Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: TrueCrypt website adviseert gebruikers software niet langer te gebruiken.  (gelezen 4792 keer)

Zojuist gelezen op Tweakers.net: http://tweakers.net/nieuws/96312/truecrypt-website-adviseert-gebruikers-software-niet-langer-te-gebruiken.html

Dat is balen. Als alternatief wordt Bitlocker genoemd. Dus dat betekent dat er voor Linux-gebruikers op dit moment geen waardig alternatief is voor dergelijke software?  :'(

Edit: het staat inderdaad ook op de website van TrueCrypt: http://truecrypt.sourceforge.net/
« Laatst bewerkt op: 2014/05/29, 15:03:05 door Marqeaux »
I'm just a simple guy who uses open source software. What's your excuse?

Offline Soul-Sing

  • Lid
 http://truecrypt.sourceforge.net/ http://truecrypt.sourceforge.net/ heeft als site, plek een slechte reputatie.
Voor de rest merkwaardig verhaal, ik geloof dat er al langer plannen waren om truecrypt te stressen, testen. Maar dit....:/

Hoezo geen waardig alternatief? Ubuntu heeft toch mogelijkheid tot versleuteling van je bestanden ingebouwd?

Hoezo geen waardig alternatief? Ubuntu heeft toch mogelijkheid tot versleuteling van je bestanden ingebouwd?

Uiteraard! Maar ik bedoelde eigenlijk een applicatie die op alle platformen gebruikt kan worden. Ik heb voor mijn werk altijd een versleutelde USB-stick bij me met gevoelige gegevens. Maar op het werk ben ik verplicht om het in Windows te kunnen openen. Dus op je eigen systeem is de versleutelngsoptie uitstekend, maar hoe dus te doen als je je versleutelde bestanden moet benaderen vanaf een ander systeem of OS? Daar was TrueCrypt erg handig voor...

http://truecrypt.sourceforge.net/ http://truecrypt.sourceforge.net/ heeft als site, plek een slechte reputatie.
Voor de rest merkwaardig verhaal, ik geloof dat er al langer plannen waren om truecrypt te stressen, testen. Maar dit....:/

Ik vind het zelf ook een merkwaardig verhaal. Ik vertrouw het ook voor geen cent eigenlijk. Hier steekt meer achter...
« Laatst bewerkt op: 2014/05/29, 15:46:10 door Marqeaux »
I'm just a simple guy who uses open source software. What's your excuse?

Trouwens, ik zie helemaal niet dat de devs Bitlocker aanraden? Ze zeggen alleen dat Windows het heeft ingebouwd en verder zeggen ze op hun site "You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform." Oftewel: platform-specifieke tools.

Trouwens, Sourceforge heeft gereageerd en gezegd dat er geen sprake is van een hack gebaseerd op wat zij kunnen zien achter de schermen:
Citaat


    Providing some details from SourceForge:

        We have had no contact with the TrueCrypt project team (and thus no complaints).

        We see no indicator of account compromise; current usage is consistent with past usage.

        Our recent SourceForge forced password change was triggered by infrastructure improvements not a compromise. FMI see http://sourceforge.net/blog/forced-password-change/

    Thank you,

    The SourceForge Team communityteam@sourceforge.net
https://gist.github.com/ValdikSS/c13a82ca4a2d8b7e87ff

Trouwens, ik zie helemaal niet dat de devs Bitlocker aanraden? Ze zeggen alleen dat Windows het heeft ingebouwd en verder zeggen ze op hun site "You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform." Oftewel: platform-specifieke tools.

Ik baseerde me op het artikel op Tweakers.net, waarin staat:

Citaat
"Op hun website hebben de ontwikkelaars een handleiding geplaatst om gebruikers hun bestanden te laten versleutelen met Bitlocker van Microsoft, als vervanging voor TrueCrypt."

Het klopt dat ze het niet expliciet adviseren, maar indirect toch wel. Anders zou je geen gebruikershandleiding van specifiek Bitlocker plaatsen. Ik begrijp wel dat ze dat hebben gedaan omdat de Windows-populatie nu eenmaal het grootst is, en dat ze daarom Bitlocker hebben geadviseerd. Maar je kunt dit natuurlijk op vele manieren uitleggen. Zeker de Windows-sceptici.

Dit is - voor mij dan - verder niet van belang. Wat wèl van belang is: wat nu te gebruiken om je USB-stick te versleutelen, of in ieder geval een beveiligde container op deze stick, die multi-platform is en die in principe overal toegankelijk is voor de eigenaar/beheerder van die data?

Het lijkt me niet productief door constant te gaan moeten "dual-booten" op mijn werk-PC, alleen om de versleutelde data te benaderen. Ha ha....  :P
I'm just a simple guy who uses open source software. What's your excuse?

Offline MKe

  • Lid
Ik gebruik encfs om bestanden te versleutelen op Dropbox en copy.com. Er is ook een windows versie van, dus ik kan mijn encrypted files op beide systemen lezen. Volgens mij kon ik die gebruiken op windows met een copy-paste installatie. De grafische ui is wel apart en ff zoeken.

Offline Soul-Sing

  • Lid
zulucrypt werkt prima met luks. ook mooi.

Seahorse werkt ook prima. Net als zoveel tooltjes onder Linux. Maar ja... allemaal tools die je niet cross-platform kan gebruiken. TrueCrypt was/is de enige tool (correct me if I'm wrong) die cross-platform was/is én een redelijk makkelijk te gebruiken GUI heeft zonder een hoop extra gedoe uit te moeten halen.

Maar anyway... ik kan me nog steeds niet aan het gevoel onttrekken dat dit TrueCrypt-verhaal uiterst vreemd over komt. Ik volg de discussie op Tweakers.net in ieder geval nauwgezet. :)
I'm just a simple guy who uses open source software. What's your excuse?

Er zijn ook andere cross-platform tools:
https://wiki.archlinux.org/index.php/Disk_encryption#Comparison_table

En ZuluCrypt. En als je een dual-boot hebt kun je ook Bitlocker aanzetten en vanuit Linux Bitlocker-volumes aankoppelen (mounten). (trouwens, voor het geval er een discussie komt over Bitlocker: MS heeft onlangs 'nee' gezegd tegen de brute dwang van de NSA om een backdoor in te bouwen; is dus veilig te gebruiken)

En w.b.t. hacking: hier mijn ongoing research:

Ik ga ervanuit dat Sourceforge de waarheid vertelt en dat er dus niets gewijzigd is door mensen van buitenaf (als in: anderen dan de projecteigenaren). Bovendien blijken de key files overeen te komen.

Edit: iemand op Hacker News heeft ook wel een punt, eigenlijk:

Citaat
And to top it off, let's put ourselves in the theoretical attacker's shoes, the binaries when run make no unexpected connection attempts or write to any unexpected places and don't appear to contain any unexpected imports, so if this was a hack, it's a very stealthy and very boring one. The most they achieved would be uninteresting to most attackers. It would only really be an effective attack against people who had TrueCrypt volumes but not a current copy of TrueCrypt as there's no compelling reason for anyone to upgrade to 7.2 and certainly they'd be skeptical after this. Any attacker with the intelligence and patience for such an attack would surely realize how poor an execution this would be. A better attack would be "here, it's TrueCrypt 8, it has loads of EFI support and mad security, everyone should install it, it's the best!". There's simply no reason to shut it down like this, unless the attack is just an elaborate practical joke.

It's quite possible this came from 1 big developer hack, but considering how the release was done, with full source and everything for every supported platform... if it was a hack, it's a very, very good one. They've also decided to modify the license terms, perhaps bringing it into compatibility with more common FOSS licenses.

I think it's far more likely at this point that the devs, who had not updated their software in years, finally decided to call the project over and have marked it insecure because the codebase is now unmaintained and should be assumed insecure.

Edit2: helemaal vreemd is "may contain unfixed security issues" niet want een professionele audit die recent gedaan is op TrueCrypt toonde aan dat er een lek zit in de programmacode waardoor wachtwoorden van zwak tot redelijk sterk makkelijk gestolen kunnen worden via een brute force attack.

Edit3: de Truecrypt-server is in ieder geval verdwenen/uitgeschakeld, volgens iemand op Hacker News want: " Their mail server is on the same IP as truecrypt.org, and it's now rejecting mail."

Edit4: wel vreemde devs, dat wel. Want volgens Matthew D, een van de mensen die de professionele audit van Truecrypt doet zegt: https://twitter.com/matthew_d_green/status/472048696440258560
Maar hij zegt wel dat een hack hem niet waarschijnlijk lijkt: https://twitter.com/matthew_d_green/status/471782586667130881



Major:
Edit5: voor iedereen die wil zien wat er gewijzigd is in de broncode van 7.2: https://github.com/warewolf/truecrypt/compare/master...7.2
« Laatst bewerkt op: 2014/05/29, 22:10:19 door Vistaus »

Offline koos4401

  • Lid
Op 27-okt-2009 om 08.20 GMT geregistreerd als gebruiker nr.: 498523

Re: TrueCrypt website adviseert gebruikers software niet langer te gebruiken.
« Reactie #11 Gepost op: 2014/05/30, 11:40:37 »
Het grappigste hieraan vind ik dat veel mensen, zowel op dit forum als het internet, vaak zeggen dat je geen spul moet installeren van onbekende ontwikkelaars. Nu, TrueCrypt was best populair maar eerlijk is eerlijk: de ontwikkelaars hebben zichzelf nooit echt bekend gemaakt. Dat is ook wat ik opmaak uit reacties op de nieuwssites en zelfs meneer Matthew Green, een van de auditers van TrueCrypt, zei dat het contact erg moeizaam was en dat zelfs hij geen flauw idee heeft wie er achter TrueCrypt zit.

Re: TrueCrypt website adviseert gebruikers software niet langer te gebruiken.
« Reactie #12 Gepost op: 2014/05/30, 12:14:00 »
....zei dat het contact erg moeizaam was en dat zelfs hij geen flauw idee heeft wie er achter TrueCrypt zit.

Waylon?  =D


Zonder dollen; hoe zijn de ervaringen met de standaard Ubuntu/Mint encryptie?
- standaard /home encryptie
- encryptie van externe USB-sticks/HDD/SDD met Gnome Schijfgereedschap

Ik snap dat het niet cross platform is, maar voor encryptie van /home en een backup schijf is er toch niets mis mee?

Re: TrueCrypt website adviseert gebruikers software niet langer te gebruiken.
« Reactie #13 Gepost op: 2014/05/30, 14:30:42 »
En dan heb je het mooie van opensource:

http://news.softpedia.com/news/TrueCrypt-Not-Dead-Forked-and-Relocated-to-Switzerland-444447.shtml


Er is inmiddels een fork in de maak.
openSUSE LEAP KDE
Kubuntu

Offline MKe

  • Lid
Re: TrueCrypt website adviseert gebruikers software niet langer te gebruiken.
« Reactie #14 Gepost op: 2014/05/30, 15:31:00 »
....zei dat het contact erg moeizaam was en dat zelfs hij geen flauw idee heeft wie er achter TrueCrypt zit.

Waylon?  =D


Zonder dollen; hoe zijn de ervaringen met de standaard Ubuntu/Mint encryptie?
- standaard /home encryptie
- encryptie van externe USB-sticks/HDD/SDD met Gnome Schijfgereedschap

Ik snap dat het niet cross platform is, maar voor encryptie van /home en een backup schijf is er toch niets mis mee?

Gebruikt die ook niet gewoon encrfs? Dat is prima crossplatform, tenminste, ik gebruik dat ook onder Windows.

Re: TrueCrypt website adviseert gebruikers software niet langer te gebruiken.
« Reactie #15 Gepost op: 2014/05/30, 15:50:11 »
En dan heb je het mooie van opensource:

http://news.softpedia.com/news/TrueCrypt-Not-Dead-Forked-and-Relocated-to-Switzerland-444447.shtml


Er is inmiddels een fork in de maak.

Dat wisten we vanmorgen al ;)
http://forum.ubuntu-nl.org/index.php?topic=84789.msg914007#msg914007

Zonder te dollen: het is belangrijk nieuws, dus goed om het nog een keer gepost te zien :)

Offline koos4401

  • Lid
Re: TrueCrypt website adviseert gebruikers software niet langer te gebruiken.
« Reactie #16 Gepost op: 2014/05/30, 20:44:38 »
Dank, Vistaus, voor je compliment: :D
Citaat
Zonder te dollen: het is belangrijk nieuws(, dus goed om het nog een keer gepost te zien)
;)

Op 27-okt-2009 om 08.20 GMT geregistreerd als gebruiker nr.: 498523

Re: TrueCrypt website adviseert gebruikers software niet langer te gebruiken.
« Reactie #17 Gepost op: 2014/05/31, 13:16:45 »
Blijft een vaag verhaal, andere kant men is gestopt na dat mikie de suport voor xp stopte.
Men kan dan speculeren dat de devs een medewerkers van ms is,en ms samenwerkte met de nsa al dan niet vrijwillig.Ook is een mogelijkheid dat de uefi boot er iets mee te maken heeft.
Tijd zal het leren.En eigenwijs als ik ben blijf ik het gewoon gebruiken :)

Re: TrueCrypt website adviseert gebruikers software niet langer te gebruiken.
« Reactie #18 Gepost op: 2014/05/31, 13:35:05 »
Blijft een vaag verhaal, andere kant men is gestopt na dat mikie de suport voor xp stopte.
Men kan dan speculeren dat de devs een medewerkers van ms is,en ms samenwerkte met de nsa al dan niet vrijwillig.Ook is een mogelijkheid dat de uefi boot er iets mee te maken heeft.
Tijd zal het leren.En eigenwijs als ik ben blijf ik het gewoon gebruiken :)

De devs waren vrij anoniem, maar zeker geen medewerkers van MS. Als dat zo zou zijn, dan zouden ze geen Truecrypt-patenten aanvragen op individuele basis in zowel Tjechië (!) als Amerika voor een bedrijfje Truecrypt Limited. Dan had MS de patenten zelf op naam gezet, en dan al zeker niet in Tjechië. Bovendien waren de patenten dan al eerder boven water gekomen en niet pas nu.
MS en samenwerking met de NSA is trouwens ook geen sprake van. Zoals ik eerder al zei: MS heeft de NSA toegang tot een backdoor plaatsen in Bitlocker geweigerd.

Maarja, vaag verhaal is het wel, dat ben ik met je eens.


Re: TrueCrypt website adviseert gebruikers software niet langer te gebruiken.
« Reactie #20 Gepost op: 2014/05/31, 15:24:43 »
Ja, ik had het gelezen inderdaad. Goed initiatief. Hopelijk gaat het ze lukken. :)
I'm just a simple guy who uses open source software. What's your excuse?

I'm just a simple guy who uses open source software. What's your excuse?

Re: TrueCrypt website adviseert gebruikers software niet langer te gebruiken.
« Reactie #22 Gepost op: 2014/06/24, 14:32:01 »
Nu zitten we weken verder en is de website nog altijd hetzelfde. Inmiddels heeft wel één van de ontwikkelaars zich laten horen en zegt dat forken niet gaat gebeuren, dus dagdag Zwitserland :( http://arstechnica.com/security/2014/06/following-truecrypts-bombshell-advisory-developer-says-fork-is-impossible/
« Laatst bewerkt op: 2014/06/24, 14:35:54 door Vistaus »