Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 61 reacties

Deelnemers aan het Open Crypto Audit Project, waarbij de broncode van de opensource-encryptietool TrueCrypt wordt nagelopen op mogelijke beveiligingsgaten, hebben aangegeven dat zij een TrueCrypt-fork overwegen. Er zijn twijfels of de licentie dit echter wel toelaat.

TrueCryptEerder deze week verscheen onverwacht een mededeling op de webpagina van Truecrypt op SourceForge dat het anonieme ontwikkelteam per direct was gestopt met de ontwikkeling van de encryptiesoftware. Als reden werd het staken van XP-ondersteuning door Microsoft genoemd. Ook zou TrueCrypt niet meer gebruikt moeten worden vanwege onveiligheid. Een nieuwe 7.2-versie die online werd gezet kan alleen TrueCrypt-containers decrypten en gebruikers werden doorverwezen naar Microsofts Bitlocker.

De mededelingen op de TrueCrypt-pagina zorgde voor veel commotie en speculatie. Zo dachten veel gebruikers dat de site en mogelijk ook de software door hackers waren gekraakt, maar er klonken ook geluiden dat de makers door een onbekende partij onder druk zijn gezet om het project te staken.

Matthew Green, deelnemer aan het auditprogramma Open Crypto Audit Project, denkt dat het TrueCrypt-team zelf de stekker uit het project heeft getrokken. Onder andere het signen van de laatste TrueCrypt-versie met de juiste sleutel en ongewijzigde dns- en whois-records maken dat waarschijnlijk. Hoewel Green indirect contact heeft met de anonieme ontwikkelaars, heeft hij nog geen toelichting gekregen over de beweegredenen van het ontwikkelteam. Een collega zou echter wel mail hebben gehad met de mededeling: "We hebben hier 10 jaar hard aan gewerkt. Niets is voor de eeuwigheid".

Green zegt op het weblog KrebsOnSecurity verder dat hij hoopt dat er een fork wordt gemaakt van de TrueCrypt-code. Bij een eerste auditronde zijn geen beveiligingsgaten of achterdeurtjes aangetroffen, en een mogelijke doorontwikkeling van de broncode door een ander team zou de kwaliteit mogelijk verder kunnen verhogen. Een anonieme ontwikkelaar die zegt een team van beveiligingsspecialisten te vertegenwoordigen heeft ondertussen al anoniem aan Reuters aangegeven dat zij TrueCrypt willen forken.

Een potentieel probleem is de licentie van TrueCrypt. Daarbij is de code weliswaar opensource, maar de licentie geeft gebruikers niet het expliciete recht om op basis van de broncode een nieuwe encryptietool te bouwen. Green heeft daar nog geen oplossing voor, maar een eventuele fork moet een duidelijkere opensource-licentie krijgen. Het Open Crypto Audit Project gaat desondanks door met het ontleden van de broncode in een tweede auditronde, mede omdat de organisatie nog geld over heeft.

Moderatie-faq Wijzig weergave

Reacties (61)

Aangezien de auteurs van TrueCrypt zich al 10 jaar anoniem hebben gehouden denk ik niet dat ze een rechtzaak zouden beginnen als iemand hun code onder een andere licentie zou uitbrengen.

Of dat ethisch is en of je beveiligingssoftware van auteurs met een dergelijke gevoel voor ethiek wil gebruiken is een ander verhaal. Als je kijkt wat er nu zoal in de commerciele softwarewereld gebruikt denk ik niet dat veel mensen zich daar door laten tegenhouden.
Ik wou al zeggen.

Van de andere kant, wat hebben de ex-ontwikkelaars van TrueCrypt te vrezen als die onder het mom van ethiek/moraal een rechtszaak starten tegen de 'forkers' omdat 'hun' licentie wordt gebroken?

Per slot van rekening ontwikkelen ze niet meer aan TrueCrypt en hebben ze hun banden met het project gebroken.
Ik kan nog wel wat dingen bedenken, niet allemaal even logisch of redelijk, maar niet iedereen is redelijk en snapt crypto:
  • Een bezoekje van de NSA met het verzoek om alsnog de PGP-sleutels over te dragen zodat dat de NSA zelf wat updates kan uitbrengen?
  • Criminelen die eisen dat de developers helpen om de truecrypt-lockers van hun concurrenten te kraken?
  • Hun naam op allerlei zwarte lijsten met staatgevaarlijke figuren?
  • Vervelende journalisten op de stoep?
Daarnaast, wat hebben ze nog te winnen met een rechtzaak? Ze hebben hun software gratis weggegeven dus financieele schade kunnen ze moeilijk claimen (dat is wel vaker een probleem met open source software).

[Reactie gewijzigd door CAPSLOCK2000 op 30 mei 2014 14:50]

Er is ook een fork uitgebracht op http://truecrypt.ch/. Hij wordt ontwikkeld door Thomas Bruderer en Joseph Doekbrijder.
http://www.linkedin.com/pub/joseph-doekbrijder/2b/384/43a
Co-Founder / Partner
S.W.I.S. GROUP
January 1999 – Present (15 years 5 months) Zrich Area, Switzerland
Consulting, design and realization of secure FINRA/SEC OATS data exchange (USA– Switzerland) for major Swiss bank.
Opleiding van Joseph Doekbrijder:
Texas A&M University
BBA, Management
1986 – 1990
Geen idee wat ik van die goede man moet denken.

[Reactie gewijzigd door RoestVrijStaal op 30 mei 2014 13:44]

Je kunt in elk geval iets van hem denken.
Dit in tegenstelling tot de anonieme makers van TrueCrypt.
Wellicht hebben zij bewust anoniem gehouden om NIET gechanteerd of gegijzeld te worden om eea. te openbaren....
Aan de andere kant kan (semi) anoniem blijven ook de kans op het bovenstaande verhogen, Ik bedoel de NSA en zijn bedrijven weten heus wel wie de ontwikkelaars van tc zijn. Dit was ongetwijfeld voor snowden ook een belangrijke reden om publiek te gaan.

[Reactie gewijzigd door kajdijkstra op 30 mei 2014 18:08]

Als je reactie bedoeld is om vragen te stellen bij de integriteit van die man, dan zie ik daar eerder bewijs voor het tegendeel. Ik denk niet dat een grote Zwitserse bank het zou tolereren dat de NSA data aftapt. Ze zullen dan ook zeer voorzichtig zijn geweest in het aanstellen van een verantwoordelijke die integer genoeg is.
Als de orginele ontwikkelaars onder druk zijn gezet om de ontwikkeling van truecrypt te staken, vinden ze het vast niet erg als er een fork wordt gemaakt. Dus ik zou zeggen: Gewoon beginnen en kijken wat er gebeurt. Dan wordt het misschien ook iets duidelijker wat er aan de hand is met truecrypt.
Er bestaat al een fork voor TrueCrypt genaamd RealCrypt, zie: http://rpmfusion.org/Package/realcrypt

Ik zie dus eigenlijk geen licentie problemen zolang ze maar dezelfde licentie voorwaarden blijven gebruiken (als ze het onder een andere licentie willen uitbrengen zitten ze met een probleem)
Helaas vermoed ik dat als de software gehost wordt op Amerikaanse sites of ontwikkeld wordt door iemand in Amerika dat het hezelfde lot zal ondergaan als Truecrypt.

Je kan daar nou eenmaal voor onbeperkte tijd zonder rechtzaak in de gevangenigs vedrwijnen (NDAA), al zullen ze eerder andere vervelende methoden gebruiken. De veiligehidsdiensten hoeven alleen te beweren dat de nationale veiligeheid in gevaar komt als mensen hun bestanden kunnen encrypten en alleen dat is voldoende voor een "geheim" besluit daarover.
Volgens mij is lezen erg moeilijk voor je. Zoals je op de homepage kunt lezen http://rpmfusion.org/RPM%20Fusion is RPMFusion alleen maar een verzamelsite voor installatiepakketten met een kleine wiki. Net als dat er voor Windows ook vele sites zijn die een verzameling van software hebben zoals Filehippo bijvoorbeeld.
Een fork lijkt me er wel te komen, dit staat er ondermee op de GitHub pagina:
Note that the license specifies, for example, that a derived work must not be
called 'TrueCrypt'.
en meer:
You may modify This Product (thus forming Your
Product), derive new works from This Product or portions thereof
(thus forming Your Product), include This Product or portions
thereof in another product (thus forming Your Product, unless
defined otherwise in Chapter I), and You may use (for non-
commercial and/or commercial purposes), copy, and/or distribute
Your Product.

[Reactie gewijzigd door GigaPixels op 30 mei 2014 14:22]

Tja, TrueCrypt is altijd een beetje vreemd geweest. Opensource maar niet dat je van de source je eigen binary kan compilen. Onbekend en geheimzinnig ontwikkel team. Achter lopende ontwikkeling, ondersteuning voor UEFI en GPT disks bijvoorbeeld (net als vele anderen trouwens....).
Er zijn genoeg moderne encryptie producten beschikbaar voor de enterprise die behoorlijk gebruiksvriendelijk zijn - zit dan wel een prijskaartje aanvast natuurlijk. Thuisgebruik is een ondergewaardeerd kindje in deze hele sector. Dan kom je toch eigenlijk terecht bij opensource waarvan de ontwikkeling niet denderend loopt - en achterloopt op "moderne" technieken. Kijk naar GnuPG en de kant en klare Gpg4win waar toch behoorlijk wat bugs en integratie issues in zitten....
Opensource maar niet dat je van de source je eigen binary kan compilen.
En waarom kan dat niet? Met een beetje zoeken zijn er werkende instructies te vinden. Zoals hier:
How do I build TrueCrypt on Windows?
Er zijn ook wel een hoop enterprise-encryptie producten die op geen bal trekken. Het product dat ze bij ons op 't werk onze laptops zetten is bijvoorbeeld lekker modern omdat het gebruik maakt van de ingebouwde TPM module, maar de hoeveelheid bluescreen, corrupte bestanden en de onmogelijkheid om ook maar iets te herstellen of te decrypteren in geval van problemen is mijn inziens eerder contra-productief (om dan nog maar te zwijgen over hoe snel je SSD kapot gaat met die encryptie-software).

Met TrueCrypt heb ik nooit last gehad voor hierboven genoemde problemen en dan verkies ik toch liever een iets 'verouderd' product dan een product waarmee ik gegarandeerd elke 2 jaar mijn laptop moet laten formateren om dan vervolgens 24u te wachten om een schijfje van 120GB te encrypteren. Een TrueCrypt fork zou dus een welkome toevoeging zijn, al denk ik dat de huidige versie zonder problemen nog een aantal jaren verder kan gaan met alles wat Windows 7 draait of ouder :) .
Gaat een SSD eerder kapot vanwege encryptiesoftware? Onderbouwing graag.
Kapot is misschien een verkeerde omschrijving, maar de wear met de door ons gebruikte encryptie software is wel aanzienlijk: na een half jaar developen op een FDE SSD hebben wel nog maar amper snelheidsvoordeel tov dezelfde laptops met een gewone HDD. Kan natuurlijk ook zijn dat het product niet overweg kan met trimming, wat natuurlijk ook wel baggere resultaten kan verklaren.
Grootste verdachte zou hier zijn dat gebruik gemaakt wordt van Sandforce controllers, die met name hun snelheidswinst halen uit comprimeerbare data. Als je dan vervolgens FDE toepast, is er geen comprimeerbare data meer, en zie je het snelheidsvoordeel aanzienlijk teruglopen.
Dan zou die in het begin al traag moeten geweest zijn. Hier gaat het echt om het trager en trager worden van de SSDs over tijd.
Behalve dat door het niet kunnen comprimeren van data de wear op de cellen ook hoger is dan bij comprimeerbare data ;) Er moet immers bij gelijke belasting meer data geschreven worden.
eigen ervaring met agility 3: nee. heb m al 4 jaar, al 4 jaar encrypted, en 0 damaged cells
Ik heb het op mijn laptop met win8.1
Doet het ook.
Dus maak daar maar win8.1 of ouder van :)
Een potentieel probleem is de licentie van TrueCrypt.
Dat lijkt me dan het eerste wat ze moeten gaan oplossen. :) Als het project echt dood is, en de ontwikkelaars aangeven dat ze er niets meer aan gaan doen, dan lijkt het me niet ondenkbaar dat ze de rechten willen vrijgeven.

Dat gebeurt ook wel eens bij closed source software, dus bij 'semi' open moet het toch ook mogelijk zijn?
tenzei er een national security leter aanvooraf ging, dan zullen ze misschien zelfs 'verplicht' worden om inbreuk tegen te gaan...

in dit soort gevallen ben ik iig VOOR schending van copyrights.

op het moment dat je als software maker aangeeft geen belang meer te hebben, dan moeten dus ook je balangen niet meer wegen in de zin van copyrights. en zou een en ander dus direct moeten vervallen in het public domain...

er zou een verbod moeten komen op het misbruiken van patenten en andere 'voorrechten' om de markt te blokkeren...
ander voorbeeld: shell zou het verboden moeten worden om patenten die over waterstof gaan, te gebruiken om hun olie nog een tijdje langer te kunnen verkopen.

tenzij er sprake is van moord, zouden auteurs rechten na de dood direct moeten komen te vervallen, zodat andere artiesten ongehinder je favorite liedje kunnen spelen zonder gezeik met grijpgrage nabestaanden... en zelfs als er sprake is van moord, zouden er verplichtingen moeten zijn voor het in licentie-geven.
shell zou het verboden moeten worden om patenten die over waterstof gaan, te gebruiken om hun olie nog een tijdje langer te kunnen verkopen.
En wie ben jij om dat te bepalen? Waar trek je trouwens de grens als je bedenkt dat waterstof voor een beetje raffinaderij van levensbelang is? Moet Shell Pernis in jouw opinie dan maar vast de Hycon-faciliteit sluiten? Laat me niet lachen, zeg.
Ik ben het met je eens, patenten gebruiken om vooruitgang of een verbeterde situatie te blokkeren alleen voor eigen gewin zou verboden moeten zijn. Het lijkt me niet logisch dat de gehele mensheid flink benadeeld wordt om een groepje aandeelhouders rijk te houden. Dat het in het huidige systeem mogelijk is laat eigenlijk alleen maar zien dat we daar dus vanaf moeten.
Ah kijk, er dus in ieder geval n iemand die een reactie heeft gehad van de ontwikkelaars. Al is de reactie weer net zo vaag als de melding op de website.
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
volgens mij h, en dat is dan volgens mij en niet omdat ik he ergens gelezen heb of opgevangen heb...
maar ik denk dat de NSA gewoon niet wil dat men nog truecrypt gebruikt omdat het niet te hacken viel en dat men daarom een paar mensen onder druk heeft gezet (jouw broer rookt toch cannabis h, we zullen hem eens oppakken!) om te beweren dat hun pakket niet voldoet n om ineens snel een decrypt only tool uit te brengen n snel alle encrypt-versies te verwijderen..

een tijdje terug was er namelijk nog een audit waaruit bleek dat truecrypt geen problemen zou hebben; waarom zou dat dan nu ineens wl zo zijn?

ik denk dat, als je je gevevens veilig wil bewaren; je beter truecrypt kan blijven gebruiken dan dat je overschakelt naar het NSA-Injected Bitlocker van microsoft..ik vind het alleen spijtig dat ik op mijn ubuntu's nog geen truecrypt geinstalleerd had (of de software apart gedownload) want nu ga ik daarvoor niet meer aan de juiste binaries geraken vrees ik; ik ben op dat gebied namelijk nog een redelijke newbie (msdos/windows is een ander verhaal met 20 jaar poweruser ervaring)

wie de 7.1 versie van truecrypt voor windows nog zoekt (7.1a) mag me altijd een pm sturen.....
voor linux ben ik blijven hangen op 7.0a (linux algemeen) en 6.2a (ubuntu)
iemand die dus in z'n collectie nog versie 7.1(a) voor ubuntu heeft zitten; lemme know via pm of mail ofzo !

Laat je alvast niet afschrikken door die stoute meneren van de NSA en bescherm je gegevens hoe je zelf wil, niet hoe een ander wil!
7.1a is anders gewoon te vinden in diverse mirrors van o.a. debian.
Ik hoop echt dat er een fork komt. TrueCrypt is 1 van de weinige opensource software dat je in staat stelt om je gegevens veilig op te slaan zonder dat anderen er in rond neuzen. Voor 80% van de bevolking boeit het niet zo dat anderen dat kunnen inzien, maar als je directeur van Unilever of Shell bent kan dat serieuze impact hebben op je onderhandelingspositie. Niet te spreken over politici (Merkel, Rutte, etc) die hun data veilig op willen slaan of iemand die een (hackende) stalker achter zich aan heeft.

Privacy wordt helaas voor de meeste mensen pas belangrijk als ze het nodig hebben en dan is het al dik te laat :/

[Reactie gewijzigd door Standeman op 30 mei 2014 12:31]

k hoop echt dat er een fork komt. TrueCrypt is 1 van de weinige opensource software dat je in staat stelt om je gegevens veilig op te slaan zonder dat anderen er in rond neuzen.
En van de weinigen, maar er zijn alternatieven. Uit het artikel:
Een potentieel probleem is de licentie van TrueCrypt. Daarbij is de code weliswaar opensource, maar de licentie geeft gebruikers niet het expliciete recht om op basis van de broncode een nieuwe encryptietool te bouwen. Green heeft daar nog geen oplossing voor, maar een eventuele fork moet een duidelijker opensource-licentie krijgen.
Is het niet praktischer om DiskCryptor van een audit te voorzien en daarop verder te ontwikkelen, mede omdat het onder de GPLv3 is uitgegeven?

[Reactie gewijzigd door The Zep Man op 30 mei 2014 12:47]

[...]
En van de weinigen, maar er zijn alternatieven. Uit het artikel:
[...]
Is het niet praktischer om DiskCryptor van een audit te voorzien en daarop verder te ontwikkelen, mede omdat het onder de GPLv3 is uitgegeven?
om te beginnen is diskcryptor al niet mac/bsd/linux compatible (of iig niet in zijn huidige vorm), misschien kunnen ontwikkelaars bepaalde ideen uit de een overnemen naar de anders, maar het kunnen uitwisselen van je data lijkt me een belangrijke pre, zeker nu windows massaal markt aandeel aan het verliezen is aan osx ios android linux en anderen alternatieven.

windows xp heeft nog steeds steeds een milioen installaties in nederland, ik zou bijna verwachten dat als men nu nog niet over is naar windows 7 (of 8), de kans met de dag groter wordt dat men uiteindelijk over stapt naar een alternatief, als een bedrijf als cononical eens zijn best zou doen, konden ze wel eens ontdekken dat ze zomaar een paar honder duizend nieuwe installaties erbij kregen. hopende dat het niet alleen hier zou gebeuren, lijkt het me zonde om in te zetten op iets dat alleen onder windows werkt.
Het voordeel van Truecrypt is/was dat je op Windows/MacOS/Linux de vaults kan mounten, zodat je niet aan 1 OS vastzit.
DiskCryptor heeft geen ander support dan Windows, en heeft ook niets in de planning staan daarvoor.
Da's dus geen alternatief
en hoe zit t dan met veracrypt? ziet er veelbelovend uit als je t mij vraagt:

http://sourceforge.net/projects/veracrypt/
Ook dat lijkt windows only te zijn. Het mooie van TC is/was juist dat het op alle grote OS-en draait.
lijkt, maar volgens mij kan je dit gewoon compilen in linux:

http://sourceforge.net/p/veracrypt/code/ci/master/tree/src/


heb een mail gestuurd aan de makers of er een linux vesie is/komt:
http://www.idrix.fr/Root/


----


hun reactie:

Hi,

There is no Linux version of VeraCrypt. It started as a Windows only
implementation with Linux in mind but with no urgency.
Because of the TrueCrypt story, there are more requests for VeraCrypt
targeting MacOSX and Linux. We will try to schedule these ports as soon
as possible but for now we have no specific milestone for it.
Personally, I hope we can have a new release during this summer that
includes MacOSX and Linux support.

Cheers,
--
Mounir IDRASSI

[Reactie gewijzigd door netforce2020 op 30 mei 2014 14:08]

maar er klonken ook geluiden dat de makers door een onbekende partij onder druk zijn gezet om het project te staken.
Welke partij zou er nou in godsnaam belang bij hebben dat Truecrypt stopt.......
Overheden cq veiligheids- en spionagediensten.

[Reactie gewijzigd door .oisyn op 30 mei 2014 12:38]

En criminelen... Maar soms vraag ik me af of er echt verschil tussen zit.... ;(
Ik zie eigenlijk niet hoe criminelen last kunnen hebben van het bestaan van TrueCrypt. Kun je dat uitleggen?
Beschermde zakelijke gegevens. Persoonsgegevens. etc. Ik kan me echt wel een paar dingen bedenken waar een crimineel wat mee zou kunnen beginnen.
Dan kunnen ze niet meer zo makkelijk gevoelige informatie te vinden.
Pas maar op want straks bevat dat nieuwe team ineens mensen van bepaalde organisaties. Je gaat echt niet van de ene op de andere dag stoppen met je cryptotool zonder goede reden. De kans is groot dat ze onder druk gezet zijn omdat teamviewer te goed werkt en dat is een doorn in het oog van overheden.

[Reactie gewijzigd door Terrestrial op 30 mei 2014 13:21]

Laatste release was meer dan 2 jaar geleden.
Wellicht waren ze eigenlijk al gestopt.
Als je stopt met de ontwikkeling ga je niet alle oude releases weggooien.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True