Truecrypts säkerhet ifrågasätts efter mystiskt meddelande på officiell webbplats

Permalänk
Melding Plague

Truecrypts säkerhet ifrågasätts efter mystiskt meddelande på officiell webbplats

Det stormar kring det populära krypteringsprogrammet Truecrypt sedan ett mystiskt meddelande dykt upp på den officiella webbplatsen, som varnar för att fortsätta använda mjukvaran.

Läs artikeln

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Medlem

Varför blir jag inte förvånad?

Visa signatur

Hemmabio ljud Denon x2700h - Dali Oberson 7 - Dali Oberson 1 - Dali Vokal - Dali Altevo - Dali Sub e-12
Kamera Sony a7r iv - Sony 16-35 - Sony 105 - Sony 100-400
Hemsida Instagram

Permalänk
Medlem

Jaså, så bitlocker är bättre alltså?

Visa signatur

MODERMODEM: Asus ROG Strix Z270E Gaming | i7 7700K | Corsair Hydro H110 | Kingston HyperX Savage 32GB DDR4 RAM | Asus GeForce RTX 3060 Ti TUF OC | Crucial BX100 500GB SSD | Phanteks Enthoo EVOLV | SilverStone Strider Evolution 1200W |

Permalänk
Discokungen
Skrivet av morxy49:

Jaså, så bitlocker är bättre alltså?

Det känns knappast säkert. Utan att ta fram foliehatten så är det inte helt osannolikt att NSA har grävt i Microsofts kod.

Och jo, det är ett problem även om jag har rent mjöl i påsen. Är det smutsiga händer som gräver i min påse så blir det ändå smutsigt mjöl.

Visa signatur

AMD 5800X3D - G.Skill Trident Z 3200 CL16 32GB - Asus B550 TUF - ASRock 7900 XTX Phantom - Intel 900p - CaseLabs S8 - LG 42C2 - Corsair AX1200i - Aquaero 6 - Vattenkyld

Permalänk
Medlem

Svårt att avgöra alls vad detta är. Känns ju inte precis som att de skulle släppa det på det här sättet.

Permalänk
Skrivet av Henrikfotograf:

Varför blir jag inte förvånad?

Det vet jag inte. Varför svarar du inte på frågan själv. Mycket lättare än att vi andra ska spekulera.

Visa signatur

]:)
veni auditivi decendare

Permalänk

Jag hade inte litat en sekund på BitLocker då det är stängd källkod och utvecklat av Microsoft. Tro fan det finns bakdörrar in för NSA i i den skiten. Hela det här ser väldigt fishy ut.

Permalänk
Medlem
Citat:

Bitlocker, som inte har öppen källkod och även tros innehålla bakdörrar, åtminstone bland säkerhetsexperter av det mer konspiratoriska slaget.

För att NSA samt andra underhållstjänster har ju aldrig lagt press på dom stora Amerikanska företagen att kunna få fram information kring bakdörrarna i olika system.

Självklart är det NSA som tagit över Truecrypt så att man kan få tillgång till filerna när folket hoppar över till Win7/Win8.
Hatten är på nu grabbar!

*** raderat ***

Se forumregel § 1.6
Permalänk
Medlem

NEJ!!!
Slut på folie

Visa signatur

Citera för svar!
ASUS X570-E, AMD 5950X, RTX4080 Super, 32gb B-die

Permalänk
Medlem

Det här är bland det skummaste jag sett på nätet.
Verkligheten överträffar dikten!

Permalänk
Moderator
Festpilot 2020, Antiallo

FOLIE!!!

Gonna keep Truecrypt. Hoppas allt blir bra på hemsidan snart igen.

Visa signatur

 | PM:a Moderatorerna | Kontaktformuläret | Geeks Discord |
Testpilot, Skribent, Moderator & Geeks Gaming Huvudadmin

Permalänk
Medlem

Ni kanske borde läsa här innan ni kommenterar, kommentarerna ger mer information än artikeln.

Permalänk
Medlem
Citat:

The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. [...] You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.

löjligt, aldrig att det där är den äkta anledningen. Det är så orimligt att man måste ha skrivit så med flit för att folk ska fatta att det rör sig om något annat.. Jag tar på mig foliehatten och finner inte teorierna kring påtryckningar omöjliga.

Visa signatur

| Ryzen 5800x | Asus prime x470 pro | Asus rtx 3080 tuf oc | Gskill 32gb 3,6ghz | Dell S2721DGFA | Asus MG279Q |

Permalänk
Avstängd

Att den legitima anledningen till att utvecklingen skulle upphöra pga av Microsoft slutat stödja Windows XP är inte trovärdig då man länge känt till datumet då Microsoft skulle upphöra med att stödja Windows XP och vanlig praxis när man planerar att upphöra utveckling är att gå ut med det i flera månader innan och annonsera att det är "deprecated" eller "obsolete" och fasas ut, dessutom är Truecrypt cross-platform och även för Linux och Mac.

Att någon hackat sajten är inte sannolikt, då personen ifråga skulle försöka vara tysta och smyga in bakdörrar. Att någon script kiddie "defejsat" (eng: deface) sajten är inte trovärdigt då den personen inte skulle släppa en ny version och ändra källkoden.

Jag vet inte om binären för nya version 7.2 stämmer överens med källkoden, men kollar man på en diff på version 7.1a och 7.2 så ser man ingenting suspekt. Det som är ändrat är att koden för att kryptera är borttagen, varningar om att programmet är osäkert är tillagt, licensen blev lite mer liberal, och några små ointressanta ändringar.

Så jag tror inte version 7.2 är osäkrare än 7.1a som släpptes för två år sedan. Tvärtom så kan den vara säkrare, då den saknar funktioner för kryptering (om det fanns någon svaghet i krypteringsfunktionen för gamla versionen så finns den inte längre).

Varför släpptes en ny version?
För att utvecklaren inte vill att folk ska fortsätta använda TrueCrypt. Den nya versionen kan inte göra nya krypteringar och kan bara användas för att dekryptera befintlig data så du kan migrera till en annan kryptolösning.

[b]Varför vill inte utvecklaren att du ska fortsätta använda TrueCrypt[/url]
Han kan ha blivit kontaktad av NSA eller mottagit ett NSL (National Security Letter) som hindrar honom från att säga något, annars hamnar han i trubbel.
Kanske för han känner till att det finns bakdörrar men inte får säga det rakt ut.
Kanske för att på så sätt hindrar han någon annan (NSA) som tvingat sig till kontrollen över projektet att fortsätta utvecklingen och lägga in bakdörrar.

Varför blev licensen mer liberal?
Genom kickstarter så hyrdes ett team av säkerhetsexperter att gå igenom koden.
Kanske hoppas han på att community ska forka projektet och fortsätta utvecklingen.

Permalänk
Medlem
Skrivet av rektor:

Jag vet inte om binären för nya version 7.2 stämmer överens med källkoden, men kollar man på en diff på version 7.1a och 7.2 så ser man ingenting suspekt.

Om jag minns rätt, är certifikatet som använts för signaturen acceptabel. GPG signaturen är samma som använts för tidigare.

Det är visserligen teoretiskt möjligt att en attackerare skulle kunna komma åt dessa - men det tycker jag är osannolikt. En sådan incident skulle inte förvåna mig om vi snackar web-devs eller smartphone-app-devs; säkerhets kompetensen där är vanligtvis låg. Bland kompetenta/erfarna säkerhets programmerare skyddas dessa i regel ganska bra; ofta är den lagrad på ett separat system med airgap (inget wi-fi, LAN, eller internet).

Så sofistikationen för att komma åt denna information för en vanlig 'hacker' blir mycket hög. För hög för någon som bara vill sprida lite graffiti.

Så det som förmodligen har hänt är som många gissar:

Permalänk
Medlem

Andra gången på kort tid man seriöst ifrågasätter användandet av öppen källkod.

Först är alla sajter med openssl komprometterade av en "bugg" som ingen lyckats hitta på tio år, nu är det mest använda krypteringsprogrammet komprometterad.

Vad ska man tro egentligen ?

Permalänk
Medlem
Skrivet av Rellim:

Andra gången på kort tid man seriöst ifrågasätter användandet av öppen källkod.

Först är alla sajter med openssl komprometterade av en "bugg" som ingen lyckats hitta på tio år, nu är det mest använda krypteringsprogrammet komprometterad.

Vad ska man tro egentligen ?

Truecrypt är inte open source.

Skickades från m.sweclockers.com

Permalänk
Hedersmedlem

Verkar helt snurrigt, man vet inte vad man ska tro, men som vanligt får man lite humor på köpet (från reddit):

BitLocker is a closed-source product, by Microsoft, built into Windows.

As far as cryptography goes, that's like running a marathon in a mine-field in North Korea whilst waving a flag that says "THE GREAT LEADER IS A PUSSY" and singing the America-song from Team America: World Police.

Visa signatur

W10, Intel 5820K, Asus X99-S, Crucial DDR4 2133MHz 32GB, Sapphire 290X Tri-X, Intel 730 SSD, WD Black+Green+HGST, Silverstone FT02, Corsair AX1200, Corsair K90, Logitech MX518, Eizo 2736w, Eaton 5115 UPS. Pixel 7 pro

Permalänk
Medlem

Det här luktar NSA, NSL (National Security Letter) lång väg
Jag kommer att fortsätta att använda mitt gamla TrueCrypt 7.1

Visa signatur

Core I7 3770K, Gigabyte Z77X-UP 5 TH, CORSAIR 32GB DDR3 VENGEANCE QUAD 1600MHZ, Sapphire Radeon HD 7970 GHz 3GB GDDR5

Permalänk
Medlem

Det här va tråkiga nyheter.

Tycker att detta verkar så konstigt, och ett konstigt sätt att göra det på. Är det hackat, NSA, eller vad har hänt liksom. Vi får väl vänta några dagar så kanske det uppdagas vad som hänt, eller att det är som det står på hemsidan helt enkelt.

edit: Vad tror ni om Malware-snacket på theregister?

Visa signatur

7600X,Tomahawk B650,NH-U12A,32GB,RX6700,Black SN850 1TB,860Evo 1TB,RM850x, 27GL850,Torrent Compact

Permalänk
Avstängd
Skrivet av Lagers:

Det här va tråkiga nyheter. Och inte har jag sparat en portabel version heller av 7.1a. Hur ska man nu få tag i en okej version om man måste installera om allt. (please. pma om du har en 7.1a install/portable)

Kolla i mappen där TC är installerat, där finns en fil som heter TrueCrypt Setup.exe

Och i programmet så kan du göra en Traveler Disk Setup, under Tools.

Edit.
I värsta fall har jag 7.1a setupen i min google drive som jag kan dela ut.

Permalänk
Hedersmedlem
Skrivet av Rellim:

Andra gången på kort tid man seriöst ifrågasätter användandet av öppen källkod.

Först är alla sajter med openssl komprometterade av en "bugg" som ingen lyckats hitta på tio år, nu är det mest använda krypteringsprogrammet komprometterad.

Vad ska man tro egentligen ?

Som redan kommenterats kan Truecrypts status som öppen källkod (alltså inte bara kodens tillgänglighet) ifrågasättas, däremot är det fritt och har varit populärt på flera plattformar. Den här artikeln innehåller lite enkla förklaringar till varför vissa (mig inkluderat) valt bort Truecrypt och t ex valt Tcplay (finns tyvärr inte för Windows).

...

När det gäller openssl var problemet inte att det är öppen källkod, än om vissa med egenintressen gärna exploaterar den vinkeln. Det tragiska med openssl-säkerhetshålet är att en mängd vinstdrivande företag dragit nytta av att openssl är fri och öppen mjukvara men struntat blank i att engagera sig, göra ett jota för att hjälpa till och stödja utvecklarna ekonomiskt. Det är den verkliga förklaringen.

Utvecklarna har inte gett upp utan har under flera år jobbat hårt för att tillhandahålla openssl. Tyvärr finns det många utsugare som gärna ser andra jobba gratis och sedan pekar finger när något går fel och utvecklarna av openssl har gått på knäna.

Edit: korrigering av formulering angående frågan om öppen källkod

Permalänk
Medlem
Skrivet av Lagers:

Det här va tråkiga nyheter. Och inte har jag sparat en portabel version heller av 7.1a. Hur ska man nu få tag i en okej version om man måste installera om allt. (please. pma om du har en 7.1a install/portable)

Tycker att detta verkar så konstigt, och ett konstigt sätt att göra det på. Är det hackat, NSA, eller vad har hänt liksom. Vi får väl vänta några dagar så kanske det uppdagas vad som hänt, eller att det är som det står på hemsidan helt enkelt.

edit: Vad tror ni om Malware-snacket på theregister?

TrueCrypt 7.1a finns forfarande att ladda ned på nätet, t.ex. här.
Vill man vara säker så kontrollerar man checksumman efteråt, t.ex. här.

Permalänk
Medlem

Man kan ju inte rekommendera Bitlocker utan insikt i om det finns bakdörrar eller inte. Med andra ord är hela den rekommendationen oärlig, vilket pekar på att myndigheter gått in och stoppa Truecrypt. Ser ingen anledning till varför man skulle rekommendera Bitlocker annars.

Permalänk
Medlem
Skrivet av 1kolli:

Kolla i mappen där TC är installerat, där finns en fil som heter TrueCrypt Setup.exe

Och i programmet så kan du göra en Traveler Disk Setup, under Tools.

Edit.
I värsta fall har jag 7.1a setupen i min google drive som jag kan dela ut.

Skrivet av Cybertsen:

TrueCrypt 7.1a finns forfarande att ladda ned på nätet, t.ex. här.
Vill man vara säker så kontrollerar man checksumman efteråt, t.ex. här.

Tack för hjälper alla. Då löser jag det.

Visa signatur

7600X,Tomahawk B650,NH-U12A,32GB,RX6700,Black SN850 1TB,860Evo 1TB,RM850x, 27GL850,Torrent Compact

Permalänk
Medlem

hmmm spännande, det verkar väldigt fishy det här ska bli kul att höra vad steve gibson säger på security now podcasten om detta

Permalänk
Medlem

Antagligen så har de hittat någon bugg som inte är lätt att åtgärda. Att en myndighet stoppat det känns osannolikt. Om en sådan organisation vill att folk skall använda Bitlocker istället för Truecrypt under premissen att de har en bakdörr där så frågar man sig varför de inte skulle ha en bakdörr för själva operativsystemet istället; så att de kunde ha något som rapporterar nycklar för känd krypteringsmjukvara eller liknande. Mer användbart.

Eller varför inte:

Eftersom Truecrypt inte är öppna med vilka som ligger bakom utvecklingen så skulle jag tro att det är NSA eller liknande. Det hela har helt enkelt varit ett experiment för att se hur många av foliehattsfalangen man kan fånga. Nu när man insett att svaret är "alla" samt att de inte har något intressant på sina burkar så har man helt enkelt valt att valla över flocken till Bitlocker. Eftersom Bitlocker är closed source så slipper de jobba lika hårt på att dölja sina bakdörrar genom att sprida koden över flera filer och obskyra buggar. Som en bonus får man också ett mer lättanvänt användargränssnitt och bättre support.

Slutligen så vill jag bara tipsa om att det är NSA som ligger bakom foliehatten också; den fungerar egentligen som en antenn.

Dold text
Visa signatur

.<

Permalänk
Medlem
Skrivet av KimTjik:

Som redan kommenterats är Truecrypt inte öppen källkod, däremot är det fritt och har varit populärt på flera plattformar. Den här artikeln innehåller lite enkla förklaringar till varför vissa (mig inkluderat) valt bort Truecrypt och t ex valt Tcplay (finns tyvärr inte för Windows).

...

När det gäller openssl var problemet inte att det är öppen källkod, än om vissa med egenintressen gärna exploaterar den vinkeln. Det tragiska med openssl-säkerhetshålet är att en mängd vinstdrivande företag dragit nytta av att openssl är fri och öppen mjukvara men struntat blank i att engagera sig, göra ett jota för att hjälpa till och stödja utvecklarna ekonomiskt. Det är den verkliga förklaringen.

Utvecklarna har inte gett upp utan har under flera år jobbat hårt för att tillhandahålla openssl. Tyvärr finns det många utsugare som gärna ser andra jobba gratis och sedan pekar finger när något går fel och utvecklarna av openssl har gått på knäna.

Det beror väl lite på vilken definition av open source man använder. Källkoden har varit tillgänglig, men de har haft ett eget licensavtal.

Permalänk

Det var ju en Kickstarter där flera experter skulle granska TC kod. De skulle gå ut med STORA nyheter nästa vecka (har jag för mig) så att det kan ju vara något sådant som har fått dem att ge upp?

Visa signatur

Bal-Sagoth | Ensiferum | Windir | Finntroll | Wintersun | Amon Amarth | Moonsorrow | Nazgûl

Permalänk
Hedersmedlem

Frågan om NSA är komplicerad. Organisationen är ju inte skapad för att förfölja vanliga medborgare, utan problemet uppstår i gränsdragningen mellan organisationens optimala mål och medborgarnas rättigheter. Nu är jag inte ute efter en diskussion om NSA och än mindre om konspirationsteorier.

Hur som finns ibland gemensamma intressen. SELinux har sitt ursprung hos NSA. Mycken teknik, troligen större andel än vi vill tro, har egentligen sina rötter i teknikutveckling för vapenindustrin. På samma sätt kan mjukvara användas både i fredligt och fientligt syfte. Var och en får göra sin bedömning. Lavabit historian fick till följd att flera helt pluggade ur. För någon dag sedan såg jag den här artikeln där själva verksamheten, journalist som mottagit information ifrån Snowden, är så pass utsatt att du troligen behöver vara paranoid för att "överleva".