Ontwikkelaars organiseren zich voor doorontwikkeling TrueCrypt

Een groep ontwikkelaars gaat ervoor zorgen dat TrueCrypt wordt doorontwikkeld. De originele makers trokken onlangs plotseling de stekker uit het project wegens vermeende beveiligingsproblemen. De nieuwe ontwikkelaars proberen een community op te zetten.

Voor de verdere ontwikkeling van TrueCrypt is de webpagina truecrypt.ch in het leven geroepen. De initiatiefnemers kiezen ervoor om zich in Zwitserland te vestigen wegens eventuele licentieproblemen die in de Verenigde Staten zouden kunnen ontstaan. Eerder gaven de ontwikkelaars al aan te overwegen om een fork van TrueCrypt te starten, waarbij nog niet duidelijk was of dit volgens de voor TrueCrypt geldende licentie wel is toegestaan.

Op de website roepen de initiatiefnemers op om een ontwikkelcommunity te starten zodat de TrueCrypt-software niet verloren gaat. Geïnteresseerde gebruikers kunnen op truecrypt.ch versie 7.1a van de encryptiesoftware downloaden; dat is de laatste versie die werd uitgebracht door de originele ontwikkelaars met de mogelijkheid om bestanden te versleutelen.

Vooralsnog is men nog niet met de ontwikkeling van een fork van TrueCrypt begonnen. Eerst willen de initiatiefnemers de organisatie rond krijgen. Daarnaast wordt er gewacht totdat de resultaten van een beveiligingsaudit bekend zijn. Daaruit moet blijken of er gaten in de beveiliging van TrueCrypt zitten. Bij een eerdere audit werden overigens geen problemen ontdekt.

Een aantal dagen geleden verscheen plotseling op de TrueCrypt-website het advies om de software niet langer te gebruiken wegens mogelijke beveiligingsproblemen. Er werd een nieuwe versie van de encryptiesoftware online gezet waaruit de mogelijkheid om bestanden te versleutelen is verwijderd. Oudere versies van de software werden van de site verwijderd. Het stopzetten van de ontwikkeling leidde tot vele speculaties. Zo werd vermoed dat de melding is geplaatst door hackers, of onder druk van de Amerikaanse autoriteiten.

IT-banen

Reacties (70)

iVent 1 juni 2014 20:23

F.Y.I.
New Truecrypt initiative:
http://truecrypt.ch

TruPax a TrueCrypt compatible:
http://www.coderslagoon.com

VeraCrypt a TrueCrypt clone:
https://veracrypt.codeplex.com

Good Luck!

Franckey @iVent • 1 juni 2014 21:14

Het zou mooi zijn als er één standaard formaat ontstaat waar verschillende tools voor zijn. Zoals bijv. bij .zip en .iso. Het probleem is alleen: wie beheert de standaard?

pe1dnn 1 juni 2014 09:51

Ik hoop dat dit wat gaat worden. Truecrypt is voor wat mij betreft het enige tool wat je nog enigszins kan vertrouwen omdat de broncode onafhankelijk geaudit kan worden.

Als je Truecrypt voor het eerst gebruikt krijg je allerlei aanwijzingen waar de paranoia van af spat, het is dan ook onbegrijpelijk dat opeens verwezen wordt naar een gesloten product van een Amerikaans bedrijf terwijl inmiddels wel algemeen bekend is dat de NSA zo ongeveer overal met de dikke vingers aan gezeten heeft. Als het inderdaad onder druk is gedaan dan zou ik juist het aangeboden alternatief met echte scepsis bekijken en juist met een grote boog mijden. Het is vast super veilig, behalve juisdt voor die ene organisatie met die dikke vingers...

Truecrypt is bijzonder nuttig om zoiets te hebben om bijvoorbeeld data in de cloud te zetten waar je niet van wil dat anderen toegang hebben, ook de NSA niet, omdat ze niets met je privé zaken te maken hebben. Gevoelige klant data kun je in en Truecrypt container zo via Dropbox, Google drive, OneDrive of zelfs Mega verplaatsen.

Kortom, ben blij als een groep de handschoen oppakt en als veilige, open en auditable code door ontwikkeld of in stand houdt zonder dat er geheime afspraken gemaakt kunnen worden over achterdeurtjes of master keys.

dannyvanhooy 1 juni 2014 09:37

Op de site van Github is het project geopent onder Opentruecrypt. Wie zal er nog vertrouwen hebben na het nieuws.

robvanwijk

Encryptie
Netwerk en systeembeheer

@dannyvanhooy • 1 juni 2014 15:16

We hadden met zijn allen vertrouwen in TrueCrypt vóór de audit en toen de ontwikkelaar(s) anoniem was / waren (geen idee wat zijn / haar / hun reguliere baan was, voor welke werkgever of wat voor (security) credentials hij / zij / ze heeft / hebben). Ik heb werkelijk geen idee hoe dat ooit zo is gekomen want eigenlijk slaat het nergens op...

Dan gaan we nu naar de situatie toe waarin er een officiële audit heeft plaatsgevonden, het project waarschijnlijk gerund wordt door (in elk geval een aantal) niet-anonieme mensen, en dat opgestart is ná NSA-gate, zodat iedereen weet dat ze uiterst voorzichtig moeten zijn met het accepteren van patches van onbekenden.

Op de lange termijn is dit misschien lang zo'n slechte ontwikkeling niet...

Bovendien, wat is het alternatief? BitLocker is closed-source, bij mijn beste weten nooit fatsoenlijk ge-audit en heeft een reëel risico op een backdoor (niks tegen MS; ze zijn gevestigd in een "the land of you're-either-with-us-or-you're-against-us" met heel enge Big Brother wetgeving en geheime "rechtbanken" -- als ze de opdracht krijgen om een backdoor in BitLocker te zetten hebben ze weinig andere keus dan dat te doen).

batjes @robvanwijk • 1 juni 2014 19:15

Bovendien, wat is het alternatief? BitLocker is closed-source, bij mijn beste weten nooit fatsoenlijk ge-audit en heeft een reëel risico op een backdoor (niks tegen MS; ze zijn gevestigd in een "the land of you're-either-with-us-or-you're-against-us" met heel enge Big Brother wetgeving en geheime "rechtbanken" -- als ze de opdracht krijgen om een backdoor in BitLocker te zetten hebben ze weinig andere keus dan dat te doen).

FBI/NSA hebben geen backdoor nodig om om bitlocker of anderen heen te komen.

Despite Microsoft's refusals to backdoor its product, the engineers kept working with the FBI to teach them about BitLocker and how it was possible to retrieve data in case an agent needed to get into an encrypted hard drive.

At one point, the BitLocker team suggested the agency target the backup keys that the software creates. In some instances, BitLocker prompts users to print out a piece of paper with the key needed to unlock the hard drive, to prevent loss of data if a user forgets his or her key.

"As soon as we said that, the mood in the room changed dramatically," said the anonymous Microsoft engineer. "They got really excited."

In that instance, law enforcement agents wouldn't need a backdoor after all. As the engineer suggested, all they would need was a warrant to access a suspect's documents and retrieve the document that would unlock his or her hard drive.

De recovery key achterhalen is vele malen makkelijker als een hele disk decrypten.

Backdoors plaatsen is ook achtelijk, als de FBI een backdoor voor Bitlocker heeft, kan Microsoft het wel schudden op de enterprise markten.
Plus andere partijen kunnen dezelfde backdoor net zo hard misbruiken.

Opzich een prettig leesstukje http://mashable.com/2013/...osoft-bitlocker-backdoor/

elloco999 @batjes • 2 juni 2014 13:10

Inderdaad een interessant artikel, bedankt voor de link

Maar of het achterhalen van de recovery key nou werkelijk zo makkelijk is... Het artikel heeft het hier over het achterhalen van een uitgeprinte key. Als je nou echt niet wilt dat de overheid in jou beveiligde bestanden gaat zitten snuffellen hoef je dus alleen maar je key niet uit te printen. Of die alsnog te vernietigen. En hoeveel mensen raken zo'n stukje papier niet kwijt?

Als ik nou bitlocker zou gebruiken om mijn lapop te beveiligen zodat mijn informatie veilig is als ik hem kwijt raak of als ie gestolen wordt ofzo, dan zou ik inderdaad als backup de key kunnen uitprinten zodat ik toch nog bij mijn eigen data kan in het geval ik mijn wachtwoord vergeten zou zijn. En als de politie ooit mijn data wil inzien en ze hebben een gerechtelijk bevel daarvoor, geef ik ze het wachtwoord en gaan ze maar lekker rondneuzen.

Zou ik me daar echter zorgen om maken omdat ik er iets op heb staan dat niet door de beugel kan, dan zou ik die key nooit uitprinten en het wachtwoord vertellen zou ik ook niet doen. Dan is de enige optie die ze nog rest het breken van de beveiliging. En dan hebben ze dus alsnog een backdoor, of een of andere kwetsbaarheid in de beveiliging nodig.

Natuurlijk wil geen enkele fabrikant van beveiligingsproducten een backdoor inbouwen in hun product. Als dat uitkomt vertrouwen de klanten je product niet meer en ben je de sjaak. En inderdaad, als er een backdoor in een product zit is dat ook door anderen dan alleen de politie/ geheime diensten te gebruiken. Daar zit niemand op te wachten.

batjes @elloco999 • 2 juni 2014 14:00

Bitlocker is te recoveren, als je het niet in een enterprise omgeving doet.
Krijg je die print out met een code.
Als je het in een enterprise omgeving doet. Word die code centraal op een server opgeslagen.

In beide gevallen is het een eitje voor de FBI of NSA om die code te achterhalen.

En als de FBI/NSA zo'n bitlocker disk zelf hebben om proberen open te breken word het ook redelijk makkelijk.
Onze KLPD kon van die kinderporno gast Robert M ook op zijn laptop komen zonder zijn wachtwoord terwijl hij zijn troep volgens mij achter 3 lagen truecrypt oid had zitten. Duurde wel 2 maanden dacht ik.

Als onze politie het kan, weet ik vrijwel zeker dat de FBI of NSA met fysieke toegang tot de disk het ook wel kunnen.

elloco999 @batjes • 4 juni 2014 10:20

Laten we er even van uit gaan dat we niet over een enterprise omgeving spreken. Je krijgt dus een printje met de code als je bitlocker gebruikt. (Ik maak trouwens uit de tekst op dat het uitprinten van de code optioneel is: "BitLocker prompts users to print out a piece of paper with the key needed to unlock the hard drive".) Hoe moeilijk zou het zijn om dat printje te vernietigen? Als je je echt zorgen zou maken dat iemand jou code zou kunnen gebruiken om je bestanden in te zien, verbrand je het toch gewoon?

Mijn punt is dat het wel lastig wordt om een geprinte code te achterhalen als iemand paranoide/ angstig/ verstandig genoeg is om er voor te zorgen dat dat papiertje er niet meer is. Misschien zijn het soort criminelen dat de FBI in de gaten wil houden niet snugger genoeg om die recover code te laten verdwijnen? Anders snap ik niet dat ze zo blij zijn met het nieuws dat de recover code uit geprint wordt.

Volgens mij is er geen enkele beveiliging die niet te kraken is, zolang je maar voldoende kennis en rekenkracht tot je beschikking hebt. Maar toch vraagt de FBI om backdoors in beveiligingsproducten. Dus misschien kost het ze toch teveel moeite om het zonder backdoor (of recover code) te kraken...

mhkool @robvanwijk • 1 juni 2014 19:51

Ja, het zou fijn zijn om te weten waarom men de stekker eruit gehaald heeft. We kunnen wel speculeren maar daar schiet je niet zo veel mee op: het zou zo maar eens kunnen dat de NSA een geheim gerechterlijk bevel had gegeven om een backdoor in te bouwen. Daar kom je nooit achter. Misschien is het waar of misschien is het slechts een speculatie.

Vanaf nu is het van belang om in alle openheid de encryptie opnieuw te reviewen en zo nodig te verbeteren.

En ga er nou niet vanuit dat het alles oplost: als de douane je aanhoudt en ze willen heel nodig weten wat er op je laptop staat, gaan ze je gewoon gijzelen totdat je het wachtwoord geeft, dus daarvoor helpt het niet. Maar als beveiliging tegen diefstal is het wel goed.

aldo15 @mhkool • 2 juni 2014 14:54

Als ik me niet vergis bied truecrypt ook mogelijkheid voor hidden volumes, ik denk niet dat een douane beambte die een twee drie gevonden heeft.

Verwijderd @robvanwijk • 2 juni 2014 11:49

als ze de opdracht krijgen om een backdoor in BitLocker te zetten hebben ze weinig andere keus dan dat te doen

Dat is toch echt niet zo.

Je denkt dat misschien omdat bedrijven als Google en Microsoft gedwongen kunnen worden data opgeslagen in hun cloud vrij te geven maar bitlocker is iets heel anders. De basis van die toegangsmogelijkheid tot de cloud ligt in het feit dat de data bij die bedrijven is opgeslagen en daarmee effectief onderdeel is van hun bedrijfsvoering.

Bitlocker echter beschermt private data van organisaties en personen op hun eigen systemen. Dat is juridish een enorm verschil.
Dat is private data op eigen private systemen die alleen met een (gerechterlijk) bevel richting rechtstreeks bij die private partijnen kan worden opgevraagd.

De overheid van de VS kan dus niet zo maar bedrijven dwingen om hun software voor derden aan te passen.
Het is trouwens ook ongewenst omdat informatie over die aanpassingen te makkelijk gelekt kan worden door medewerkers van die bedrijven.

[Reactie gewijzigd door Verwijderd op 4 augustus 2024 19:03]

robvanwijk

Encryptie
Netwerk en systeembeheer

@Verwijderd • 2 juni 2014 16:22

Het onderscheid tussen cloud-data en prive-data heeft als gevolg dat de inlichtingendiensten niet tegen MS kunnen zeggen "stuur even een dump van de harde schijf van [persoon]", want ja, daar kunnen ze niet bij. Ik zie geen enkele reden waarom dat zou betekenen dat ze niet (a priori, voordat het product geleverd wordt) een backdoor erin kunnen zetten (zodat, als er bij een huiszoeking een versleutelde schijf gevonden wordt, de encryptie te omzeilen is).
Het hele punt is nou juist dat personen (met bedrijven zit het anders, als ik het goed begrepen heb), niet gedwongen kunnen worden om aan hun eigen vervolging mee te werken... waardoor je ze (waarschijnlijk, maar daar zijn de juristen nog over aan het vechten) niet kunt dwingen om hun encryptiesleutel af te geven.

Wat de Amerikaanse overheid zichzelf wel of niet laat doen, daar waag ik me niet aan; daar gaat de laatste paar jaar zoveel fout...

Ja, ieder weldenkend mens kan je vertellen dat het bestaan van een achterdeurtje vroeg of laat uitlekt (of, onafhankelijk door iemand wordt gevonden). Zodra dat gebeurt zitten ook de Amerikaanse overheid (en bedrijven) met een gigantisch probleem. Toegegeven, resultaten uit het verleden bieden geen garantie voor de toekomst, maar ze zijn er stom (of is "kortzichtig" een beter woord?) genoeg voor.

Verwijderd @robvanwijk • 2 juni 2014 16:55

Ik zie geen enkele reden waarom dat zou betekenen dat ze niet (a priori, voordat het product geleverd wordt) een backdoor erin kunnen zetten (zodat, als er bij een huiszoeking een versleutelde schijf gevonden wordt, de encryptie te omzeilen is).

Ik weet van geen enkele mogelijkheid in de wetgeving waarop een inlichtingendienst zoiets zou kunnen vragen.

Bij de clouddata is daar een basis gelegd de normale opsporingswetgeving om criminelen op te sporen (is ook in NL het geval) en nog eens sterker aanvullend in de FISA wetgeving om terroristen op te sporen (in NL heb je deels als tegenhanger de verplichte opslag van verkeersgegevens) maar dergelijke wetgeving biedt voor zover bekend geen mogelijkheid om bedrijven als Microsoft, Google en Apple te dwingen om hun software producten voor derden aan te passen.
Sterker nog, zoiets zou mogelijk juist strafbaar kunnen zijn binnen de VS wetgeving en kunnen leiden tot gerechterlijke stappen tegen de medewerkers van die bedrijven.

Recent is er ook nieuws gekomen over de NSA die router producten zou aanpassen maar ook daar ging het dan om producten die niet via de amerikaanse leverancier werden aangepast maar om producten die werden onderschept tijdens het transport naar specifieke klanten, vervolgens werden uitgepakt en dan voorzien werden van andere software en daarna weer werden ingepakt door de inlichtingedienst zelf..

[Reactie gewijzigd door Verwijderd op 4 augustus 2024 19:03]

Verwijderd @robvanwijk • 2 juni 2014 11:15

BitLocker is closed-source, bij mijn beste weten nooit fatsoenlijk ge-audit

Bitlocker heeft bijvoorbeeld FIPS 140-2 certification van de US en Canadese standaardisatieorgnisaties NIST en CASC
http://csrc.nist.gov/grou...0-1/140crt/140crt1339.pdf

i-chat

Open source

@dannyvanhooy • 1 juni 2014 13:37

ik denk dat truecrypt in een nood voorziet die niet zomaar even te overbruggen is, er is voor zover ik weet geen enekele andere disk-encripy software die FDE compatible maakt tussen win mac en linux EN tevens nog eens plausible dininabillity voorziet, je zult maar van gay porn houden in de marrokaanse tunesische (oid) douanes willen je laptop even zien

met een beetje pech tref je het zo dat je een week lang in een rattenhol weg kunt rotten voor men uberhaubt je ambassade iets laat weten...

Harry_Sack @i-chat • 2 juni 2014 00:32

Gelukkig voorziet Truecrypt ook in de behoefte van heel veel andere mensen die helemaal geen reet met gay porn te maken willen hebben.

Mocro_Pimp® @i-chat • 1 juni 2014 14:00

Het bezitten van gay porn is in Marokko niet verboden. Daarnaast worden laptops enzo niet/weinig gecontroleerd op software maar vooral op drugs in de behuizing. Je opmerking slaat nergens op

Silmarunya @Mocro_Pimp® • 1 juni 2014 14:33

Homoseksuele relaties en media die homoseksuele relaties 'verspreiden' zijn allebei verboden in Marokko. Maar het land knijpt een oogje toe als het op toeristen aankomt, en zoals je zelf zegt wordt de inhoud van een laptop zelden gecontroleerd.

Als ik echter een Marrokaans staatsburger was (of een burger van om het even welk moslimland) zou ik wel mijn laptop willen encrypten. Zelfs in landen die gay porn niet expliciet verbieden is er een lange traditie van het bezit ervan als bewijs voor homoseksualiteit zien, in de meeste moslimlanden een strafbaar misdrijf (zie onder meer Syrië). En je weet maar nooit wanneer je laptop eens door de politie wordt doorzocht, al is het maar per toeval omdat je bijvoorbeeld ten onrechte als verdachte van een of ander delict wordt gezien.

[Reactie gewijzigd door Silmarunya op 4 augustus 2024 19:03]

mae-t.net @Mocro_Pimp® • 1 juni 2014 18:43

Als je Marokko even verandert in Uganda (of Rusland zelfs), waar onder invloed van Amerikaanse christen-fundamentalisten (die zelf waarschijnlijk ook niet brandschoon zijn, zo leert de ervaring) homoseksualiteit of zelfs elke verwijzing ernaar verboden is (als je aan het dodelijke volksgericht weet te ontsnappen wacht je op zijn minst een forse celstraf), dan snap je dat zoiets daadwerkelijk een probleem kan zijn.

En zou je het dan nog niet geloven, denk aan eventueel politiek gevoelig materiaal zoals over mensenrechten of ueberhaupt vrije nieuwsgaring in het algemeen. Alleen al voor NGO's (zoals bijvoorbeeld Free Press Unlimited, maar er zijn er talloze) kunnen dergelijke versleutelingen van levensbelang zijn.

[Reactie gewijzigd door mae-t.net op 4 augustus 2024 19:03]

MacD @Mocro_Pimp® • 2 juni 2014 10:50

OK, Malaysia dan.

_Thanatos_ @dannyvanhooy • 2 juni 2014 04:21

Ik. Ik vind het maar bullshit, die reactie van TC op een bug. Alsof software die bugs bevat, moet ophouden met bestaan

FIX DE BUG DAN.

Verwijderd @dannyvanhooy • 1 juni 2014 16:05

Ik wel hoor; goede ontwikkelaars zijn nou eenmaal vaak halve autisten. (anders ga je niet de hele dag naar een schermpje turen)

Er kunnen dus allerlei maffe redenen zijn waarom de support voor Truecrypt plotseling is gestopt.
En ik ben in goed gezelschap: Steve Gibson denkt er ook zo over.

Ramon 1 juni 2014 09:38

Goed nieuws. Het was ook belachelijk dat één anonieme developer zo een pakket op zich nam.

blorf @Ramon • 1 juni 2014 09:59

Volgens mij is het nogal overrated. Ik heb het nooit gebruikt maar zijn er niet zat methodes en programma's om een blok binaire informatie, dus een bestand, schijf, tape of USB-stick te coderen op basis van een sleutel? Persoonlijk lijkt het me juist een risico om iets als Truecrypt zomaar in vertrouwen te nemen. Vooral als je het precompiled op een closed source OS installeert.
Ook de "Truecrypt license" welke nu ook overal offline is gehaald klinkt dubieus. Wat mankeert er aan de bestaande OSS licenties? Juist bij security-gerelateerde software is het beter om transparant te zijn. Een alternatieve licentie voeren helpt daar niet bij. Daar zijn redenen voor geweest.

[Reactie gewijzigd door blorf op 4 augustus 2024 19:03]

pe1dnn @blorf • 1 juni 2014 10:21

Volgens mij is het nogal overrated. Ik heb het nooit gebruikt maar zijn er niet zat methodes en programma's om een blok binaire informatie, dus een bestand, schijf, tape of USB-stick te coderen op basis van een sleutel?

Volgens mij ging Truecrypt nog wel behoorlijk wat verder.

Achilleshiel van cryptografie is, naast natuurlijk een goed algoritme, het hebben van echte random data. Dat is ook waar de meeste gaten zitten, random data die niet echt random is. Truecrypt loste dat op door geen generator te gebruiken maar door jou gegenereerde muis invoer. Overigens had de oorsponkelijk PGP dat ook met random tekst, geen idee of dat nog zo is, naar PGP heb ik al heel lang niet meer gekeken.

Daarnaast is de code ook niet triviaal, je wil bijvoorbeeld niet dat plain text in buffers blijft zitten of op andere manier te achterhalen is. Dus als je een bestand op een versleuteld volume bekijkt en volgens sluit, dat in de buffers van het OS of van je versleutel programma nog fragmenten blijven zitten met niet versleutelde data.

Noem mij 1 programmatje dat versleuteld met een degelijk algotitme, open source is en een zelfde defensieve/paranoide implementatie heeft. Misschien heb ik totaal iets gemist maar ik ken geen gelijke. Bovendien was het beschikbaar voor Windows, Linux en zelfs op een iBook PowerPC Mac. En toegankelijk voor jan met de pet. Een Truecrypt container met bestanden is vele malen beter beveiligt dan een ZIP of RAR met een wachtwoord...

Paul C @pe1dnn • 1 juni 2014 12:30

Je vergeet hierbij nog de hele functionaliteit van Truecrypt om hidden volumes te maken die je plausible deniability geven.

D.w.z. met truecrypt kun je een encrypted volume verbergen in een encrypted volume. Omdat zo'n volume met een dubbele bodem niet te onderscheiden is van een volume die dat niet heeft kun je in het geval van een goed (plausible) verhaal ontkennen dat die tweede laag er is. Hiermee kun je jezelf dus een bescherming geven tegen dwang om je wachtwoord op te geven (e.g. een gerechtelijk bevel om je wachtwoord te delen of erger nog bij dwang met geweld).

Je zult dus in de eerste laag van je volume een cover story moeten bedenken om het aannemelijk te maken dat je die volume gebruikt voor dat gene en niet iets waarnaar de aanvaller op zoek is. Bijvoorbeeld porno waarvan het aannemelijk is dat beschamend is dat iemand anders het vindt (maar wat je niet echt wilt verbergen, want dat materiaal zit in je hidden volume), zodat de aanvaller je verhaal geloofd dat het volume daarvoor is.

pe1dnn @Paul C • 1 juni 2014 13:52

Dat heb ik nog nooit gebruikt maar ik weet inderdaad wel dat het kan. Wat ik me wel afvraag: Aangezien het hidden volume van alles kan bevatten, zou een hidden volume misschien ook nog weer een hidden volume kunnen bevatten? Dan wordt het natuurlijk wel helemaal tricky want dan kun je de informatie vele lagen diep verbergen... Misschien eens voor de grap een keer uitproberen...

MaikelG @pe1dnn • 1 juni 2014 14:16

dat kan niet vanuit de software zelf: TC geef je bij het aanmaken van een hidden volume die keuze niet.
Je kunt natuurlijk wel een omweg nemen: in de ontsleutelde container een groot bestand plaatsen wat weer een container is, evt. met weer een hidden volume

Paul C @pe1dnn • 1 juni 2014 23:15

Haha, als je die functionaliteit wel gebruikt zou je het ook ontkennen, want anders heb je het concept niet helemaal begrepen!

Verwijderd @pe1dnn • 1 juni 2014 12:03

Een spinoff: Zelf coderen door bijvoorbeeld met alle data uit een door jouw te kiezen foto-bestand de bytes te encrypten d.m.v. adden of substracten of whatever. Zeer snel en effectief.

Edit: Moet je wel eerst comprimeren of doe dit na een conventionele encryptie want als je vaak blokken met dezelfde inhoud encrypt kun je stukken achterhalen. Heb je wel random data die niet te achterhalen is

[Reactie gewijzigd door Verwijderd op 4 augustus 2024 19:03]

pe1dnn @Verwijderd • 1 juni 2014 13:32

Je denkt toch niet serieus dat een eenvoudig scramble algorithme als het optellen of aftrekken van een offset maar enige vorm van beveiliging geeft tegen crypto analyse. Als je dat wel denk kan ik je uuencode aanbevelen.

Als je een beveiliging zoekt zodat een toevallige PC reparateur niet je zakelijke mail kan bekijken dan is ZIP met een wachtwoord ruim voldoende. Als je niet wil dat een NSA mee kan kan kijken of tegen iemand die serieus de moeite wil nemen om je berichten in te zien dan is dat volstrekt onvoldoende.

Maar als je echt serieus data wil beschermen, bijvoorbeeld je Bitcoin wallet beschermen tegen diefstal maar toch kunnen opslaan op Google drive zodat je niet al je geld verliest als je disk crashed, dan moet je iets degelijks hebben als Truecrypt was.

Aanvulling: Je kan bij Truecrypt ook extra een key bestand opgeven (willekeurig wat voor bestand), die gegevens worden dan ook gebruikt bij het versleutelen. Zonder het key bestand is de informatie reddeloos verloren. Onvergelijkbaar met een willekeurig zelf in elkaar gebutst programmaatje.

[Reactie gewijzigd door pe1dnn op 4 augustus 2024 19:03]

Verwijderd @pe1dnn • 1 juni 2014 17:15

"Je kan bij Truecrypt ook extra een key bestand opgeven"

Wist ik niet. Maar dat bedoelde ik dus. Niet alleen afhankelijk zijn van een bepaalde encryptie-methode van derde maar iig een extra laag van bescherming die jij alleen hebt (key-bestand) toe te voegen.

Verwijderd @pe1dnn • 1 juni 2014 11:31

Misschien is Diskcryptor wat voor je

https://diskcryptor.net/wiki/Main_Page

pe1dnn @Verwijderd • 1 juni 2014 14:04

Misschien, maar ik zie alleen informatie over het versleutelen van hele disk partities. Truecrypt kan data opslaan in bestanden (het bestand wordt na het koppelen een drive). Een bestand kun je gemakkelijk verplaatsen via de cloud en naar backups. Ik kon zo snel niets daarover vinden op die site of die het ook kan, ze lopen er in elk geval niet mee te koop dus ik denk van niet. Ik denk dat dit meer is om informatie op je systeem te beschermen tegen diefstal.

Verwijderd @blorf • 1 juni 2014 10:21

TC is compatible tussen meerdere OSen (linux, mac, windows), is open source, heeft een enorme groep gebruikers en is ondertussen door de eerste audit fase heen na het hele NSA debacle. Van welk stukje crypto software kun je dit nog meer zeggen?

Hopelijk zal er een groep zijn die de ontwikkeling kan voortzetten want dit is gewoon erg belangrijke software voor veel mensen.

rboerdijk @Verwijderd • 1 juni 2014 11:07

De truecrypt website schijnt bitlocker aan te bevelen. Da's van microsoft, die staan bekend om hun goede security en samenwerking met veiligheidsdiensten (dat maakt het dus extra veilig)

[/naive-mode=off]

B64

@blorf • 1 juni 2014 10:10

zijn er niet zat methodes en programma's om een blok binaire informatie, dus een bestand, schijf, tape of USB-stick te coderen op basis van een sleutel?

Noem eens iets? En dan vooral iets dat voor iedere Jan-met-de-pet te gebruiken en te begrijpen is? Niet iedereen is software-developer...

blorf @B64 • 1 juni 2014 10:16

http://en.wikipedia.org/w..._disk_encryption_software

Maar een beetje OS kan zelf ook het een en ander.

procyon @blorf • 1 juni 2014 10:50

Alles wat is verwerkt in OSén van microsoft en apple is direct of indirect onderhevig geweest aan invloeden vanuit de amerikaanse overheid.

De lijst die jij aanhaalde (dank daarvoor btw) bevat een tal van opties maar hoe kan een gemiddelde gebruiker daar nou iets uit kiezen? Welke van deze pakketten zijn gemaakt door Amerikaanse bedrijven? welke van deze pakketten werken gemakkelijk?

TrueCrypt is simpel en iedereen kent het (door alle verhalen uit 2010 waarin de FBI aangaf het een irritant stukje software te vinden).

Geweldig als dit nieuw leven krijgt door een groepje enthousiastelingen die enthousiast meedoen uit (vooral) ethische overwegingen en daarmee hopelijk niet te corrupteren zijn door 'invloeden'..

Eagle Creek

@procyon • 1 juni 2014 11:20

De lijst die jij aanhaalde (dank daarvoor btw) bevat een tal van opties maar hoe kan een gemiddelde gebruiker daar nou iets uit kiezen? Welke van deze pakketten zijn gemaakt door Amerikaanse bedrijven? welke van deze pakketten werken gemakkelijk?

De gemiddelde gebruiker die jij noemt hoeft helemaal niet te malen over invloed van de Amerikaanse overheid. Deze gemiddelde gebruiker wil dat als zijn laptop gejat wordt er geen privefotos of documenten uitlekken, niet voorkomen dat de NSA na een uitgebreide crypto-analyse zijn schijf misschien toch kan ontsleutelen

.

Eenvoud is voor de gemiddelde gebruiker misschien wel een argument maar dan komt het neer op tal van goede websites die zo'n product beschrijven. Bitlocker, om er maar een te noemen, is niet bijzonder complex in gebruik

[Reactie gewijzigd door Eagle Creek op 4 augustus 2024 19:03]

Verwijderd @Eagle Creek • 1 juni 2014 11:34

Het lijkt me inmiddels vrij duidelijk dat iedereen moet "malen" over de invloed van de amerikaanse overheid. Zie voor weer een voorbeeld de frontpage van vandaag... http://tweakers.net/nieuw...r-gezichtsherkenning.html

Silmarunya @Verwijderd • 1 juni 2014 14:36

Wie niets te verbergen heeft EN niet bezorgd is om zijn eigen privacy (een domme houding, maar gelukkig geen strafbare) moet daar toch niet om malen?

Je schijnt te vergeten dat heel veel mensen privacy, zeker online privacy, weinig belangrijk achten.

mae-t.net @Silmarunya • 1 juni 2014 18:50

Ergens om malen is (gelukkig) niet verplicht, maar het is wel verstandig om je minstens enigszins, al is het maar een klein beetje, bewust te zijn van de keuzes die je maakt.

svenM @Verwijderd • 1 juni 2014 11:41

Zou moeten inderdaad, maar hoeveel mensen doen het ook effectief? In mijn onmiddellijke omgeving merk ik er bitter weinig van jammer genoeg.

Verwijderd @procyon • 2 juni 2014 12:03

Alles wat is verwerkt in OSén van microsoft en apple is direct of indirect onderhevig geweest aan invloeden vanuit de amerikaanse overheid

Daar is echter geen bewijs voor.

Terwijl er bijvoorbeeld wel zat bewijs is dat de overheid van de VS data opvraagt opgeslagen bij Amerikaanse bedrijven. Iets wat ook binnen de wetgeving van de VS is toegestaan (ook al rekt de NSA die interpretatie flink wat op)
Overigens vraagt ook Nederlandse justitie data op bij bijvoorbeeld Amerikaanse en Nederlandse bedrijven (iets waar dan weer weinig ophef over is) omdat ook de Nederlandse wetgeving het opvragen van gegevens toestaat. Niet beperkt tot onze landsgrenzen.

wadjinn @blorf • 1 juni 2014 10:53

Alleen is dit niet zo veilig als TC.

Blokker_1999

Netwerk en systeembeheer
Open source

@blorf • 1 juni 2014 10:18

Het punt was dat je bij truecrypt de broncode kon downloaden ondanks dat het geen FOSS is. Op deze manier was het mogelijk om een audit te doen en desnoods de code opnieuw te compileren net om zeker te zijn dat er niet mee geknoeid werd.

i-chat

Open source

@blorf • 1 juni 2014 13:46

om te beginnen, trucrypt kan zich min of meer als een gestapeld filesystem gedragen dat toegankelijk is onder 3 os'en windows linux en mac ... er zijn al nauwelijks gewone filesystems die dat kunnen laat staan wanneer je fde toepast...

EpicEraser @blorf • 2 juni 2014 10:13

Disk encryption waarbij je kunt mounten en wijzigen zonder heel het ding steeds te moeten decrypten en weer encrypten... Ik ken geen nuttige open source, cross platform oplossing buiten Truecrypt. Cross platform is erg belangrijk voor mij omdat ik verschillende besturingssystemen (Windows en Linux) gebruik.
Precompiled is geen probleem. Er zijn projecten mensen die de binaries geverifieerd hebben met de source code (https://madiba.encs.conco...ecrypt-binaries-analysis/), er worden signatures bij de binaries geleverd en er is een lopend project voor een volledige security audit (http://istruecryptauditedyet.com/).
De license is een beetje onhandig, maar in elk geval is de software open source. De makers lijken met hun license forks te willen voorkomen, omdat ze van anderen niet vertrouwen dat ze de software veilig houden. Beetje jammer dat ze dit standpunt nog steeds vasthouden, ook nu ze zelf met het project stoppen.

Segafreak83 1 juni 2014 10:57

Wie zegt dat het überhaupt nog te vertrouwen is, voor hetzelfde geldt hebben ze bij de audit er iets in gestopt en het zonder pardon goedgekeurd en vervolgens download iedereen de "bug" versie, waar de NSA zo mee kan kijken (als voorbeeld dan

).

En de nieuwe groep, wat als daar iemand van de NSA inzit, ben je alsnog het haasje..

Daarnaast begrijp ik de fascinatie niet om alles te moeten beveiligen, als ze iets willen achterhalen, dan is het toch wel te kraken. Alles wat door de mens gemaakt is, kan door de mens gekraakt worden. En de meest veilige weg is nog wel om een systeem gewoon niet aan het internet te hangen

(muv verloren usb sticks en externe schijven)

[Reactie gewijzigd door Segafreak83 op 4 augustus 2024 19:03]

analogworm @Segafreak83 • 1 juni 2014 11:13

Het lijkt me dat de onderzoekers van de audit ook niet op hun achterhoofd zijn gevallen en de door hun gecontroleerde versie vergelijken met de publiekelijk beschikbare versie...

Rembert @Segafreak83 • 1 juni 2014 11:20

Ik heb nog nooit in zo'n team meegedraaid maar het lijkt me dat hiernaar 'en groupe' wordt gekeken: als de een er iets raars inklooit, dan moet de organisatie zo zijn dat een ander het ontdekt - in principe zou iedere code submit goed geanalyseerd moeten worden voordat deze in de trunk terecht komt. Dat geldt niet alleen voor encryptie software maar zou moeten gelden voor alle software projecten.

Fascinatie om alles te beveiligen? Ik denk dat fascinatie een verkeerd woord is: noodzaak past misschien beter. In sommige landen moet je vanwege het geldende regime wel je bestanden encrypten omdat je anders wel heel erg veel risico loopt - zelfs nu in een land als Thailand lijkt me het verstandig je kritische verhalen even te verplaatsen naar een TrueCrypt container en die ergens offline op een harddisk te zetten.

Meest veilige weg iets niet aan Internet hangen? Bij TrueCrypt gaat het niet zozeer om beveiliging vanaf Internet maar vooral de beveiliging an sich: de mensen waar jij je data tegen wil beschermen hebben vaak directe toegang tot je data, bv. door het in beslag nemen van je apparatuur.

Zelfs in een land als Nederland is dit verstandig zodra je echt gaat graven naar bv. het functioneren van veiligheidsdiensten of justitie en daarbij gevoeilige informatie weet te verzamelen en/of de juiste contacten weet te leggen. Het lijkt me voor journalisten dan ook een must-have en zeker geen fascinatie.

sumac 1 juni 2014 12:24

Ik download zonet de DMG voor OSX, controleer de signature, en krijg een fail?!

i-chat

Open source

@sumac • 1 juni 2014 13:50

kan ook een download fout zijn he ...
gewoon nog een keer proberen en anders een andere download bron zoeken

zarex @sumac • 1 juni 2014 14:34

Is het de dmg die gesigned is of de binary in de dmg? Misschien kraam ik onzin uit, ik heb weinig ervaring met macs

skatebiker @sumac • 1 juni 2014 20:32

Of gatekeeper ? Met de Finder rechtermuis klikken op de dmg en dan opp 'open' ipv dubbelklikken ?

grizzler 1 juni 2014 10:27

Eerlijk gezegd zou ik 7.1a niet meer vertrouwen. Het gedoe rond het stoppen van de ondersteuning door de oorspronkelijke ontwikkelaars heeft voor mij een te hoog 'lavabit-gehalte'. Ik ben benieuwd wat de audit oplevert.

wadjinn @grizzler • 1 juni 2014 10:52

Truecrypt 7.1a wordt audit op uitgevoerd en tot op heden is er niets gevonden wat niet klopt. Geef mij dan een plausibele reden om TC 7.1a niet meer te kunnen gebruiken. TrueCrypt zou verplicht moeten worden voor bedrijven met gevoelige informatie over derden (zeker voor ambtenaren die USB stickies gebruiken en verliezen).

TweakOverflow

@wadjinn • 1 juni 2014 13:12

9 van de 10 ambtenaren bij ons op kantoor hebben al encrypted USB sticks. Het is dan wel geen TrueCrypt, maar niet zomaar iedereen kan zo'n encrypted USB kraken.

kozue

Open source

@TweakOverflow • 1 juni 2014 19:27

En welke encryptie gebruiken ze daarvoor dan? Bitlocker? Ik kan die sticks misschien niet lezen nee, maar ga er maar vanuit dat de NSA het wel kan. Als je dus bedrijfsgeheimen probeert te beschermen schiet het zo z'n doel volledig voorbij. Sterker nog, door het te encrypten is nu misschien de NSA geinterresseerd wat er op staat en staan alle documenten al op hun servers. De beste plek om een boom te verstoppen blijft toch in het bos.

mroz @kozue • 1 juni 2014 20:37

Ik gebruik zelf een Kingston DataTraveler vault privacy met hardware matige 256-bit AES encryptie. Voorheen gebruikte ik een TrueCrypt container op een USB stick, maar dit werkt net zo makkelijk..

ongewoongewoon 1 juni 2014 09:41

Waarom geeft de originele ontwikkelaar de software niet vrij? Nu zitten ze om een licentie heen te werken in zwitserland...

bonus @ongewoongewoon • 1 juni 2014 10:32

Misschien zit de good old USA hier weer eens achter ? Zou me nik verbazen...
Ze doen er alles aan om in formatie "open" te houden, althans voor zichzelf. Daar kon TrueCrypt natuurlijk wel eens een lelijke stok in je spaken zijn.

Ik zou ook goed uitkijken dat er tijdens de formatie van de nieuwe ploeg er niet iemand bij zit met een linkje naar je weet wel wie zodat er toch nog ergens ineens een backdoor blijkt te zijn gecreeerd.

Verwijderd @ongewoongewoon • 2 juni 2014 11:20

Misschien is Truecrypt ontwikkeld door een geheime dienst zoals de Mossad, GCHQ, de NSA of de SVR.
Die gaan dan natuurlijk geen licentie verstrekken en zichzelf daarmee blootgeven.

Heeft niemand zich ooit afgevraagd hoe zo'n tool zo maar door een anonieme partij ontwikkeld en verspreid is.

[Reactie gewijzigd door Verwijderd op 4 augustus 2024 19:03]

johnkeates 1 juni 2014 11:16

Ik gebruik gewoon LUKS, werkt een stuk beter/makkelijker/sneller, je kan er van opstarten en de volumes zijn een stuk lastiger te vinden dan TC containers. Daarnaast is TC nog steeds vatbaar voor coldboot attacks en LUKS al een tijd niet meer.

thanx 1 juni 2014 12:18

Heb al jaren veel plezier gehad van TC. Het gaat mij niet om de absolute veiligheid (alles is te kraken) maar om de eenvoud, uitwisselbaarheid naar andere systemen en betrouwbaarheid. Op al deze vlakken heeft TC me nog nooit in de steek gelaten.
Ideaal om data (relatief) veilig in de cloud te zetten, maar bijvoorbeeld ook om privé gegevens te bewaren op je zakelijk labtop.
Ik had geen backup van het programma en wil binnenkort mijn PC opnieuw installeren, dus net maar even alles van truecrypt.ch gedownload. $_/-\o_$

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (70)

Sorteer op:

Weergave: