Encryptietool krijgt ondersteuning voor TrueCrypt-containers

Een closed-source-encryptietool van het Canadese Exlade heeft ondersteuning voor TrueCrypt-containers toegevoegd, nu die software niet meer wordt ondersteund. Tegelijkertijd komen de makers met een gratis versie van de software.

Met de Cryptic Disk 4-software van het bedrijf, momenteel alleen beschikbaar voor Windows, kunnen gebruikers hun oude TrueCrypt-containers uitlezen en er bestanden aan toevoegen, maar alleen bestaande TrueCrypt-containers kunnen worden uitgelezen. De tool biedt niet de mogelijkheid om nieuwe TrueCrypt-containers aan te maken; voor nieuwe containers wordt enkel het eigen formaat van de tool ondersteund.

De software is volgens Exlade gratis te gebruiken, met een aantal beperkingen: zo is het versleutelen van volledige schijven enkel mogelijk met de betaalde versie, die 65 Canadese dollar kost, omgerekend 45 euro. Ook andere algoritmen dan AES, zoals Serpent en Blowfish, zijn alleen toegankelijk in de betaalde versie. Die versie biedt ook de mogelijkheid om data met meerdere algoritmes te versleutelen.

De ontwikkelaars van TrueCrypt trokken in mei plotseling de stekker uit het project en gebruikers werd geadviseerd om de cryptografiesoftware niet langer te gebruiken. De software zou mogelijk beveiligingsproblemen bevatten. Het is nog altijd niet duidelijk hoe de vork precies in de steel zit.

Cryptic Disk 4

Door Joost Schellevis

Redacteur

17-11-2014 • 09:51

43

Reacties (43)

43
43
32
6
2
5
Wijzig sortering
Wat is eigenlijk de stand van de audit bij truecrypt? Nadat fase 1 is afgerond in feb dit jaar zou er nog fase 2 komen waarin een audit de crypto zelf bekeken zou worden. De developers (anoniem) hebben daarna aangegeven niet meer aan truecrypt te werken. Wat resulteerde in wilde speculatie waarom. Al zal de meest praktische reden zijn dat men geen zin had om de hele source code op te schonen, verbeteren en voorzien van comments.

Daarna niks meer van gehoord over de verdere vorderingen bij de audit behalve een statement in mei dat de t-shirts aan backers zouden worden gestuurd.


http://istruecryptauditedyet.com

Sindsdien geen nieuws of updates meer.

[Reactie gewijzigd door CapTVK op 25 juli 2024 08:29]

Anoniem: 403331 @CapTVK17 november 2014 12:25
Is inderdaad interessant. Een audit op de crypto kan waardevol zijn omdat het kan bevestigen dat de crypto goed opgezet is (of niet) en dus dat Truecrypt-compatible containers/file systems in andere producten dat ook (of niet) zijn...
Voor de niet wetende, er zijn mensen die het idee hebben om TrueCrypt voort te zetten. Let wel op dat deze site de beste oude TrueCrypt versie online heeft staan en hebben nog geen updates gedaan, het is alleen nog een idee van hun. Deze versie ondersteund TrueCypt bestanden dus je kan gewoon verder werken met je oude bestanden! Link is https://truecrypt.ch/

[Reactie gewijzigd door Dexvi op 25 juli 2024 08:29]

backwards compatible met een waarschijnlijk gecompromiteerd bestand(s-systeem) is één ding er gewoon mee doorgaan met je kop in het zand een heel ander... ik zou daar nu mijn geld niet meer op inzetten te veel risico's... jamer als het een false positive is maar we gebruiken dit soort tools omdat we veilig willen zijn... niet omdat het cool is..
een waarschijnlijk gecompromiteerd bestand(s-systeem)
Als er al iets gecompromiteerd was aan TrueCrypt (wat ik ten zeerste betwijfel, er zijn nul aanwijzingen voor, maar juist wel veel argumenten waarom bepaalde partijen dat idee graag de wereld in willen helpen) dan wil dat nog geenszins zeggen dat er iets mis is met het bestand(ssyteem).
Duur voor een encryptietool. Een goed alternatief is Veracrypt..
Wat vind jij dan een redelijke prijs voor veiligheid/privacy? Of moet alles maar gratis zijn?
Een goede encryptietool moet open-source zijn. En dus gratis (ze kunnen er wel geld voor vragen maar als je de source hebt kan je het altijd zelf compileren).

Zonder toegang tot de source code kan het nooit geaudit worden, dus weet je niet of er backdoors in zitten of foutjes die de encryptie schaden. Encryptie goed implementeren is zeer moeilijk, kijk maar naar zelfs grote projecten die zich hiermee in de voet schieten. OpenSSL, en pas weer de SSL stack van Microsoft...
Dat zijn een hoop kromme uitspraken.

Een closed source encryptietool is niet per definitie slecht of andersom.
Voor een audit hoeft software niet open source te zijn, enkel de personen die de audit doen hoeven de code in te zien.
Ook een audit garandeert niet dat er geen backdoors inzitten. Absence of evidence isn't evidence of absence.
Het team dat de audit uitvoert verdient hetzelfde wantrouwen als elk bedrijf. Waarom zou je bedrijf a niet geloven dat iets veilig is maar auditbedrijf b wel?
Dat iets moeilijk is is eerder een argument waarom iets geld mag kosten dan tegen.

Gegeven, open source geeft de mogelijkheid aan de hele wereld om iets in te zien. Dat gebeurt bij kleine projecten doorgaans echter totaal niet. (gebrek aan kennis, tijd zin, interesse) Nadeel van die gratis open source pakketten is dan wel weer dat wanneer het fout gaat je niemand aansprakelijk kunt stellen, dus in die zin is het bijzonder onveilig.
Dan kan alsnog niemand controleren dat de source code die naar de auditor is gegaan, ook de source code is waarmee de versies worden gebouwd die men aanbiedt als download.

Zelf vanuit gecontroleerde sources de software kunnen bouwen is een vereiste voor zoiets als TrueCrypt.
Dan kan alsnog niemand controleren dat de source code die naar de auditor is gegaan, ook de source code is waarmee de versies worden gebouwd die men aanbiedt als download.
De auditors kunnen dat controleren door de geleverde source zelf te compilen en te vergelijken met de versie die online beschikbaar is. Ja, dat betekent dat we de auditors moeten vertrouwen, maar goed, dat moesten we toch al.
Zelf vanuit gecontroleerde sources de software kunnen bouwen is een vereiste voor zoiets als TrueCrypt.
Heel goed punt. Ik kan je het volgende leesvoer van harte aanbevelen:
How I compiled TrueCrypt 7.1a for Win32 and matched the official binaries
Maar closed source betekent dat slechts een partij die een speciale overeenkomst heeft met de maker een audit kan doen.. Met open source kan iedereen die dat wil door de source graven. Dus kan bijvoorbeeld een universiteitsstudent het bekijken. Het is veel moeilijker om bijvoorbeeld een backdoor geheim te houden van vele partijen die totaal geen belang hebben bij het produkt, dan van een enkele commerciele partij die allerlei zakelijke belangen heeft.

Als je bijvoorbeeld ziet dat zelfs hoog aangeschreven IT beveiligings bedrijven als RSA hebben meegewerkt met de NSA door bijvoorbeeld random number generators aan te passen, is dat toch blijkbaar iets wat je met een enkele officiele audit niet oplost.

[Reactie gewijzigd door GekkePrutser op 25 juli 2024 08:29]

Ook een audit garandeert niet dat er geen backdoors inzitten. Absence of evidence isn't evidence of absence.
Het team dat de audit uitvoert verdient hetzelfde wantrouwen als elk bedrijf. Waarom zou je bedrijf a niet geloven dat iets veilig is maar auditbedrijf b wel?
Dat iets moeilijk is is eerder een argument waarom iets geld mag kosten dan tegen.
Omdat een bedrijf dat audits doet zijn voortbestaan op het spel zet als ze (bewust of onbewust) slecht werk leveren. Hoe lang heeft Diginotar nog bestaan nadat openbaar werd dat ze hadden zitten prutsen...?
Bovendien gaat het niet om "Vertrouw bedrijf A" tegenover "Vertrouw bedrijf B", de echte afweging is "Vertrouw bedrijf A" tegenover "Vertrouw bedrijf A en B"; het is simpelweg moeilijker om twee bedrijven om te kopen dan om één bedrijf om te kopen.
Gegeven, open source geeft de mogelijkheid aan de hele wereld om iets in te zien.
Als je het dan echt goed wil doen, dan gaat het niet alleen om het controleren van de source, je moet ook de vertaling van source code naar object code nalopen: schone source betekent niks als je de compiler niet kunt vertrouwen. Enige probleem is... hoe controleer je de compiler? Door de source van de compiler te controleren natuurlijk! Oh maar wacht, hoe wordt die vertaald, met een compiler (vaak de compiler zelf). Oeps, toen hadden we een kip-ei probleem.

Het volgende artikel is tientallen jaren oud, maar mijns inziens verplichte kost voor iedereen die met beveiliging te maken heeft:
http://cm.bell-labs.com/who/ken/trust.html
Als je het dan echt goed wil doen, dan gaat het niet alleen om het controleren van de source, je moet ook de vertaling van source code naar object code nalopen: schone source betekent niks als je de compiler niet kunt vertrouwen. Enige probleem is... hoe controleer je de compiler? Door de source van de compiler te controleren natuurlijk! Oh maar wacht, hoe wordt die vertaald, met een compiler (vaak de compiler zelf). Oeps, toen hadden we een kip-ei probleem.
Giorgio Tsoukalos heeft daar een bijzonder gedetaileerd antwoord op :)
offtopic:

ik zoek al een tijdje naar een tool die mijn usb disk beveiligd met een wachtwoord.
Dus die niet een bestand beveiligd.
Maar goed :)

Voor veiligheid zou ik inderdaad willen betalen. Al vind ik gratis altijd leuk ^^
Met TrueCrypt en VeraCrypt is het beiden mogenlijk om een "device" zoals een usb volledig te encrypten.
die maken toch een eigen file aan (container) die ze dan beveiligen?
Daarmee heb ik dus nog steeds een schijf die iedereen kan openen zonder wachtwoord in te vullen.
Je kan inderdaad containers maken, maar ook een volledige schijf of usb encrypten :)
die maken toch een eigen file aan (container) die ze dan beveiligen?
Daarmee heb ik dus nog steeds een schijf die iedereen kan openen zonder wachtwoord in te vullen.
En dan staat er één enkel bestand op, dat zij met geen mogelijkheid kunnen openenen omdat het versleuteld is en alleen jij de sleutel hebt om het bestand te kunnen openen.
Zo rond de 2000 euro per jaar moet redelijk zijn. Als je leven je lief is natuurlijk.
Want mijn leven is me niet zeker als ik mijn data niet beveilig? 99,99% van alle privé pc gebruikers hebben niks spannends op hun pc staan, vaak komen ze niet verder dan wat foto's en wellicht wat andere troep die niemand interesseert. Iemand wilt je mails van jou en je oma stelen hoor! :D

En voor bedrijven is het heel ander verhaal natuurlijk maar daar speelt kosten ook niet zo mee natuurlijk.

Voor mijn is het dus 0 euro, en loopt ook geen enkele risico!
En voor bedrijven is het heel ander verhaal natuurlijk maar daar speelt kosten ook niet zo mee natuurlijk.
Nee, bedrijven hebben natuurlijk geld over, kosten maken niet uit ;(
Dan adviseer ik jullie: https://veracrypt.codeplex.com (fork van TrueCrypt)

Kan geen TrueCrypt containers openen, maar kan wel gehele disks gratis encrypten. En is bovendien open source.

Meer info: http://www.theinquirer.ne...fork-of-truecrypt-tips-up

[Reactie gewijzigd door Ruvetuve op 25 juli 2024 08:29]

Eens. Enige nadeel is dat het iets langer duurt voor je kunt booten t.o.v TrueCrypt, maar verder een zeer goed product dat zelfs veiliger is dan TrueCrypt was. Het feit dat het geen TrueCrypt containers kan openen is geen probleem, integendeel, we weten immers niet de exacte reden dat TrueCrypt er mee stopte.

VeraCrypt lijkt uit een gemotiveerd team te bestaan welke zeer goed handelt m.b.t. het oplossen van (soms hele kleine) beveiligingsrisico's en ze luisteren/werken heel goed met de community

[Reactie gewijzigd door Dannydekr op 25 juli 2024 08:29]

...

VeraCrypt lijkt uit een gemotiveerd team te bestaan welke zeer goed handelt m.b.t. het oplossen van (soms hele kleine) beveiligingsrisico's en ze luisteren/werken heel goed met de community
Het woordje LIJKT is wat spannend. Is bekend wie deze mensen zijn, wat de motivaties zijn en of ze inderdaad een veilig alternatief bieden tov Truecrypt?
Hoewel ik vermoed dat de makers van Truecrypt zeer integere personen waren weet je niet in hoeverre sommigen van hen onder druk zijn gezet door bijvoorbeeld een geheime dienst. Misschien is dat de reden geweest van de plotselinge beslissing om er mee te stoppen.

In ieder geval is er iets in maart gebeurd wat de legitimiteit van TrueCrypt zwaar onder druk zet, al is het niet de beveiliging, dan is het misschien wel de integriteit van (sommige) van zijn projectleden.
Omdat er tot op heden geen bekende kwetsbaarheden zijn gevonden in de laatste versie van TrueCrypt (en dan bedoel ik niet de manke versie die uitgegeven is toen men ermee stopte), gebruik ik die nog steeds omdat dit al lange tijd bestaat en zichzelf bewezen heeft. Nee het wordt niet meer verder ontwikkeld, maar het doet wat het moet doen en het doet het goed.

Ik zie dan ook geen reden om over te stappen naar bv. VeraCrypt als alternatief, een onbewezen alternatief.

[Reactie gewijzigd door geez op 25 juli 2024 08:29]

Het probleem is dat de "oude" bios uitgefaseerd wordt en het langzaam uefi wordt.
truecrypt heeft geen uefi support dus het is een kwestie van tijd voordat het game-over is.
truecrypt is juist niet bewezen, de audit is nooit helemaal afgemaakt en zonder een duidelijke opgaaf van reden is de ontwikkeling gestaakt met de bewering dat het niet langer gegarandeerd veilig ...

juist die vaagheden maken dat het eerder andersom is, iemand die truecrypt heeft geport en de dingen die in de audit naar boven zijng ekomen daarmee heeft opgelost, wellicht is dat ook exact de reden waarom het geen truecrypt containers ondersteund aangezien het risico bestaat dat die lek zijn...

volgens mij zit er nogal een drogredenering in je verhaal, dat vermoedelijk gebaseerd is op: ik heb het jaren lang gebruikt dus is het veilig... net zo veilig als die exploint in bash, of dat probleem met ssl... jaren gebruikt en veilig gewaand...
Waarschijnlijk is dat omdat veel mensen (ik ook) ervan uitgaan dat Truecrypt gestopt is doordat een geheime dienst forceerde een backdoor in te bouwen.
Wat de reden is zal een vraagteken blijven.

Dat de ontwikkelaar zelf zegt gebruik het niet meer zegt eigenlijk genoeg. Als je zo dom bent het toch te doen niet zeuren als het misgaat.

Voor de rest closed source encryptie gebruiken is dom bezig zijn.
Closed source encryptie is een onbekende vragen nieuwe sloten op jou deur te zetten waar je dan zelf niet bij bent.
De onbekende kan goede bedoelingen hebben maar ook een reserve sleutel houden of gemaakt hebben. Dus niet doen closed source.
Het punt is dat er geen goed alternatief is. Goed, de ontwikkelaar zegt dat het mogelijk niet veilig is, maar tegen wie? Om je USB Sticks te encrypten tegen de gelegenheidsdief of verlies op straat is het echt nog wel goed genoeg hoor. En dat is voor mij het belangrijkste doel.

Misschien dat overheidsdiensten het kunnen kraken, ja. Maar dat geldt waarschijnlijk voor alles wel. Het punt is dat er op dit moment geen andere tool is die zo cross-platform is als truecrypt. Linux, Windows, Mac OS, het werkt overal op. Daarom gebruik ik het nog steeds voor mijn USB sticks.

[Reactie gewijzigd door GekkePrutser op 25 juli 2024 08:29]

Als het voor de kleine dief of verlies op straat is kun je closed of open source nemen, dat maakt dan idd. weinig uit.

Overheidsdiensten alles kunnen kraken gaat me net iets te ver, veel wel maar niet alles.
Wat ik meer bedoelde met 'ze kunnen alles wel kraken', was de manier waarop de meeste mensen encryptietools gebruiken. Beveiliging is meer dan alleen de keuze voor een tool.

Om bijvoorbeeld een AES-256 key volledig te gebruiken, heb je een encryptie paswoord nodig van 43 random tekens (uppercase, lowercase, cijfers). Gebruik je er minder, zoals ongetwijfeld 99,99% van de mensen, dan heb je minder entropie in je paswoord dan in je encryptie key - en is dus je paswoord (vaak veel) makkelijker te brute-forcen dan je encryptiekey. En waar laat je die 43 tekens? In je hoofd lukt de meeste mensen niet dus dan schrijf je het ergens op - en zo ja hoe doe je dat dan veilig?

Verder spelen er andere dingen mee:
  • Weet je zeker dat er geen keylogger op je systeem zit (Volgens de Snowden leaks heeft de NSA zelfs hardware onderschept en aangepast!)
  • Gebruik je hetzelfde paswoord voor meerdere volumes
  • Waar bewaar je je backup keys
  • Is je Random Number Generator echt 100% random
  • Verander je al je keys als ze mogelijk gecompromitteerd zijn, bijvoorbeeld een keer per ongeluk op een email of cloud storage gezet
Als je dit allemaal niet 100% voor elkaar hebt dan kan een goed gefinancierde partij je encryptie brute-forcen als ze daar genoeg energie in steken. Veel encryptie zullen ze niet zomaar kunnen kraken nee, maar dat hoeft dus vaak gewoon niet. En anders hebben ze ook nog de alternatieve methoden. Dus ik ga er voor het gemak altijd maar vanuit dat de overheidsdiensten overal bij kunnen als ze dat echt willen.

[Reactie gewijzigd door GekkePrutser op 25 juli 2024 08:29]

Verplaats je eens in die ontwikkelaar. Jij ontwikkelt een dijk van een encryptietool. De Mossad ontdekt dat de Palestijnen het intensief gebruiken en ook de Russische geheime dienst ontdekt dat Gergorische en Oekraiense strijders het intensief gebruiken. Zij kloppen beiden bij je aan met niet al te vriendelijke bewoordingen. Daaroverheen komt dan ook nog de CIA waardoor je zeker weet dat het geen zin heeft om te klagen over die Mossad en die Russische KGB followup: de CIA zegt dan doodleuk: "zie je wel, breek het maar af, dan praten we verder". En dat kan nu precies de huidige situatie zijn: ontwikkeling staakt, ontwikkelaar zegt dat hij het niet meer gebruikt en probeert daarmee ons allen te overtuigen het niet meer te gebruiken - daarnaast staat hij vanzelfsprekend geen forks toe.

Ik ben niet overtuigd. Wat je hier voor conclusies aan moet verbinden, moet eenieder voor zichzelf beslissen.
En dat kan nu precies de huidige situatie zijn: ontwikkeling staakt, ontwikkelaar zegt dat hij het niet meer gebruikt en probeert daarmee ons allen te overtuigen het niet meer te gebruiken - daarnaast staat hij vanzelfsprekend geen forks toe.

Ik ben niet overtuigd. Wat je hier voor conclusies aan moet verbinden, moet eenieder voor zichzelf beslissen.
Dat hij, bovenop dat alles, nota bene BitLocker als alternatief aanraadt, een closed source proprietary alternatief van een Amerikaans bedrijf (waar de NSA uiteraard een backdoor in heeft), was wel een zeer duidelijke hint.
Ik gebruik ook nog de laatste (echte) versie van Truecrypt. Het is bewezen effectief en tot op heden niet gekraakt.

Elke nieuwe speler op de markt is m.i. een beveiligingsrisico. Er is te weinig kennis bij 99.9 procent van de bevolking om het te kunnen beoordelen, dus effectief ben je overgeleverd aan 'geloof'. Veracrypt klinkt mooi en integer, maar je weet niet wie er precies achter zit. Ik zou graag bewezen willen hebben dat het minstens zo veilig is als Truecrypt was, maar ik denk dat dat niet snel zal gebeuren en het op basis van goed vertrouwen moet blijven. Dan vormt Truecrypt m.i. nog steeds een goede beveiliging.
Dan is dit een artikel voor jou (ik gebruik ook nog gewoon 7.1).

http://www.esecurityplane...t-getting-a-new-life.html
Zelf vermoed ik dat geheime diensten vanwege contacten door die audit de identiteit van makers Truecrypt hebben achterhaald.
Het woordje LIJKT is wat spannend. Is bekend wie deze mensen zijn, wat de motivaties zijn en of ze inderdaad een veilig alternatief bieden tov Truecrypt?
VeraCrypt wordt gemaakt door een Fransman genaamd Idrassi. Wat zijn motivatie is, is natuurlijk altijd gissen. Voor zover ik kan vinden is er geen spraken van een team.

Wat betreft de veiligheid, in VeraCryipt zijn veen potentiele problemen uit Truecrypt opgelost. Totdat de boel grondig is gecontroleerd door experts weten we het niet zeker.

Ik proef enige skepsis in jouw reactie, en dat is denk ik terecht. Het feit dat VeraCrypt open source is maakt het niet inherent veiliger.
Naast VeraCrypt is er een tijdje een andere fork van TrueCrypt in ontwikkeling: CipherShed. De maker van VeraCrypt staat ook achter samenwerking met CipherShed.

Van CipherShed is nog geen officiële versie uit, een verschil met VeraCrypt is dat CipherShed compatible blijft met TrueCrypt volumes. Dus ook bestande volumes en disks lezen & schrijven.

Overigens is de originele TrueCrypt 7.1a ook nog gewoon beschikbaar via het reeds genoemde https://truecrypt.ch/ (en eerlijk gezegd geloof ik er geen zak van dat daarvan de veiligheid zogenaamd in het geding is, klinkt eerder als dat TrueCrypt offline is gehaald onder druk van inlichtingendiensten omdat die er niet in konden).
Als een computer systeem geruime tijd niet draait rest in alleen nog een bruteforce poging.
Veel succes gewenst bij sterke en lange wachtwoorden.Een evil maid aanval zou mischien nog het gewenste resultaat kunnen opleveren.

http://www.lostpassword.com/kit-forensic.htm
http://www.heise.de/newst...-und-Platten-2454742.html
Waaorm niet gewoon TrueCrypt blijven gebruiken ? (www.truecrypt.ch)

Op dit item kan niet meer gereageerd worden.