt niet te kraken.

Als er echt een beveiligingsgat geweest was, hadden ze dat in eerste instantie gewoon kunnen fixen, of als dat niet mogelijk was, gewoon zeggen dat het niet meer veilig is tegen elke partij, maar in veel omstandigheden nog steeds nuttig. Zelfs als er een veiligheidsgat in zat, was het nog steeds aan te raden het op je USB sticks te gebruiken alleen maar door de extra stap die je moet zetten om het te kraken.

Daarom denk ik ook dat er iets schimmigs aan de hand is.
Of ze hadden iemand in kunnen huren met meer expertise om het te fixen. Evt. via bijv. een crowdfunding-campagne.
(ja, crowdfunding wordt ook gebruikt bij bestaande projecten)
Ik weet het :) Zelfs bij het truecrypt project is dat al het geval geweest, de security audit is betaald door middel van een IndieGoGo campagne. Die mensen hebben hun geld dus ook weggegooid nu :-( Ook in dat licht vind ik het een vreemde beslissing van de devs om er nu mee te stoppen, dat hadden ze dan moeten doen voor de IndieGoGo campagne afgelopen was :S

De eerste fase van de audit was al klaar en er waren geen ernstige fouten gevonden, de tweede fase was nog niet begonnen.

Het mooie is wel dat door de audit er een stuk meer mensen zijn die de code begrijpen dus hopelijk gaat iemand anders er mee door.

Edit: Trouwens, die campagne heeft wel dit in hun laatste update staan (van gisteren nota bene!):
p.s. We hope to have some *big* announcements this week, so stay tuned.
Dat is wel weer heel toevallig gezien de sluiting van Truecrypt die ook gisteren gebeurde. Maar ik denk niet dat het er mee te maken heeft, het is immers geen goed nieuws voor de backers van de campagne maar zo brengen ze dit wel. Dus ik denk dat het om wat anders gaat.

[Reactie gewijzigd door GekkePrutser op 29 mei 2014 16:02]

Matthew Green (een van de security auditors) denkt dat het legit is.

bron
Het lijkt enorm veel (nutteloze?) moeite om iemand te hacken/defacen... Broncode veranderen, nieuwe binaries uploaden en etc... Het lijkt erop alsof ze daadwerkelijk gestopt zijn.

[Reactie gewijzigd door NicoJuicy op 29 mei 2014 02:22]

Druk van gov, en opeens een CIA toegankelijk bedrijf als advies? Mes in de rug noemen we dat :)
Na mijn onderzoek zijn er verdachte DNS records gevonden op truecrypt.org
Ook wordt er gekoppeld aan layeredtech.com, een instantie die hosting faciliteert voor Overheidsinstanties.

Bron: http://mischavangeelen.nl/report.html

Meer informatie binnenkort

[Reactie gewijzigd door RickGeex op 29 mei 2014 16:54]

Je vindt dat truecrypt.org gehost is bij een bedrijf dat naast vele andere diensten ook voor de overheid werkt. Dat is toch wel erg weinig aanwijzing om iets te vermoeden.
Ook vind je in je data niet een nieuw IP wat heel toevallig het omgekeerde is van het IP van truecrypt.org, maar simpelweg een andere schrijfwijze van het IP van truecrypt.org (zoals gebruikelijk is bij in-addr entries).
Het is een feit dat het omgekeerde ip adres herleidbaar is aan een ip in de UK
Ook is het niet gebruikelijk dat een ip omgekeerd.

Het is overigens zo dat de website excecluded is van The Wayback Machine dus er wordt geprobeert data te verwijderen die te maken heeft TrueCrypt
Ja elk ip omgekeerd is een ander ip. Dat zegt niet zo veel.
Het is juist heel gebruikelijk dat het ip in de in-addr entries omgekeerd staat opgeschreven.
De website heeft nooit op The Wayback Machine gestaan. Webmasters kunnen vragen om hun website niet te laten tracken, wat geen gek idee is als je een programma maakt met beveiliging hoog in het vaandel.
Over het in-addr geef ik je gelijk, even opgezocht en klopt inderdaad "was niet volledig ingelicht".

En over TheWayBack machine, alleen truecrypt.org is excecluded en truecrypt.com niet. Vandaar de theorie.
In 2009 zat truecrypt.org ook al bij layeredtech volgens DNSHistory, dus ik denk niet dat dat het is.
Dat zou dus kunnen betekenen dat het TrueCrypt project dus al langer onder beheer was van de US Goverment

EDIT: het ip van DNSHistory: "72.36.226.2" komt niet overeen met het huidige ip: "72.233.34.82"

[Reactie gewijzigd door RickGeex op 29 mei 2014 17:45]

ik krijg een hele andere:


http://whois.domaintools.com/truecrypt.org

gehost bij
networksolutions.com
die dat inkopen bij
web.com
die weer bij register.com zitten


"TrueCrypt Developers Association, LC"????


lapje:

Domain Name:TRUECRYPT.ORG
Domain ID: D102925909-LROR
Creation Date: 2003-11-22T14:18:12Z
Updated Date: 2013-11-22T14:35:35Z
Registry Expiry Date: 2023-11-22T14:18:12Z
Sponsoring Registrar:Network Solutions, LLC (R63-LROR)
Sponsoring Registrar IANA ID: 2
WHOIS Server:
Referral URL:
Domain Status: clientTransferProhibited
Registrant ID:44111693-NSIV
Registrant Name:TrueCrypt Developers Association, LC
Registrant Organization:TrueCrypt Developers Association, LC
Registrant Street: ATTN insert domain name here
Registrant City:Drums
Registrant State/Province:PA
Registrant Postal Code:18222
Registrant Country:US
Registrant Phone:+1.5707088780
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email:
Admin ID:44111693-NSIV
Admin Name:TrueCrypt Developers Association, LC
Admin Organization:TrueCrypt Developers Association, LC
Admin Street: ATTN insert domain name here
Admin City:Drums
Admin State/Province:PA
Admin Postal Code:18222
Admin Country:US
Admin Phone:+1.5707088780
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email:
Tech ID:44111693-NSIV
Tech Name:TrueCrypt Developers Association, LC
Tech Organization:TrueCrypt Developers Association, LC
Tech Street: ATTN insert domain name here
Tech City:Drums
Tech State/Province:PA
Tech Postal Code:18222
Tech Country:US
Tech Phone:+1.5707088780
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email:
Name Server:NS1.TRUECRYPT.ORG
Name Server:NS2.TRUECRYPT.ORG

[Reactie gewijzigd door netforce2020 op 29 mei 2014 21:32]

In mijn ogen is het overduidelijk wat er gebeurt is. De TrueCrypt software ontwikkelaars zijn anoniem maar voor de Amerikaanse overheidsdiensten zal het wel niet zo heel erg moeilijk geweest zijn om daar door heen te breken. Waarschijnlijk hebben de ontwikkelaars een NSL gekregen, vergelijkbaar wat met Lavabit is gebeurd. En ook een verbod om openbaar te maken wat er precies aan de hand is.

Het lijkt er dus op dat de amerikaanse overheid genoeg heeft van TrueCrypt en het gebruik ervan en hun best doen om te verhinderen dat hun diensten het in de toekomst nog vaak tegenkomen.

Vermits er geen backdoor in de source is gevonden en vermits de laatste binaries (voor de soundforge pagina deze boodschap door gat) ook overeenkomen met de source is TrueCrypt waarschijnlijk veilig en zitten er geen backdoor in.

Dit betekent dat kundig gebruik van TrueCrypt er toe lijd dat de NSA (en andere cryptodiensten) buitengesloten word. Dit wil de NSA voorkomen en daarom deze actie. Het zal de nodige verwarring schepen en uiteindelijk er toe leiden dat sommige TrueCrypt gebruikers misschien nieuwe versies downloaden die wel een backdoor hebben en andere gebruikers overschakelen naar alternatieve software waar de nsa misschien minder moeite meer heeft. Van bitlocker is geweten dat de FBI samenwerkt met Microsoft en daarbij is het nog closets source ook. Alleen open source is veilig voor alles wat met crypto te maken heeft en de ogen van vele mensen waren op truecrypt gericht. Nu valt dat weg en dat zal het werk van de nsa makkelijker maken.

De sleutels waarmee de software tot nu toe ondertekend was is niet meer veilig en de ontwikkelaars mogen van de NSA niet meer verder ontwikkelen.

Op het internet zullen er wel handleidingen komen waar je SHA256 hashes van de veilige binaires kunt vinden samen met de gebruikte source code.

Het enige waar nog op gecontroleerd moet worden zijn de gebruikte compilers. Een backdoor in de binary van een compiler kan er toe leiden dat je een backdoor krijgt in je eigen gecompileerde binary terwijl je source de backdoor niet heeft.

Ik kan iedereen aanraden om steeds meer gebruik te maken van TOR en TrueCrypt en alleen nog maar te werken met opensource besturingssystemen. Instant messaging systemen gebaseerd en gelinkt aan de technologie van bitcoin zit er ook aan te komen.

Niet omdat je iets te verbergen hebt maar gewoon om die klootzakken van de NSA een hak te zetten .... en omdat het gewoon een goed gevoel is als je weet dat het niet zo gemakkelijk meer is voor hun om mee te lezen.

De enige manier om big brother te stoppen is door big brother blind te maken door het gebruik van technologie. En al dan niet helemaal blind ... als de kosten van massa surveillance genoeg omhoog gaan dan houdt het ook op.

Da's de enige manier want ook voor de NSA geld het credo: Omdat het kan.

Alleen door het toenemen van het gebruik van cryptografische software op grote schaal in de wereld "kan het niet meer".

En als we willen dat het gebruik meer en meer toeneemt dan moeten we zelf ook beginnen.

Een cryptografische wereld begint bij 67139517ce94169680c0bcea05569942ff8e3b7568f696ba90479a5dd204f10e

[Reactie gewijzigd door Kain_niaK op 29 mei 2014 21:55]

Allemaal leuk en aardig die theorieën over NSA en NSLs en dat soort grappen, maar dan moet er wel iemand in de VS zitten die ze kunnen pakken... Ik kom op erg veel plaatsen tegen dat die onbekende ontwikkelaar vermoedelijk in Europa zit (alle executables zijn gecompiled op een machine die op UTC+1 staat ingesteld).

Het zou me niet verbazen als de ontwikkelaar(s?) enigszins paranoïde is (we hebben het over iemand die software schrijft met ondersteuning voor hidden volumes en plausible deniability). Is het niet mogelijk (aan "waarschijnlijk" waag ik me niet), dat dit een fail-safe / dead man's switch is? "Als niet elke zoveel tijd (24 uur?) iemand op een knop drukt wordt TC automatisch "opgeblazen" om misbruik te voorkomen."
Of dat systeem heeft gewerkt zoals bedoeld (ontwikkelaar onder druk gezet door een geheime dienst, hij logt niet in, *poef*, het plan om TC te hacken en misbruiken is verijdeld), per ongeluk is afgegaan (ontwikkelaar ongelukkig gevallen en ligt nu in ziekenhuis) of dat er iets ontzettend knulligs is gebeurd (ontwikkelaar had gisteravond een erg gezellig feestje, ligt met een kater in bed, maar als ie zometeen opstaat en ziet wat er gebeurd is dan voelt ie zich pas echt slecht), dat is (nog) niet te zeggen.
Ik geloof ook niet in NSA theorieën. Want als ik de NSA was geweest had ik het project juist doorgang laten vinden om de mensen schijnveiligheid te geven (een instelling die alle telefoongesprekken ter wereld kan afluisteren en scannen, die een groot deel van het internet real time kan aftappen, kan ook zeker al lang Truecrypt kraken (ik denk dat Digital Fortress van Dan Brown niet ver van de waarheid zit)).
Een kill switch is echter wat overdreven voor een encryptie tool en nogal zinloos (ik heb hier nog een oude installatie file staan, en die hebben velen).
Geen zin meer en er gewoon mee opgehouden zijn is de meest waarschijnlijke theorie.
Ja niks NSA voor dit soort kindersoftware.

Het zjin altijd bedrijven die paar whizzkids een baan aanbieden of ergens belang bij hebben, die voor dit soort toestanden zorgen.
Ja niks NSA voor dit soort kindersoftware.

Het zjin altijd bedrijven die paar whizzkids een baan aanbieden of ergens belang bij hebben, die voor dit soort toestanden zorgen.
De nsa bestaat voor 99% uit Amerikaanse bedrijven...
Sowieso een hoog alu hoedjes gehalte in dit draadje, maar jouw post is toch wel het summum: 'In mijn ogen is het overduidelijk wat er gebeurt is' om vervolgens enorm te beginnen met speculeren.
Je gebruikt in de volgende zinnen veelvuldig termen als 'waarschijnlijk', 'zal wel' 'lijkt erop' om in de volgende alinea gewoon doodleuk een harde conclusie te trekken: 'dat betekent dat'

Analytisch gezien niet erg verantwoord, ik geef het je maar mee, dan slaap je misschien ook beter.
De enige harde conclusie die ik uit de beschikbare informatie kan halen, is dat het volstrekt onduidelijk is waarom er ineens op de website van Truecrypt staat dat ze afraden de software te gebruiken en dat de ontwikkeling ervan beëindigd is. Overigens viel me kort geleden nog op dat de laatste stabiele versie alweer uit 2012 stamt. Het kan dus best gewoon zo zijn dat (dit is een speculatie) er gewoon geen resources beschikbaar zijn om door te ontwikkelen.

Speculeren is leuk en het onderwerp vraagt er ook om, maar alsjeblieft, benoem het dan ook zo. De veiligheidsdiensten erbij halen als boeman is leuk en spannend, en ze doen ongetwijfeld van alles wat niet door de beugel kan, en waar wij geen weet van hebben, maar dat is dan ook gewoon hun taak, daarom worden ze ook wel eens 'geheime diensten' genoemd. In een perfecte wereld is dat natuurlijk niet nodig, maar daar leven wij niet in. En ik durf me best te wagen aan een laatste speculatie: die gaat er de komende 200 jaar ook niet komen.

Ik hoop dat er meer info over deze zaak beschikbaar komt, vooralsnog wacht ik even af.

*edit: in de eerste zin 'artikel' vervangen door 'draadje'

[Reactie gewijzigd door eyefly op 29 mei 2014 07:32]

Je bent Kain-Niak nogal de les aan het lezen, maar daarbij ben je niet echt zuiver bezig.
Je verwijt is namelijk onnodig. Iedereen ziet en begrijpt dat Kain-Niak hier aan het speculeren is. We kunnen in dit geval niet anders en bovendien begint hij met "in mijn ogen". Dat zou jou vanuit je zo goed ontwikkelde 'analytisch oogpunt' toch een aanwijzing kunnen geven dat wat volgt niet wordt geponeerd als absolute waarheid.

Verder geeft hij gewoon zijn mening en dat is, ofschoon ik hem niet overal onderschrijf, een (in mijn ogen) betere dan die van jou wanneer je stelt dat het de taak is van inlichtingendiensten om dingen te doen die niet door de beugel kunnen.
Ik weet niet in welke dictatuur jij bent opgegroeid (mijn speculatie), maar in het vrije, democratische Westen behoort dat absoluut niet tot het takenpakket van een geheime dienst. Juist de hele ophef over het feit dat er geheime diensten in de democratische landen die op zo'n grote schaal de Wet overtreden toont dit toch al aan.

Je voorspelling is ook nogal flauw en een drogreden. Natuurlijk ontstaat er nooit een perfecte wereld, al was het maar vanwege het feit dat ieders idee van perfectie anders is. Dat wil nog niet zeggen dat we dus maar moeten toestaan dat er een organisatie uit een ver land vanuit hun misplaatste idee van perfectie, zich meent boven de Wet en onze democratische grond rechten te mogen stellen en ons ongecontroleerd, stiekem en onophoudelijk afluistert, surveilleert, en in de toekomst (mijn voorspelling) controleert.
(inmiddels zwaar off-topic)
Ik zal niet ingaan op je kritiek op mijn stukje; dat is jouw persoonlijke mening, en daar heb je recht op. We verschillen gewoon van mening daar. Maar 'het vrije democratische Westen' afschilderen als paradijs waar de veiligheidsdiensten zich allemaal netjes aan de regels houden 'omdat dat absoluut niet tot hun takenpakket behoort', dat is in mijn ogen een beetje naïef gedacht. En ook vrijheid is een heel relatief begrip. In de USA betekent dat o.a: de vrijheid om een vuurwapen te dragen en je daarmee te verdedigen, of (tot voor kort) de vrijheid om je al dan niet te verzekeren voor zorg . In andere landen: het recht om een huis te bouwen en zelf te bepalen welke kleur het krijgt zonder overheidsbemoeienis. Zomaar twee voorbeelden van vrijheden die ingeperkt zijn in NL om het algemeen belang te dienen. En zo kunnen bepaalde gedragingen van veiligheidsdiensten ook uitgelegd worden. (trouwens niet door mij) Het is allemaal een kwestie van perspectief. En waar ik ben opgegroeid gaat je weliswaar niet aan, maar ja, ik heb ook op andere plekken dan in Nederland gewoond en kan misschien daardoor wat beter uit de doos kijken.
Klopt, er word heel veel verwarring geschapen en dat ondermijnt het vertrouwen (trust) van het project. Op internet zie ik al veel mensen oproepen om TrueCrypt niet meer te gebruiken. Als de oorspronkelijke ontwikkelaars zelf een backdoor of zwakte hebben gevonden in Hun eigen software dan waarom deze vreemde update van de soundforge pagina? De nieuwe binarie is ondertekent met een vertrouwde sleutel dus dat geeft aan dat dit inderdaad van de ontwikkelaars komt. Het voelt aan alsof die gechanteerd worden. Het zou verklaren waarom er nu zoveel verwarring is. TrueCrypt stond altijd hoog aan geschreven en het lijkt me plausibel dat de nsa er grote moeite mee had. Ook het feit dat Snowden nog leeft en wikileaks nog bestaat geeft aan dat die dead hand switch TrueCrypt containers van wikileaks (staan op public torrent trackers) veiling zijn en de NSA geen idee heeft welke vuile was er in zit en of de data überhaupt een gevaar voor de huidige administratie van de USA is. Anders hadden Assange en Snowden al wel een ongelukkig auto ongeluk gekregen maar nu kunnen ze dat risico niet nenen want als de sleutels van die containers als vergelding openbaar gemaakt worden dan ligt alle data op staat. Hoe meer mensen ze naar anders software kunnen afschrikken hoe beter. Ik blijf gewoon de binarie gebruiken die gecontroleerd is en dezelfde binarie is wanneer je hem zelf compiled. Met de source code die door de audit is gekomen. Na die audit wist iedereen in de wereld dat de enige crypto software voor disk versleuteling die veilig is is TrueCrypt is. Er bestaat andere maar die is niet zo gebruiksvriendelijk en beschikbaar op de drie grote operating systems. Dat zou dus lijden tot nog meer TrueCrypt gebruikers en dat wil de nsa absoluut niet. Dit drama op dit moment in tijd is dan ook uiterst verdacht. Dat is althans mijn mening en het staat iedereen vrij om te geloven dat de nsa en hun vriendjes allemaal goede jongens zijn maar na 2 jaar Snowden onthullingen is het mijn goed recht om je dan heel erg naïef te vinden. Dat heeft voor de rest ook niks met aluhoedjes te maken maar meer met logisch nadenken. Voorkomen is beter dan genezen en dat beseffen ze bij de nsa ook. Mocht het jou job zijn om alle communicatie op internet en op elke stukje storage opslag te kunnen lezen. Zou je dan niet proberen te voorkomen dat je ooit moet bruteforcen met teveel mogelijkheden? Der zit notabene een backdoor in de elliptische curve methode die de nsa al jaren iedereen aanraad als standaard ...

[Reactie gewijzigd door Kain_niaK op 29 mei 2014 22:16]

Lekker dan, de veiligheidsdiensten geven geen enkele openheid. Dat moet je je eigen conclusies wel trekken op basis van speculatie en geruchten. Wat is het alternatief ? Een gezellig digitaal schaapje worden op weg naar de digitale slachtbank ?
Wat is het alternatief ?
Ik denk dat het beter is om je gewoon van de domme te houden. Als veiligheidsdiensten niet vertellen dat ze erachter zitten, dan zitten ze er wat mij betreft gewoon niet achter en dan is het hopen dat iemand een fork maakt of een ander programma omdat de developers van TrueCrypt er geen zin meer in hadden ofzo. Het laatste wat we moeten doen is bang worden van diensten als de NSA of de Nederlandse variant daarvan.

Als zij zich van de domme houden, dan kunnen wij dat toch ook.
Raar dat er nog niemand op een irc kanaal van TrueCrypt heeft gekeken. Daar staat:

"Site is potentially compromised so please exercise due diligence before downloading and installing | For now, we don't know any more than you do."

Dat TrueCrypt EOL zou zijn is wel een heel vroegtijdige conclusie. Het lijkt erop dat er wat onenigheid is tussen de developers of dat de site is gehackt.
Het is geen officieel kanaal. Zoals het topic al zegt "For now, we don't know any more than you do." De info uit het IRC kanaal is net zo veel waard als de speculatie hier.
Afwachten dan maar.
Wat ik in bovenstaande niet genoemd zie, is een de mogelijkheid dat een van de ontwikkelaars of een serverbeheerder de in het artikel genoemde signing key heeft moeten afgeven. Daar is geen bedreiging oid voor nodig, en er is eerder sprake van dit soort situaties geweest. Ik herinner me het verhaal van iemand die de sleutel overhandigde, afgedrukt op papier, in een uiterst klein font.

De NSA heeft in Nederland betrekkelijk weinig invloed. Een RC/OvJ zou een huiszoekingsbevel kunnen uiitschrijven, en daarmee je software incl. signing key in beslag nemen. In Belgie is een bevel van een onderzoeksrechter vereist. Dat zullen ze niet zo maar doen. Er moet een redelijke verdenking zijn.

Er zijn hier een aantal duidelijk tegengestelde belangen:
- politie en justitie willen misdaad (drugsfabricage en handel, witwassen) bestrijden
- genoemde misdaad gebruikt graag encryptie, tor etc om onafluisterbaar te communiceren
- bedrijven hebben bedrijfsgeheimen die ze voor andere bedrijven verborgen willen houden
- burgers willen hun privezaken ook graag prive houden, en hebben geen behoefte dat elke veiligheidsambtenaar zomaar bij bijvoorbeeld hun digid en wachtwoord kan, of toegang heeft tot hun bankrekening gegevens en bijbehorende wachtwoorden.
Burgers en bedrijven zijn in deze natuurlijke bondgenoten.

Software in Europa is m.i. vanwege de 'patriot act' inherent veiliger dan die in de states. Eigenlijk zouden daarom alle security software bedrijven vanuit de states naar europa moeten migreren. Vanwege de werknemers is dat voor hen niet haalbaar.
Uiteindelijk verwacht ik dat de europese bedrijven vanwege hun bedrijfsbelangen zullen kiezen voor niet-amerikaanse software, waarmee de USA zichzelf met de patriot act in de vingers snijdt. Je ziet nu al dat overheden zich afkeren van amerikaanse cloud providers.
"Je ziet nu al dat overheden zich afkeren van amerikaanse cloud providers."
Uhm, bron?

Ik kan niet zo heel goed beoordelen wat overheden doen, maar de grootste cloud providers zijn allemaal amerikaans. Ik kan zelf niet of nauwelijks een niet-amerikaans alternatief noemen, dus ik denk dat het heel erg tegen valt met jouw claim.

Het is wel waar 'analysten' in amerika bang voor zijn, maar het is m.i. verre van werkelijkheid.

[Reactie gewijzigd door Martao op 29 mei 2014 10:35]

"Je ziet nu al dat overheden zich afkeren van amerikaanse cloud providers."
"Uhm, bron?"
Zie een link hierboven met betrekking tot Duitse overheidsinstanties.

" Ik kan zelf niet of nauwelijks een niet-amerikaans alternatief noemen, dus ik denk dat het heel erg tegen valt met jouw claim."

Ahum, OVH? --> Frankrijk
En als het enkel over online storage diensten zoals Dropbox gaat, maar dan met encryptie --> Mega (Nieuw Zeeland)

En ook in Nederland zelf zitten (weliswaar kleine) datacenters voornamelijk rond Schiphol en Almere. Laten bedrijven/instellingen die gevoelige data hebben daar nu juist zitten. Of ze hebben het in eigen datacenters (voor sommige banken is dit bv het geval)

[Reactie gewijzigd door edcetera op 29 mei 2014 12:38]

Kleine datacenters heeft weinig met cloud te maken. Althans, dat willen ze voor marketing doeleinden natuurlijk graag wel, maar het is maar een zeer beperkte toepassing. Hetzelfde geldt voor kleine cloud storage diensten.

Uiteraard wordt sensitieve informatie gewoon in je eigen datacentrum opgeslagen. Dat is alleen maar logisch. Maar voor doeleinden waar je een schaalbare workload hebt (bv. webserver, database én storage), daar zijn cloud oplossingen gewoon heel nuttig. En in die markt ken ik eigenlijk geen europese spelers van enig formaat!?
Kleine datacenters heeft weinig met cloud te maken.
Oh? Is cloud dan meer dan alleen een hele wazige marketing term?? Nee.

Als het op internet staat, is het onderdeel van de cloud. Je hebt een hele berg verschillende clouds. Die van Google, Apple, Microsoft en Amazon bijvoorbeeld. Maar ook hier in Nederland hebben we genoeg uitstekende cloud aanbieders. Ze doen alleen allemaal wat anders. Maar het is en blijft cloud.
Dat is precies wat de iedereen graag wil, er bij horen. Echter, Cloud computing betekent alleen meer dan alleen "het staat op het internet".

Het belangrijkste aspect wat vaak vergeten wordt is de mogelijkheid om snel te kunnen schalen (zowel opschalen als weer terug).
De reden dat je een opslagdienst met een datacenter in Nederland kiest, is gewoon om de snelheid. Want als je het goed doet, encrypt je de boel toch wel, waardoor het geen zak uitmaakt waar fysiek je data is. Maar een Nederlandse server is in Nederland gewoon het snelst. Simple as that.
"Je ziet nu al dat overheden zich afkeren van amerikaanse cloud providers."
Uhm, bron?

zie bijvoorbeeld
http://www.automatisering...-en-wetransfer-te-slim-af
(inloggen is nodig om het hele verhaal te lezen). Zij kozen bewust voor mSafe van motiv in Ijsselsteijn. Volgens het artikel geldt voor overhedeen "dat bepaalde gegevens niet mogen worden opgeslagen op een server buiten Europa". Welke regel dat is: daar heb ik geen referentie van.
Het is een geluid wat ik in overheidskringen wel vaker hoor. In het algemeen leeft er zowel bij IT-ers als bij IT-management wel een bewustzijn dat overheidsgegevens niet buiten Europa dienen te worden opgeslagen.

En er beginnen europese bedrijven voorzichtig op in te spelen, bijvoorbeeld naast motiv
http://www.nl.capgemini.com/cloud-services/clair
(van mijn werkgever, dus daar ben ik niet neutraal over)

Even nagekomen toevoeging:
Een europees datacentrum is op zich ws nog niet voldoende, zie bijvoorbeeld dit

[Reactie gewijzigd door Teun Spaans op 29 mei 2014 16:14]

Dit is dus precies wat ik zelf al zei: Bepaalde data sla je op op je eigen infrastructuur. En dat geldt zowel voor overheden als bedrijven. Maar dat is geen 'afkeren van amerikaanse cloud providers'. Dat was data die nooit opgeslagen werd in de cloud en dus ook in de toekomst niet.
Als we effen de NSA piste volgen, dan is de NSA met de signing key helemaal niets. De signing key garandeert enkel dat de software komt van wie er beweerd wordt dat ze komt. Dus hooguit zou NSA zich dan kunnen voordoen als de makers van TrueCrypt en gemodificeerde binaries mét backdoor kunnen verspreiden.

Dat zou er echter niemand van weerhouden van nog wél de 'officiële' TrueCrypt te gebruiken en dus containers te maken die voor NSA niet te kraken zijn. Het feit dat alle oude code en binaries verdwenen is, suggereert toch echt wel dat er meer aan de hand is dan dat ze de signing keys hebben moeten overhandigen.
Net een mijn rapport geupdate met een mogelijke backdoor die zogenaamd voor debug doeleinden zou worden gebruikt. Check it out: http://www.mischavangeelen.nl/report.html
Ach, het is open source, dus verwacht ik binnenkort wel een fork onder een iets andere naam. Met enig zoeken zijn er ook nog genoeg oudere versies te vinden. Dus als je het wilt blijven gebruiken, niets let je.

Bijvoorbeeld:
http://www.liberkey.com/apps/src/?app=TrueCrypt
http://www.softpedia.com/...rypt-Download-100194.html
Opgezet en gefinancierd door de veiligheidsdiensten...

Juist met zo'n gat moet je enorm oppassen. Als je niet kritisch bent en zo overstapt op een "nieuw" iets loop je de kans dat je in een enorme valkuil dondert. Je kan er zeker van zijn dat er straks forks en nieuwe varianten uit de grond springen die doodleuk alle gegevens aan de makers doorsturen, of waar ze volledige toegang toe hebben of kunnen krijgen.

Truecrypt heeft er ook heel lang over gedaan om zo groot te worden. Alle onnatuurlijke groei in software gebruik is imho eigenlijk een groot gevaar.
Denk bijvoorbeeld aan toen facebook whatsapp overnam. Ik zag binnen een paar uur tientallen mensen in ene tientallen mensen op Telegram verschijnen. Ze willen een alternatief voor whatsapp omdat ze zich zorgen maken om hun privacy, maar vinden kennelijk dat ze in 1-2 uurtjes genoeg info hebben verzameld om de overstap naar Telegram te maken waar ze niets van weten.

Nu is dat voor de meeste mensen geen heel belangrijke software. Maar als het gaat om een truecrypt vervanger hoop ik toch dat mensen wel wat verder kijken en zich er meer in verdiepen dan: "Ik pak gewoon het eerste beste dat op mn pad komt"

[Reactie gewijzigd door VNA9216 op 29 mei 2014 12:32]

Ach, het is open source
Nou, ja.. het is 'open source' in dat de broncode gewoon in te zien was, maar het was nooit Open Source™ - waardoor een fork wellicht ook niet zo 1-2-3 iets is dat gedaan kan (lees: mag) worden.
Laten we hopen dat geen enkele advocaat of rechter de volgende redenatie ooit ziet, maar practisch gesproken: de enige persoon die je iets kan maken als je zonder toestemming forkt is de oorspronkelijke eigenaar. Als ie er inderdaad mee stopt vanwege Lavabits-achtige problemen dan zal ie een fork (gerund buiten de VS) alleen maar toejuichen (al zal ie dat waarschijnlijk niet openlijk kunnen zeggen). Dat ie juridisch gezien het recht heeft om de nieuwe "eigenaar" aan te klagen is feitelijk niet relevant als ie, om welke reden dan ook, besluit dat er geen reden is om dat te doen.

Blijft het probleem... hoe weten we dat een nieuwe developer zijn salaris niet van de NSA ontvangt...!?
Blijft het probleem... hoe weten we dat een nieuwe developer zijn salaris niet van de NSA ontvangt...!?
Je kan de code natuurlijk blijven auditen.

En ja, je hebt natuurlijk wel helemaal gelijk - echter blijft het punt dat het niet zomaar te forken is naar zegge een project met een daadwerkelijke Open Source™ licentie - of dat nou BSD of GPL of wat dan ook is.

Er zijn gelukkig wel anternatieve applicaties die ook met TrueImage containers om kunnen gaan - alleen (volgens mij) nog niet zo soepel/multiplatform.

Maar goed, met TrueImage aan de kant zal het vast niet lang duren voordat er een open alternatief komt.
Iets wat ik vreemd vind is, dat als er TrueCrypt daadwerkelijk onveilig is, niet wordt vermeld wat de zwakke plek is. Dan zou iedereen weten wat er fout is, kan de fout hersteld worden, enz. De normale gang van zaken. Dit geeft toch wel rede om te vermoeden dat er meer aan de hand is.

edit: Zoals EvilWhiteDragon zegt, iedereen zou het lek actief kunnen gaan misbruiken.

[Reactie gewijzigd door RdeGroot op 29 mei 2014 02:41]

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
Dit kun je ook lezen als een bericht dat geschreven is voor "de toekomst". MS zou in feite, de dag na het beëindigen van support, precies hetzelfde kunnen zeggen over XP: op het moment dat je het schrijft is er misschien nog geen lek bekend, maar als je weet dat je geen nieuwe versie meer uit gaan brengen en die website tot in lengte der dagen online wilt laten staan (zonder er nog naar om te hoeven kijken), dan is "(when you read this, whenever that may be) TrueCrypt may contain unfixed issues" precies de correcte verwoording.

Wat niet wil zeggen dat jij ongelijk hebt, ik wil alleen een alternatief voorstellen; geen idee hoe we erachter kunnen komen wie gelijk heeft.
Die disclaimer kun je bij vrijwel alle software plaatsen. Immers, het is ontworpen door mensen.

Bovendien is XP niet bepaald het beste voorbeeld. In 2011 waarschuwde de NSA voor structurele beveiligingslekken in XP (blijven bestaan na hardening), zie nsa.gov/.../Best_practices_datasheet.pdf.
Dat is natuurlijk wel een extra reden om te denken dat de zwakke plek niet van technische aard is. Van de andere kant kan het ook een zo fundamenteel probleem zijn dat het praktisch niet mogelijk is dat binnen de bestaande software op te lossen maar willen ze gebruikers nog een kans/voorsprong geven naar een ander platform over te stappen.
Jammer. Ik heb altijd een handig programma gevonden, het deed precise wat het moest doen. Gebruikersvriendelijk. Na de audit was ik helemaal overtuigd, maar nu dit... Jammer.

Dit zal de geruchten rondom TrueCrypt natuurlijk weer laten oplaaien. Is het wel nog veilig om oudere versies te gebruiken, zoals de versie die geaudit is? Het lijkt me van wel, toch?
Niemand die kan garanderen dat oudere versies niet voorzien zijn van backdoors of andere toevoegingen die er niet in zouden moeten zitten. Ook die audit is geen garantie uiteraard.

Daarnaast is het ook van belang om te weten wanneer er op hun systeem ingebroken is (als dat te achterhalen is), want misschien hadden kwaadwillenden al veel langer toegang tot hun systeem en hadden zodoende de mogelijkheid om allerlei zaken toe te voegen aan de releases.

Maar goed, niemand weet op moment van schrijven wat er precies aan de hand is. De groep mensen achter TrueCrypt was sowieso redelijk anoniem, dus het verhaal is op dit moment vrij lastig te verifiëren.

[Reactie gewijzigd door Fixer op 29 mei 2014 02:22]

Er zijn in principe twee grote problemen waarom die audit niet waterdicht is:
  • Ook een audit kan bugs / backdoors over het hoofd zien; daar is in feite niks tegen te doen
  • Hoe weet je dat de installer die je downloadt gecompileert is van exact dezelfde source die door de audit gehaald is; dat probleem lijkt te zijn opgelost: https://madiba.encs.conco...ecrypt-binaries-analysis/
En ja, derde probleem: hoe weet je dat de gebruikte compiler "schoon" is... Ze gebruiken MVS, die je niet zelf kunt compilen en waar de hele wereld in feite dezelfde kopie gebruikt (de build die officieel door MS beschikbaar is gesteld). Het is mogelijk dat de NSA MS heeft opgedragen / omgekocht / gehacked om te detecteren of ie TrueCrypt aan het compilen is, en zo ja, automatisch een backdoor erin te plakken.
Een jaar geleden zou ik hier alu-hoedje tags omheen gezet hebben, nu weet ik echt niet meer hoe ik die kans in moet schatten (ik weet alleen dat het technisch mogelijk zou zijn en vermoedelijk aanzienlijk minder werk dan, om maar iets te zeggen, Stuxnet bouwen).

[Reactie gewijzigd door robvanwijk op 29 mei 2014 03:42]

Wat nog aparter is, is dat men software van MS bitlocker als alternatief geeft.
Dat is opzich wel grappig. Want TrueCrypt werkt niet op moderne computers, simpelweg omdat het geen UEFI ondersteunt. Bitlocker werkt daarentegen wel op moderne computers.

Wel vreemd. UEFI is al 5 jaar de standaard en TrueCrypt heeft er niets mee gedaan. Voor m'n gevoel is er al 5 jaar niets met de website gedaan en voor m'n gevoel stond de ontwikkeling van Truecrypt ook stil. Het is net alsof ze er gewoon geen zin in hadden :P

[Reactie gewijzigd door Trommelrem op 29 mei 2014 10:59]

Dit is wat daarover op slashdot wordt geschreven. Of het waar is...
[...] What you have to understand is that truecrypt has added very little functionality for a very long time. In particular they seem to have lost the key developers who did the code in the boot sectors. For those who don't know, along time ago the program was to big to fit into the boot sectors, and a special deflate algorithm was added to decompression the boot sector code. My code to unzip the boot program and edit its string display strings is still the same code from tc 5.0, and it still works on the latest edition. The guys who code this section appear to be long gone from the project, hence absolutely nothing done over UEFI. The changes that have occured look questionable, in that the people making them seem to have very limited assembly understanding and were hacking on bits instead of properly modifing the programs flow. Secondly getting TC to work with operating systems is extremely complicated, especially for windows. It was micorosoft who eventually released the API's that were used to make truecrypt properly handle sleep/hibernate. These API's are not forthcoming to Win8 or beyond, and in all honesty - windows is the only market that matters. I am going to guess that one of the last known developers knows there is a bug that they can not longer believe they have the experience or skill to fix properly, and hence has decided to shut it down.
http://it.slashdot.org/co...?sid=5212985&cid=47115785
Comment op KrebsOnSecurity dat daarbij aansluit:
The iSec initial audit report was very critical of the TC code quality, and implied that it looks like the work of a single coder. There was no update for 2 years. The build process requires a 20 year old MS compiler, manually extracted from an exe installer.

Imagine yourself as the lead/solo developer working on TC. No one pays you for this, governments hate you, much of the crypto community is throwing rocks at you while your user community spends half of its time joining in with clueless paranoia and the other half whining about feature gaps (e.g. GPT boot disks.) You have to eat, so you have a real paying job. You’re not so young any more (doing the TC crap for a decade) and maybe the real job now includes responsibilities that crowd out side work. Or maybe you’ve got a family you love more than the whiny paranoids you encounter via TC. And now iSec is telling you your code is sloppy and unreadable, and that you should take on a buttload of mind-numbing work to pretty it up so they will have an easier time figuring out where some scotch-fueled coding session in 2005 ( or maybe something you inherited from a past developer) resulted in a gaping exploitable hole that everyone will end up calling a NSA backdoor.

Maybe you just toss it in. Why not? Anyone with a maintained OS has an integrated alternative and as imperfect as they may be, they are better than TC for most users. Maintaining TC isn’t really doing much good for many people and the audit just pushed a giant steaming pile of the least interesting sort of maintenance into top priority. Seems like a fine time to drop it and be your kids’ soccer coach.
http://krebsonsecurity.co...nt-page-1/#comment-255908

Ik vind het aannemelijk klinken.
Dat comment bij krebsonsecurity was me ook al opgevallen. TrueCrypt was voor de huidige developer/maintainer(s) vooral liefdewerk oud papier waar men weinig voor terug kreeg.
Als iemand die van harte Open Source gebruikt, valt me al enige decennia op, hoe vaak wel niet lui wel niet open source gaan 'bouwen' met als doel om geld te verdienen.

Soms lukt dat als ze een project totaal weten te domineren. Maar project is vaak dan naar filistijnen.
Open source = Code is openbaar in te zien.

Open source hoeft niet gratis te zijn of onder een GPL-achtige licentie te vallen..
@MassIV en zelfs als dat wel zo is, zelfs GPL3 verbied het niet om geld te verdienen, door crowd funding, support, addon packages en meer...
zelfs GPL3 verbied het niet om geld te verdienen
Dat is heel aardig van Richard Stallman... |:(

Maar je kunt met de GPL aan alles geld verdienen behalve aan de software. En de GPL licentie gaat juist over de software.

Het is onzin. De GPL zit juridisch zo in elkaar dat het onmogelijk is om betaling te eisen voor het gebruik van GPL'ed code. Iedereen mag het gratis gebruiken, wijzigen en distribueren.

Ja, je kunt geld vragen(*) voor handleidingen, support, hosting, de download en whatever, maar NIET voor de software. Onmogelijk. De software is en blijft gratis.

Toon mij een voorbeeld van GPL licenced software die je niet gratis mag gebruiken. Die voorbeelden zijn er niet. Het kan niet.

*) 'geld vragen' in het nederlands betekent geld eisen. De bakker vraagt geen geld voor zijn brood, hij eist het. Letterlijk 'vragen' staat natuurlijk vrij...
Ja, je kunt geld vragen(*) voor handleidingen, support, hosting, de download en whatever, maar NIET voor de software. Onmogelijk. De software is en blijft gratis.
Onzin, er staat niets in de GPL dat verbiedt geld voor de software te vragen, alleen moet de source tegen een redelijke vergoeding (b.v. de kostprijs/verzending van een CD) beschikbaar gesteld worden. Dat betekent dat je best een eigen distro kan uitbrengen waar je ¤1000 voor vraagt, ondanks dat de source (praktisch) gratis is. Dat is precies wat Red Hat doet, ze stellen de source beschikbaar, maar vragen geld voor toegang tot hun binary repo's. Die toegang is met een overeenkomst beschermd, jij betaalt ervoor, als jij derden oneigenlijk toegang verschaft ben je aansprakelijk. Het staat iedereen vrij om de sources te hercompileren of verder te verspreiden, maar het staat RH ook vrij om dat zo moeilijk mogelijk te maken (en dat hebben ze vanwege Oracle ook gedaan door de source minder modulair te maken).

Nogmaals, naast de in de GPL gestelde verplichting zouden ze zelfs voor de source ook geld kunnen vragen, en deze aantrekkelijk maken door de door jou al aangehaalde support. Je kan natuurlijk zeggen OK, ik betaal niet voor de support, maar de GPL kan RH niet verplichten daarna jou als klant te ondersteunen, zij hebben aan hun verplichting met de gratis versie voldaan. Theoretisch zou dat aangevochten kunnen worden als koppelverkoop, maar in de praktijk maak je als eindgebruiker weinig kans met zoiets.

In bedrijfsomgevingen zullen de meeste managers puur uit risk management oogpunt (contracten, SLA's, juridisch aanspreekpunt in geval van problemen) maar al te graag betalen.
Onzin, er staat niets in de GPL dat verbiedt geld
Klopt. Ik zeg dat ook niet. De GPL maakt het alleen praktisch onmogelijk om geld te vragen voor de software.

Ik mag wellicht geen toegang tot Red Hats repo verlenen. Echter ik mag de compiled binaries gewoon verder verspreiden.

Nogmaals, wijs me een link aan van software die GPL licensed is en die je niet legaal gratis kunt gebruiken. Dat kan gewoon niet.
alleen moet de source tegen een redelijke vergoeding (b.v. de kostprijs/verzending van een CD) beschikbaar gesteld worden.
Dit is onjuist. De GPL dekt ook de binaries af. Niet alleen moet de source beschikbaar zijn, ook stelt de GPL expliciet dat de binaries verder verspreid mogen worden.

[Reactie gewijzigd door OddesE op 30 mei 2014 16:53]

Ik zeg dat ook niet.
Dat is letterlijk wat je zei: "je kunt geld vragen(*) voor [..] maar NIET voor de software. Onmogelijk." Het is dus niet alleen mogelijk, het wordt ook gedaan.
Echter ik mag de compiled binaries gewoon verder verspreiden.
Nee, dat mag je niet omdat de overeenkomst die je met RH hebt gesloten voor toegang tot hun repo's dat niet toestaat, en de GPL dat niet tegenspreekt. De RH binaries worden ook beschermd door merkrecht op het naam Red Hat. Je kan deze binaries hoe dan ook alleen verspreiden als je hercompileert van source zonder de beschermde merknamen, dat is ook toegestaan door Red Hat (en dat is precies wat CentOS doet).
Nogmaals, wijs me een link aan van software die GPL licensed is en die je niet legaal gratis kunt gebruiken.
GPL sectie 4: "You may charge any price or no price for each copy that you convey" - i.c.m. een overeenkomst voor toegang is er iemand aansprakelijk te stellen en kan mogelijk van heling sprake zijn als je als derde-derde b.v. gebruik maakt van die software, want de GPL zelf noemt "voor zover wettelijk toegestaan".

Je definitie van software zorgt ook nog steeds voor verwarring, lees wat "covered work" voor staat in de GPL (belangrijkste verschil hier is source vs. object code). Als we de twee (incorrect!) niet scheiden dan is Red Hat's "software" in de vorm van hun binaries niet zonder meer gratis te gebruiken.
Dit is onjuist. De GPL dekt ook de binaries af.
Heb je de GPL wel gelezen? Sectie 6: "You may convey a covered work in object code form [..] provided that you also convey the machine-readable Corresponding Source under the terms of this License, in one of these ways:" - "d) Convey the object code by offering access from a designated place (gratis or for a charge)"

Er staat dus letterlijk in de GPL dat je geld mag vragen voor de binaries en dat betekent een overeenkomst voor toegang die verdere versrpeiding uit kan sluiten, zoals bij Red Hat; de GPL verplicht alleen het beschikbaar stellen van de source zodat je zelf de binaries kan reproduceren. Minus enige nodige bewerking vanwege merkrecht natuurlijk (wat als je wil muggeziften ook tijd=geld kost).

Sterker nog, sectie d verder: "and offer equivalent access to the Corresponding Source in the same way through the same place at no further charge." - D.w.z. dat de aanbieder geld mag vragen voor toegang tot de binaries en geen extra mag vragen voor de source, maar omdat ze al geld vragen voor de binaries zou je kunnen argumenteren dat als je puur toegang zoekt tot de source je daar ook voor moet betalen (tot de eerstvolgende keer dat iemand die gratis beschikbaar stelt ten minste).

[Reactie gewijzigd door aTmosh op 1 juni 2014 12:44]

Ik vind dit een heel grijs gebied. Als je support contract een clausule bevat dat de leverancier ervoor zorgt dat hij de source constant onderhoudt en verbetert, zou je kunnen stellen dat je betaalt voor de source. Maar zoals ik al zei, dat is een extreem grijs gebied waar volgens mij al heel lang over gediscuteerd wordt. En het is een mijnenveld waar ik me verder niet in wil begeven.

De algehele consensus rond oss is echter wel, dat het *nooit* 'Free as in lunch/beer' is geweest, maar altijd 'Free, as in freedom'.

Het staat je dus zeker ook vrij om geld te vragen/eisen voor de broncode. Je kan alleen nooit de vrijheid van de gebruiker ervan beknotten. Hierdoor zal het wel vrij lastig worden om geld te vragen/eisen voor de broncode. Het zal dus inderdaad bijna altijd verpakt worden als support, hosting, enz.

Just my 2 cents...
dat is shared source. Bij open source mag je ook 'afgeleide werken' (forks dus) maken en verspreiden. Open source licenties verschillen vooral op het punt of het ook in closed-source software gebruikt mag worden. GPL staat dit niet toe, naar LGPL software mag gelinkt worden in closed source software, van de BSD- en MIT- licenties mag alles (enkel we copyright notice mag niet worden aangepast). De Apache Public License is afgeleid van de BSD licentie en heeft als extra toevoeging dat de naam Apache niet mag voorkomen in afgeleide werken.
Open source = Code is openbaar in te zien.

Open source hoeft niet gratis te zijn of onder een GPL-achtige licentie te vallen..
Tja dat zou misschien logischer zijn inderdaad. Maar het klopt niet wat je zegt.

Open Source is een licentievorm waarbij modificatie en (her)distributie van de code niet aan banden wordt gelegd. Open Source is geen beschermde term dus iedereen kan het gebruiken en zo invullen wat het voor hem betekent, maar er is wel concensus over. De Open Source Definitie heeft een aantal criteria waaraan een licentie moet voldoen om zichzelf Open Source te noemen. Per die definitie is Open Source *software* gratis. Free, as in free beer.

[Reactie gewijzigd door OddesE op 29 mei 2014 22:00]

Er zijn duizenden developers die voor hun werk aan open source code werken. De meeste Linux code wordt bv al tijden door developers gedaan die in dienst zijn van bedrijven, en ook een project als Webkit is voor vrijwel 100% commercieel.

Open source is een licensievorm, er zijn geen regels dat je niet betaald mag worden voor je werk.
Een jaar geleden zou ik hier alu-hoedje tags omheen gezet hebben
Het is dat je het zelf zegt. ;)

Hoewel je technisch natuurlijk gelijk hebt, denk ik dat een samenzwering op deze schaal niet te verbergen zou zijn. Een backdoor-generator in MVS lijkt me derhalve onwaarschijnlijk.

Ik kies ervoor om nog enig vertrouwen in de mensheid te hebben, om te voorkomen dat ik in een hutje op de hei ga wonen, omdat ik bang wordt voor mijn eigen schaduw.

Let op, ik zeg niet dat je geen gelijk hebt, ik hoop vooral dat je geen gelijk hebt en kies ervoor om te geloven dat je geen gelijk hebt.

[Reactie gewijzigd door 125509 op 30 mei 2014 10:25]

Ik vind het hoe dan ook vooral lefhebben dat ze Bitlocker aanprijzen. Dat Bitlocker goed is, is een feit, maar er zijn (vooral binnen de doelgroep die truecrypt gebruikt) veel figuren die niets van Bitlocker en Microsoft moeten hebben om ideologische redenen. Ik vind dat toch netjes van ze dat ze dat negeren en de overige gebruikers een gedegen advies voorschotelen.

Wel jammer dat er voor OSX en Linux nu geen levensvatbare alternatieven zijn met dezelfde impact en scope.

Of... zul je zien, is hun websiteje defaced en is er niets aan 't handje.
Ik vind het hoe dan ook vooral lefhebben dat ze Bitlocker aanprijzen. Dat Bitlocker goed is, is een feit, maar er zijn (vooral binnen de doelgroep die truecrypt gebruikt) veel figuren die niets van Bitlocker en Microsoft moeten hebben om ideologische redenen. Ik vind dat toch netjes van ze dat ze dat negeren en de overige gebruikers een gedegen advies voorschotelen.
Troll, right?

Microsoft is een groot, en belangrijker, Amerikaans bedrijf. Dat zou op zich nog niet het grootste probleem zijn, maar we kunnen de source niet controleren. En binaries controleren op backdoors of zwakheden.. Da's erg lastig.

Zo is het niet te controleren of er zwakheden zitten in de PRNG die BitLocker gebruikt. En gegeven wat we tot nu weten van de NSA is het verre van ondenkbaar dat daar zwakheden inzitten.

De consequentie daarvan zou kunnen zijn dat de NSA, met de specifieke kennis van zwakheden in de PRNG, alle BitLocker versleutelde data kan ontsleutelen in afzienbare tijd doordat het aantal mogelijke sleutels bijzonder te beperken is. Voor buitenstaanders die niet weten wat de zwakheid precies is blijft een bruteforce nog steeds te tijdrovend (als in, miljoenen jaren). Het lijkt dan veilig. Maar dat hoeft het niet te zijn.
Wel jammer dat er voor OSX en Linux nu geen levensvatbare alternatieven zijn met dezelfde impact en scope.
Onder Linux bestaat al heel lang eCryptfs. Nu heeft TrueCrypt wel een aantal mogelijkheden die eCryptfs niet heeft, maar het is niet zo dat er geen on-the-fly encryptie bestaat onder Linux.

Ook een hele partitie encrypten is geen probleem.
Of... zul je zien, is hun websiteje defaced en is er niets aan 't handje.
Gegeven de signed 7.2 versie is er wel iets meer aan het handje dan dat.

Ik heb een topic gemaakt hierover: TrueCrypt EOL, wat nu? daarin ook een link naar een archief met alle oude versies.

[Reactie gewijzigd door W3ird_N3rd op 29 mei 2014 07:45]

Voor een antwoord op de vraag uit je topic wat nu... misschien dat dit helpt:

https://en.wikipedia.org/..._disk_encryption_software

(heb het ook ff in het topic geplakt)
Quote uit je topic:
Met uitermate vreemde berichten is er een einde aan TrueCrypt gekomen. Het advies om dan maar BitLocker te gebruiken is dermate absurd dat het haast niet anders kan dan dat een overheidsinstantie druk heeft gezet op de makers om te stoppen.
Vond die opmerking dermate goed dat ik vond dat hij niet hier mocht ontbreken.
Zo absurd is die niet. De meeste mensen gebruiken TrueCrypt voor hele menselijke zaken zoals verlies van de laptop, of diefstal. In dat geval is het advies om Bitlocker te gebruiken juist een hele goede. Er wordt nu gedaan alsof bescherming tegen veiligheidsdiensten opeens een topprioriteit is.

Overigens adviseert men niet alleen Bitlocker, maar ook de Mac OS eigen encryptie software. Het advies is voor vrijwel iedereen gewoon het beste advies.

Die <0,01% mensen die of zo paranoide zijn, of werkelijk wat te vrezen hebben van de NSA zullen inderdaad wat anders moeten doen, maar die mensen negeren dat advies toch wel.

Tweakers hier hebben tegenwoordig de neiging de zaak een beetje uit perspectief te zien. Zelfs als de NSA of AIVD mijn email/disk kan lezen, is dat waarschijnlijk iets waar ik nooit mee te maken zal hebben. De kans dat een gewone crinimeel mijn latop/pC steelt is echter helaas wél een reeele kans. Ik bescherm mijn spullen in eerste instantie tegen die zaken.
De kans dat een gewone crinimeel mijn latop/pC steelt is echter helaas wél een reeele kans
Voor die ene crimineel die mijn laptop jat heb ik gewoon een wachtwoord op mijn account. Ik betwijfel of degene die mijn laptop steelt interesse heeft in mijn data; hij verkoopt hem eerder door denk ik zo..En installeert het OS opnieuw zodat hij niet hoeft te zeggen dat hij het wachtwoord is vergeten..
Hoe vind je dat als perspectief?
Hoe vind je dat als perspectief?

Niet echt geruststellend. Natuurlijk zal de gemiddelde crimineel de zaak leeggooien, maar de laptop waarop ik mijn belastingen en andere financiee zaken doe, zie ik graag encrypted.

In Nederland waar de mogelijkheden tot identiteitsdiefstal beperkt zijn gaat het nog wel, maar in landen zoals de VS waar je BSN uitlekken veel gevaarlijker is, al helemaal niet.

En mijn prive foto's zie ik ook niet graag in handen van een vreemde.

Mocht je dat niet overtuigen, de password database van Windows en Mac OS is binnen een dag of 2 a 3 te kraken met niet eens een al te sterke PC met wat standaard downloadable software. Die databases zijn namelijk niet bedoeld tegen aanvallers die fysiek disk-access hebben.

Alleen een password als beveiliging lijkt mij eerlijk gezegd hopeloos naief ... |:(

Maar denk jij nu echt dat de doorsnee TrueCrypt gebruiker bang voor de NSA of AIVD is? Denk je écht dat dat de hoofdreden is waarom een disk encrypted is? 8-)
Dus als je cross-platform encryptiesoftware als TrueCrypt gebruikt, ben je in jouw ogen paranoide of je hebt iets te vrezen van de NSA? Thanks mate, maar onder OS X kan ik helemaal niets met Bitlocker en onder Windows kan ik helemaal niets met Filevault...
Dus als je cross-platform encryptiesoftware als TrueCrypt gebruikt, ben je in jouw ogen paranoide of je hebt iets te vrezen van de NSA?

Geen woorden in mijn mond leggen. Ik zeg geheel wat anders.

De stelling waar ik op reageerde was dat het een zeer vreemde gang van zaken was om Bitlocker (en Mac OS native encryptie) aan te bevelen.

Ik leg uit dat de doorsnee gebruiker van TrueCrypt het gebruikt tegen diefstal/verlies, en dan is dit dus een logisch advies.
Even relativeren waarom de NSA helemaal geen backdoor in TrueCrypt nodig heeft:

http://xkcd.com/538/

:+
Zo waar, het hele kat en muisspel tussen de NSA en de versleutelaars is vooral goed omdat het enig inzicht geeft in de censuur-activiteiten van onze overheden. Encryptie om je activiteiten geheim te houden heeft niet zo veel zin zolang het vertrouwen in de overheid zo groot is dat de overbuurvrouw gewoon verslag doet bij de politie.

Deze situatie maakt de US-overheid weer extra verdacht, en daarom zullen ze moeilijker aan goede informatie komen.
Niet geheel terecht. Voor een individu (een gezochte crimineel oid) is dit absoluut waar. Voor een heel land zeker niet. Je kunt moeilijk iedereen in een land dwingen om z'n wachtwoord te geven, het is makkelijker om overal slechte beveiliging te hebben zodat je overal bij kan zodra je het wilt. Sterker nog, je kopieert gewoon alle data van iedereen naar een enorm datacenter, zodat je er supersnel bij kan, en de data niet meer verloren kan gaan.
Leuke strip, maar veel te veel gedoe. Eenvoudiger is om zijn laptop te hacken, wat een goed NSA-team binnen een paar dagen gelukt moet zijn, via router, wifi, desnoods dmv een inbraak. Met een (fysieke) keylogger krijg je meer voor veel minder risico.
Wat dus betekent dat ze iemand persoonlijk onder druk zouden moeten zetten om aan bepaalde informatie te komen.

Dat is mijns inziens heel iets anders dan dat ze directe toegang hebben tot de bestanden in kwestie.

Natuurlijk kan een crimineel je bijvoorbeeld thuis onder schot houden terwijl hij je dwingt om je pincode af te geven, maar dat is toch geen reden om hem op je voorgevel te plakken?
Bitlocker is veilig genoeg als de NSA, CIA en FBI lopen te janken dat ze het niet open kunnen breken.
That's what they want you to think...
According to two former Microsoft engineers, FBI officials complained that BitLocker would make their jobs harder. "It's going to be really really hard for us to do our jobs if every single person could have this technology. How do we break it?" an FBI agent reportedly said.

The story of how the FBI reportedly asked Microsoft to backdoor BitLocker to avoid "going dark," the FBI's term for a potential scenario when encryption makes it impossible to intercept criminals' communications or break into a suspect's computer, provides a snapshot into how U.S. government agencies may try to persuade tech companies to weaken their security products, or even poke a hidden hole to make them wiretap-friendly.
Als 1 van de drie in Bitlocker kan, waarom vraagt een ander om een backdoor.
Als ik mensen wil laten geloven dat ze veilig zijn als ze Bitlocker gebruiken, terwijl ik allang toegang heb, dan zou ik ook gaan klagen dat ik geen toegang heb.

Als ik daadwerkelijk geen toegang heb, zou ik het wel uit m'n hoofd laten om dat te laten weten.
Ook een punt. En dit komt ook van ex MS medewerkers af dus zegt natuurlijk ook niet alles.
Of misschien ben jij wel van een concurrerende fabrikant van diskversleutelsoftware die mensen bang wil maken voor bitlocker zodat ze jouw product kopen. Hier heb ik geen enkel bewijs voor, maar omdat het kan, is het natuurlijk helemaal waar. :P

M.a.w. je kunt wel allerlei paranoïde scenario's bedenken, maar wat schieten we daar mee op?
Precies. Bitlocker is onderdeel van Microsoft, en dus gesloten. Wie weet werkelijk wat Microsoft met bijvoorbeeld de NSA heeft afgesproken? De source kunnen we niet auditten, want die is dus niet toegankelijk.

Niks is meer zeker in deze (digitale) wereld....
Zo is het niet te controleren of er zwakheden zitten in de PRNG die BitLocker gebruikt

Je kunt ook té wantrouwig zijn :)

De PRNG die Bitlocker gebruikt is openbaar en gewoon te controleren. En ook de PRNG die Bruce Schneier (oa. bekend van de NSA ontdekkingen) aanraadt als goed algorithme. Niet bepaald de minste security expert.

Tenzij je uiteraard zo paranoide bent dat men intern een trucje gebruikt om die PRNG waarden weer te veranderen O-)

Verder was het juist Microsoft die als eerste een concreet backdoor-bewijs vond en aandroeg in de door de NSA gemaakte PRNG-variant die de befaamde backdoor bleek te bevatten. Die PRNG die de RSA daarna onder betaling tot default bombardeerde. Als zij een backdoor wilde maken, waarom zouden dan juist zij de door de NSA naar voren geschoven PRNG onderuit halen?

Natuurlijk als je echt elke source wilt bekijken, is Bitlocker geen alternatief. Maar dan was TrueCrypt met zijn geheime developers dat ook niet. En zoals we met OpenSSL en TrueCrypt zagen is zelfs openbare source nog erg moeilijk te auditten. Eigenlijk is er dan vrijwel geen enkel alternatief. Op een gegeven moment zul je iets/iemand moeten vertrouwen ...

Overigens is de grote vraag of de NSA wel je vijand in deze context is. De kans dat een gewone crimineel je laptop steelt is oneindig malen groter. En als tweede komt dan de NLse justitie die jou komt ophalen. Pas heel ver daaronder de NSA. En als die je willen hebben, denk ik dat een encrypted disk niet voldoende bescherming is. O-)

EDIT: typos.

[Reactie gewijzigd door Armin op 29 mei 2014 21:10]

De PRNG die Bitlocker gebruikt is openbaar en gewoon te controleren. En ook de PRNG die Bruce Schneier (oa. bekend van de NSA ontdekkingen) aanraadt als goed algorithme.
Maar niet de implementatie van Microsoft, of het systeem (ook van Microsoft) waar deze in draait. We weten inmiddels met zekerheid (Snowden) dat Microsoft een van de partijen is die samenwerkt met de NSA. Of dat nu vrijwillig is of met groot verzet maakt niet uit, als jij nog steeds vertrouwen hebt in ze ben je vreselijk naïef.
Tenzij je uiteraard zo paranoide bent dat men intern een trucje gebruikt om die PRNG waarden weer te veranderen
Of als je zo hersenspoeld of manipulatief bent om anderen paranoïde te bestempelen terwijl je op hoogte zou moeten zijn van het "trucje met Dual_EC_DRBG".
Als zij een backdoor wilde maken, waarom zouden dan juist zij de door de NSA naar voren geschoven PRNG onderuit halen?
1. Afleiding (b.v. van ander zwak PRNG die in contrast veiliger lijkt).
2. Het is in hun belang om het publiek te laten geloven dat ze tegenstand bieden (zie het instorten van Cisco's marktaandeel in Azië en China's besluit om Windows 8 te weren).
3. Ze zijn bij wet verplicht te liegen over opdrachten van de NSA (FISA/NSL).

Dat is bij RSA ook gebeurd, verplicht/tegen betaling ($10 miljoen), later ontkennen.
Natuurlijk als je echt elke source wilt bekijken, is Bitlocker geen alternatief. Maar dan was TrueCrypt met zijn geheime developers dat ook niet.
Huh? Wat heeft de identiteit van de TC devs te maken met de openbare source? Bitlocker is closed source, TC is open, punt.
Eigenlijk is er dan vrijwel geen enkel alternatief.
Tuurlijk wel, als je de keuze tussen open en closed source hebt is het sowieso duidelijk. Als je het laatste ook niet vertrouwt wacht je de TC audit en evt. fixes/fork af, of gebruik je een open systeem met goede open alternatieven zoals Linux met eCryptfs/LUKS, GPG voor files e.d.
Op een gegeven moment zul je iets/iemand moeten vertrouwen ...
Hm, laat me denken, zal ik iemand vertrouwen die uit publiek belang software vrijheid en transparantie propageert of een bedrijf met boven alles winstoogmerk dat al meerdere malen is veroordeeld voor kwade zin, en bekend samenwerkt met totalitaire organisaties? Goh, moeilijk moeilijk..

De rest van je argumenten stoelt op het bekende "als je niets te verbergen hebt.." misvatting. Dat de NSA je niet van je bed zal lichten etc. Sorry maar dat doen ze al lang, virtueel. Met sommigen doen ze dat fysiek, zoals de DeCSS auteur, via via, uit puur commercieel belang. Dat de laptopdief veel erger is. Nee sorry, als je alle laptopdiefstallen, nee alle laptopverkopen optelt en dat legt tegenover de nominale toename van huizenprijzen in de afgelopen zeg 15 jaar (4-5x?), of de 97% reële waardedaling van het geld in de afgelopen honderd jaar, dan weet je waar je de echte dieven moet zoeken en je kan hopelijk zelf bedenken welke organisaties daarbij het meest behulpzaam kunnen zijn.
Het lijkt dan veilig. Maar dat hoeft het niet te zijn.
De kans dat NSA NIET toegang heeft tot BitLocker encrypted files lijkt me zo goed als nul.
De kans dat elk zichzelf respecterend bedrijf bitlocker niet weet te decrypten is ook 0.

D'r is een verschil tussen het algoritme en de crappy implementatie vanzelfsprekend.

Herinner me nog hoe ik bitlocker installeerde op 256 bits AES.

Ging iets fout met booten dus moest ik de key intikken.
Om te beginnen zijn dat maar 48 digits, wat natuurlijk al weer eenvoudiger te kraken is dan 256 bits AES.

Maak ik tikfout. Zegt bitlocker tegen me: "goh je hebt een tikfout gemaakt in de laatste 5 digits".

Wat betekent dat het toch wel erg simpel te kraken valt :)

Ik bedoel maar :)
48 hex tekens, ofwel 768 bits :)

En die laatste 5 tekens is dan opeens ook niet zo erg. Je moet dan de overige 43 tekens immers al goed hebben, en moet voor die laatste 5 tekens nog steeds het equivalent van een AES-80 bit encryptie brute force kraken ...
48 hexadecimalen (a 4 bit per stuk) is 192 bit. Niet 768.
Verder zie ik in alle voorbeelden die ik over bitlocker kan vinden dat de recovery key uit alleen decimale getallen bestaat. 2log(10^48) = 48/log(2) = 159 en een beetje bits. De laatste vijf karakters is dan 16,6... bits.
Je hebt gelijk, de identifier is hexadecimaal en de key decimaal. Mijn fout.

Ik heb het daarom eens opgezocht, en de recovery key is een 128bit, en daarna uitgesmeert over de 8 x 6 groepen. Ofwel 16bits per groep.

De type-fout correctie is dus geen hint, want prior-knowledge. Immers elke groep is automatisch deelbaar door 11. De hint is dus alleen van toepassing indien de gebruiker een waarde die niet deelbaar door 11 is opgeeft.

Aangezien de default Bitlocker encryptie ook 128bit is, is dat een dus uitstekende bescherming.

Bron: http://blogs.msdn.com/b/s...ve/2006/08/10/694692.aspx

:)

Wat dus wél is is, is inderdaad dat bij AES-256 de brute force zwakke schakel inderdaad de key is, en je 'slechts' 128bit hoeft te kraken.

Maar ... mocht je dat een probleem vinden kun je de 128bit / 48 tekens recovery key uitzetten.
Wel jammer dat er voor OSX en Linux nu geen levensvatbare alternatieven zijn met dezelfde impact en scope.
Die zijn er wel (FileVault voor OS X bijv. zoals al was aangegeven door BoringDay hierboven).

Het probleem is alleen dat geen van de alternatieven zo cross-platform zijn als Truecrypt.

Een BitLocker schijf kan je niet op een Mac of Linux box mounten, een Filevault disk werkt alleen op een Mac enz... Dit was juist de reden dat ik Truecrypt gebruikte in plaats van de in het OS ingebouwde encryptietools. Want ik gebruik zowel Windows als Mac als Linux door elkaar heen :)

[Reactie gewijzigd door GekkePrutser op 29 mei 2014 11:42]

EncFS op een FAT32 of NTFS systeem? Werkt dat niet overal? Sharen via dropbox of btsync of NAS.
Tja, het kan wel, via FUSE, maar het is een gedoe. Geen GUI, veel commandline gedoe en je moet FUSE installeren.

Truecrypt was even het programma runnen en mounten, klaar. Ook in een internet cafe was het geen probleem om het even te gebruiken. Juist voor het gebruik waar ik Truecrypt voor gebruikte (voor USB sticks onderweg) is het geen handige optie.

Maar ik blijf gewoon Truecrypt gebruiken (oudere versies). Alleen het feit al dat je een ge-encrypte USB stick niet zo 1-2-3 als Truecrypt kan herkennen is al een hoop beveiliging, laat staan dat je het wachtwoord zou kunnen hacken op de een of andere manier. Iemand die mijn USB stick op straat vindt gaat er echt niet zo veel moeite voor doen als hij hem niet makkelijk kan openen.
Voor Linux geen alternatief? Waarom heeft Ubuntu dan bestandsversleuteling ingebouwd in het systeem?
volgens mij is dat encryptfs maar daarmee kun je dus geen data uitwisselen met windows, en/of osx. truecrypt was het enige dat echt goed werkte maar waar blijkbaar geen support voor was...
Dat Bitlocker goed is, is een feit, maar er zijn (vooral binnen de doelgroep die truecrypt gebruikt) veel figuren die niets van Bitlocker en Microsoft moeten hebben om ideologische redenen.
De pot verwijt de ketel hier.
Wel jammer dat er voor OSX en Linux nu geen levensvatbare alternatieven zijn met dezelfde impact en scope.
Op Linux kan je LUKS gebruiken. En op Mac OS X kan je het ingebouwde FileVault proberen.

[Reactie gewijzigd door goarilla op 29 mei 2014 16:04]

niet handig als je bestanden wilt kunnen openen op andere dan je eigen pc. bijv omdat je eigen pc kaput is...
Van een deface van de website lijkt geen sprake,de software is anders (de encrypt optie is vervallen) en geeft ook meldingen die de site boodschap bevestigen, als ik het bericht zo lees
OSX FileVault 2? FileVault zit al jaar en dag standaard in OSX alleen dienen gebruikers het zelf in te schakelen.

http://en.wikipedia.org/wiki/FileVault
Ik vind het hoe dan ook vooral lefhebben dat ze Bitlocker aanprijzen.
Ik denk dat dat eigenlijk wel meevalt. De grootste groep oss gebruikers zijn gewoon weldenkende mensen die een goede oplossing voor hun probleem zoeken.

Veel zullen ook niet bewust voor open of closed kiezen. Zeker in die situaties waar het Windows versies betreft. Dat zie je bijvoorbeeld bij de ontwikkelingen rond IE, Firefox en Chrome. Ik denk dat dat het oss karakter van Firefox nauwelijks een rol speelt. Mensen switchen vaker van FF naar Chrome, terwijl je dan zou verwachten dat ze eerder voor Chromium zouden kiezen.

Ik kan me trouwens niet voorstellen dat er geen levensvatbare alternatieven voor Linux zijn trouwens. Volgens mij kon ik de laatste keer bij het installeren van OpenSuse aangeven of ik partities encrypted wilde hebben.

Gebruiksvriendelijke oplossingen voor containers die je snel kan (dis)mounten zou ik zo even niet weten, maar het is ook alweer even geleden dat ik daar mee bezig ben geweest.

Maar jammer is het wel. Ik zal binnenkort op zoek moeten naar een vervanger lijkt het.
Niemand die kan garanderen dat oudere versies niet voorzien zijn van backdoors of andere toevoegingen die er niet in zouden moeten zitten. Ook die audit is geen garantie uiteraard.
Het probleem met zulke backdoors is dat een geheime dienst die nooit tegen je kan gebruiken. Zodra ze dat doen ligt het bestaan van de backdoor op straat en zijn ze hun informatiebron kwijt.
Dat is dus het enige dat ze er aan hebben; informatie verzamelen voor in de grote database.
Misschien is TrueCrypt wel TE veilig en zijn ze onder druk gezet om gebruik ervan te ontmoedigen. Zonder verdere toelichting of commentaar van experts blijft het allemaal giswerk.
@xnpu - opensource is geweldige software altijd

In theorie kun je dus al die code gaan bekijken wat het veiliger zou maken.
In praktijk kan niemand al de code bekijken van een volledig open source draaiend systeem.

Het voordeel van open source is dat er zoveel auteurs zijn, dat als er 1 wegbeent, meestal er wel een vervanger is.

Het nadeel van open source is simpelweg dat er zoveel auteurs zijn dat een systeem gegarandeerd vol zit met backdoors - en dan moet je echt niet op NSA nivo denken.

Zo'n programmeur wil dat gewoon VERKOPEN no matter to whom.

Het woord NSA wordt te veel gebruikt in deze context.

Bitlocker en Truecrypt gebruik je niet om de NSA te ontlopen natuurlijk.

Die worden in 't criminele circuit met name gebruikt om de stichting brein en de politie te ontlopen, op het moment dat hun computers vol software geconfisceerd worden.
Juist omdat het commentaar gedeelte zo vaag is en men een Miscrosoft product noemt als alternatief ben ik geneigd dit te geloven.
De enige reden die ik kan bedenken dat ze adviseren om TrueCrypt niet meer te gebruiken, is dat de Compilers zelf besmet zijn. Ik geloof namelijk dat de compilers software met hack injecteren.

Edit: als dit niet de reden is, dan sluit ik deze vorm van hack nog steeds niet uit.

[Reactie gewijzigd door sokolum01 op 29 mei 2014 11:48]

Meeste plausibele verklaring is gewoon dat de personen (alle twee of wellich slechts één) er na 10 jaar mee stopte. Wellicht onder dwang, maar niet onwaarschijnlijk gewoon omdat hij/zij er geen zin meer in had.

Immers, deze personen zijn altijd vanaf dag 1 geheimzinnig en wat vreemd geweest. Hebben nooit ook maar een seconde behoefte gehad andere toe te laten of deze code te delen. De licentie was niet compatible met GPL, en bij kritiek daarop was de reactie nu niet bepaald zwachtaardig. Een goede security implementator is nu eenmaal een beetje te paranaoide, met de nadruk op 'te'. Dat vereist een bepaalde persoonlijkheid.

Verder is er al 2 jaar lang nihil development geweest, en wordt Windows 8.x niet (goed) ondersteunt en werkt TrueCypt in zijn geheel niet met SSD's. Windows XP was bovendien een grote doelgrroep van hun gebruikers, en ondersteuning daarvan is verdwenen.

Dikke kans dat men er gewoon geen zin meer in had. En de melding op de website en andere acties is dan geheel logisch.

Men heeft alles verwijdert, alle links verwijdert en zelfs de licentie aangepast (!) waardoor men niet meer naar de TrueCrypt website hoeft te verwijzen bij gebruik. Ook is de key gewijzigd zodat het onmogelijk is om nieuwe versies uit te brengen met de key zoals gebruik bij oudere versies.

En die melding is dan heel normaal. Er word vanaf nu geen ontwikkeling meer gedaan, dus als er een onveiligheid gevonden wordt, wordt die niet gefixt. Dat is een normale procedure bij beveiligingssoftware. Zeker omdat er veel niet-techneuten waren die deze software gebruiken.
en werkt TrueCypt in zijn geheel niet met SSD's
Dat is erg kort door de bocht, TC werkt met SSD's, punt. Je moet alleen rekening houden met een aantal zaken (geen TRIM b.v.). Voor sommige SandForce controllers geldt specifiek dat ze hun geadverteerde snelheden alleen met comprimeerbare data halen, en correct versleutelde data is natuurlijk niet comprimeerbaar, maar dat is heel ver van "alle SSD's in zijn geheel niet werken".
Windows XP was bovendien een grote doelgrroep van hun gebruikers
Ook al zou TC er geheel van afhankelijk zijn verdwijnt XP niet opeens omdat er geen patches meer voor uitkomen. BTW, XP ondersteunde ook geen TRIM en werkt toch prima op SSD's.
Dat is een normale procedure bij beveiligingssoftware.
Zoals het nu is gegaan is allerminst normaal. Normaal is dat er een EOL termijn wordt aangekondigd, en dat er een of andere vorm van overdracht plaatsvindt als er nog interesse in het project bestaat, desnoods in de vorm van een fork. Nu zijn de twee meest waarschijnlijke mogelijkheden dat er a) een hack/vijandige overname is gepleegd of dat b) men op een opzienbarende manier iets probeert te vertellen zonder iets te mogen zeggen, à la Lavabit.
Ik snap die hineinlezerij echt werkelijk niet. Er zijn talloze gevallen bekend waarin populaire akketten uit de distributie werden gehaald zonder dat er overdracht van code plaatsvond. Heb zelf in het verleden aan een aantal van dergelijke projecten meegewerkt. De code bevatte stukken die uit een pre-GPL tijdperk afkomstig waren waardoor forken niet zomaar mogelijk was. Ook daar heb ik ervaring mee, is soms erg vervelend, maar c'est la vie... Maar nu het TrueCrypt is, is het opeens allemaal verdacht.

Punt is en blijft: er heeft in 2 jaar tijd geen iota ontwikkeling plaatsgevonden; het geheel begint duidelijk uit de pas te lopen met wat nu gangbare hard- en software is. De audit wijst op weliswaar functionele, maar rommelige, slecht-leesbare en moeilijk te onderhouden code met op het eerste gezicht al diverse security issues. De auteur(s) we(e)t(en) net zo goed als wie dan ook, zelfs de NSA, dat het uit de lucht halen van de website geen enkel gevolg heeft voor het gebruik van het programma: talloze vrijwilligers die de zaak op een alternatieve manier zullen verspreiden. Volgens mij is er geen enkele boodschap die door iemand die de hand van de NSA of een andere spookshow ziet (of wíl zien) als plausibel wordt aangenomen:
  • Geen zin meer want code = kut — De NSA heeft je gevonden! Ik wist het!
  • Beter als iemand gewoon opnieuw begint — De NSA heeft je gevonden! Ik wist het!
  • Gezondheidsklachten — De NSA heeft je gevonden! Ik wist het!
  • Kan niet forken want licentieproblemen — De NSA heeft je gevonden! Ik wist het!
  • Gebruik een ander programma — De NSA heeft je gevonden! Ik wist het!
  • Er heeft al 2 jaar geen ontwikkeling plaatsgevonden, beschouw dat als de EOL termijn — De NSA heeft je gevonden! Ik wist het!
  • Ik houd van ijs met slagroom — De NSA heeft je gevonden! Ik wist het!
Er wordt nu zelfs op Reddit gesuggereerd dat het veranderen van 'U.S.' in 'United States' in een rc-file wijst op invloed van de 'guvvermint'. Flikker nou toch een end op, zeg.

En wie weet, misschien is/zijn de ontwikkelaars door een spookshow gevonden. Of door een andere groep die de macht had écht nare dingen te doen. Wij als simpele Jan Lullen zullen het nooit weten. Ik ben eerder geneigd om te zeggen dat deze affaire een les hoort te zijn voor hoe gevoelige open source security-projecten dienen te worden beheerd. Iedereen heeft de mond vol van het feit dat security through obscurity niet werkt, maar TrueCrypt had wel degelijk zeer obscure trekjes die lange tijd met de mantel der liefde werden bedekt en nu als een boemerang terugkeren.
Er zijn talloze gevallen bekend waarin populaire akketten uit de distributie werden gehaald zonder dat er overdracht van code plaatsvond.
Noem er een paar van die talloze die:
a) het pakket met onmiddelijke ingang onbruikbaar maakten (alleen ontsleuteling, denk aan WinRAR die opeens alleen uitpakken toestaat)
b) alle voorgaande versies incl. source verwijderden
c) de signing keys veranderden zodat nieuwe pakketten met de oude keys niet meer mogelijk zijn
d) een vage, afschrikkende mededeling doen (onveilig), zonder bewijs (audit heeft geen grove/expres onveiligheid gevonden)
e) doorverwijzen naar een tot die tijd onbespreekbare concurrent
En wie weet, misschien is/zijn de ontwikkelaars door een spookshow gevonden. Of door een andere groep die de macht had écht nare dingen te doen. Wij als simpele Jan Lullen zullen het nooit weten.
Je kan alles met tinfoilhat hineinspielerei ondergraven, maar ja, bovenstaande werd tien jaar geleden ook al geroepen over de NSA, tot Snowden bewees dat de werkelijkheid nog veel erger was. Het ziet er eerder naar uit dat er meer transparantie komt (en een sterkere reactie hiertegen) omdat door de steeds erger wordende misbruik steeds meer mensen met een geweten opstaan.
Iedereen heeft de mond vol van het feit dat security through obscurity niet werkt, maar TrueCrypt had wel degelijk zeer obscure trekjes die lange tijd met de mantel der liefde werden bedekt en nu als een boemerang terugkeren.
Dit is een foutieve argumentatie, de overeenkomst tussen security through obscurity en anonimiteit van de devs bestaat niet, dat is integendeel een tegenstelling tussen security through obscurity (closed source) en de open source natuur van het project. Ik zou zelfs zeggen dat anonimiteit bij zo'n gevoelig project helpt met het waarborgen van zijn veiligheid, omdat ontwikkelaars niet door jan en alleman met kwade zin onder druk gezet kunnen worden. Als dit inderdaad een NSL betrof zien we de resultaat hier en kan iedereen maatregelen nemen (devs in de vorm van een fork). We hebben voorbeelden van bekende bedrijven die ontkennen dat ze betrokken zijn, terwijl het tegendeel is bewezen.

Wat die boemerang betreft: een fork is inmiddels in de maak, het ziet er naar uit dat het project door deze actie zelfs nieuw leven ingeblazen wordt met hogere codekwaliteit en veiligheid als gevolg, zie ook de LibreSSL fork door OpenBSD.
En dit is pressies de reden waarom ik dit soort proggies dus niet wil gebruiken, want ooit liggen je wachtwoorden op straat.

Ik onthou ze wel of schrijf ze anders wel in een schrift die kunnen tenminste niet gehackt worden ;)
TrueCrypt was gewoon te goed dat zelfs de NSA het niet kon kraken. Nu hebben ze gewoon de makers van TrueCrypt een smak geld gegeven zodat deze EOL gaat met als advies het gebruik van BitLocker met een NSA backdoor ingebakken ;) :+
Juist. NSA-backdoor in Bitlocker. Dus daarom was de NSA boos op MS omdat ze niet door Bitlocker's beveiliging heenkwamen.
De Amerikanen zijn meesters in het opwerpen van rookgordijnen. Misschien roepen ze dat expres om het veiligheidsgevoel, en dus het gebruik ervan, bij de massa te vergroten. En dit onder het mom dat de gebruikers daadwerkelijk denken dat het écht veilig is. Ik ga het niet zonder meer aannemen. Sorry voor mijn achterdocht.

Het blijven Amerikanen. Het blijft Microsoft én.... het blijft closed source software, dat Bitlocker. We weten simpelweg niet hoe veilig het is en of er wèl of geen backdoor ingebakken zit. Jammer maar helaas...
Oh, wij zijn geen meesters in het opwerpen van rookgordijnen? Kan me toch herinneren dat een zeker stukje software niet goed beveiligd was waardoor de overheid moest ingrijpen. DigiD, beheert door de kwakzalvers van dat bedrijf in Beverwijk. En maar roepen dat het veilig is...

Trouwens, je mist een puntje: Bitlocker is gesloten, maar bedrijven die een contract hebben met MS mogen de code van Bitlocker auditen.

[Reactie gewijzigd door Vistaus op 30 mei 2014 12:27]

NSA heeft ook tegen MS lopen janken dat ze niet door bitlocker heen konden komen.
Jij bent in de war met LastPass of dat soort dingen; TrueCrypt doet juist zijn uiterste best om te voorkomen dat je wachtwoord op welke manier dan ook ergens wordt opgeslagen. Of tenminste, dat is de bedoeling, met deze vreemde gang van zaken is het lastig om nog ergens zeker van te zijn natuurlijk.
Het probleem van het correct implementeren van een encryptieschema dat redelijk ok is, is dat het betreffende product niet eenvoudig over de landsgrenzen heen valt te exporteren.
als je niet weet wat encryptie is, praat er dan ook niet van,

truecrypt was een tool om hele mappen, of partities te versleutelen, en zelfs partities te verbergen achter nep-partities je kon de fbi je wachtwoord geven, waardoor ze toegang kregen tot een partie met data over kleine inbraken wat verkoop van wiet of illigale drank,
zodat ze je data over die moordaanslag op de president niet zouden vinden...

zonder het 2e passwoord zou men nooit kunnen weten dat er een 2e was,

[Reactie gewijzigd door i-chat op 29 mei 2014 18:01]

Om tussen alle wilde speculaties even een kort, helder antwoord te geven. JA!

Volgens Steve Gibson tenminste.
Ik ben een tijd over naar DiskCryptor in windows. Bevalt prima, wordt actief onderhouden en heeft een actief forum.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True