Zum Inhalt wechseln

Als Gast hast du nur eingeschränkten Zugriff!


Anmelden 

Benutzerkonto erstellen

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Foto

Audit abgeschlossen! TrueCrypt weitgehend sicher

- - - - -

  • Bitte melde dich an um zu Antworten
2 Antworten in diesem Thema

#1
hitman56

hitman56

    Leecher

  • Members
  • PIP
  • Likes
    1
  • 2 Beiträge
  • 0 Bedankt

Das Open Crypto Audit Project (OCAP) hat in seinem TrueCrypt-Audit kleinere Schwachstellen im Verschlüsselungs-Tool entdeckt, die aber einer Verwendung nicht entgegenstehen.

Die letzte Version 7.1a des Verschlüsselungsprogramms TrueCrypt ist sicher und kann bedenkenlos weiter genutzt werden. Zu diesem Ergebnis kam das Open Crypto Audit Project (OCAP) nach einer Analyse des Tools und des zugehörigen Quellcodes. Das Projekt hat ein umfangreiches Audit durchgeführt und nun den abschließenden Bericht dazu als PDF-Datei veröffentlicht.

TrueCrypt war im Rahmen der Snowden-Enthüllungen ins Interesse der Forschergemeinde gerückt. Diese hatte Spenden gesammelt, um den Quellcode auf Hintertüren und Programmierfehler durchsuchen zu lassen. Das in diesem Zusammenhang geschaffene Open Crypto Audit Project (OCAP) hatte zunächst Bootloader und Windows-Kerneltreiber des Programms untersucht und keine graviernden Mängel entdeckt. Nunmehr ist der zweite und letzte Teil des Audits abgeschlossen.

Die OCAP-Forscher haben vier Schwächen im TrueCrypt-Quellcode ausgemacht, von denen sie eine als ernsthafter einstufen. Dabei geht es um die Generierung von Zufallszahlen zur Schlüsselerzeugung in der Windows-Version. Unter sehr unwahrscheinlichen Umständen sei es möglich, dass das Windows-Crypto-API nicht sauber aufgerufen werde, ohne dass dies von TrueCrypt bemerkt werde. In diesen Fällen generiere TrueCrypt unsichere Schlüssel zur Festplattenverschlüsselung.

Die Feststellungen von OCAP beziehen sich ausdrücklich auf das letzte offizielle Release von TrueCrypt (erhältlich auch bei heise Download), nicht aber auf dessen Nachfolger. Die Entwickler des viel genutzten Open-Source-Tools hatten im Mai 2014 plötzlich erklärt, das Interesse an der Fortführung des Projekts verloren zu haben. Der Code sei angeblich unsicher, Nutzer sollten lieber das Windows-Tool Bitlocker zur Festplattenverschlüsselung nutzen. Noch heute ist unklar, was sie zu dieser Aussage bewogen hat. Das umfangreiche Code-Audit von OCAP konnte die Existenz von gravierenden Sicherheitslücken zumindest nicht bestätigen.


Quelle:

Please Login HERE or Register HERE to see this link!



Original-Link:

Please Login HERE or Register HERE to see this link!


  • PaulaAbdul gefällt das

#2
fly

fly

    Script Kiddie

  • Members
  • PIPPIPPIPPIP
  • Likes
    0
  • 29 Beiträge
  • 3 Bedankt
Sicherheitslücken in Open-Source-Verschlüsselung

Please Login HERE or Register HERE to see this link!

wurde im vergangenen Jahr unter rätselhaften Umständen eingestellt. Jetzt sind neue kritische

Please Login HERE or Register HERE to see this link!

bekanntgeworden. Das Nachfolgeprojekt Veracrypt hat bereits einen Patch veröffentlicht.

Die von Truecrypt installierten Windows-Treiber enthalten kritische Sicherheitslücken. Das hat James Forshaw von Googles Projekt Zero

Please Login HERE or Register HERE to see this link!

. Truecrypt wird seit dem vergangenen Jahr nicht mehr gepflegt - für den Fork Veracrypt ist jedoch bereits ein Patch verfügbar.

Die Sicherheitslücken ermöglichen die Ausführung von Code mit höheren Rechten als die des eigentlichen Nutzers (privilege escalation). Weitere Details zu der Sicherheitslücke wurden noch nicht veröffentlicht - Forshaw möchte damit bis

Please Login HERE or Register HERE to see this link!

Dementsprechend führen die Bugreports zu

Please Login HERE or Register HERE to see this link!

und

Please Login HERE or Register HERE to see this link!

derzeit noch auf eine 403-Seite.

Im vergangenen Jahr finanzierten Nutzer per Crowdfunding einen

Please Login HERE or Register HERE to see this link!

. Die jetzt vorgestellten Lücken wurden dabei offensichtlich übersehen. Dieser Audit wurde durchgeführt, auch nachdem das Projektteam das Aus von Truecrypt bekanntgegeben hatte. Die Macher

Please Login HERE or Register HERE to see this link!

, auf Alternativen wie Microsofts Bitlocker umzusteigen.

Genaue Gründe für das Aus bis heute unklar

Die genauen Gründe für das Aus des Projekts sind bis heute nicht bekannt. Vermutungen, dass die Truecrypt-Macher von Geheimdiensten gezwungen wurden, Hintertüren in die Verschlüsselung einzubauen, haben sich nicht bestätigt. Auf der ehemaligen Projektseite von Truecrypt wird angegeben, dass das Aus des Projekts zeitgleich mit dem Auslaufen des Supports für Windows-XP komme - weil es jetzt Alternativen für alle Nutzer gäbe.

Der Truecrypt-Fork Veracrypt hat mit der Version 1.15 bereits

Please Login HERE or Register HERE to see this link!

 

Please Login HERE or Register HERE to see this link!

 

 

FRAGE: Bei einer kompletten Systemverschlüsslung würdet ihr welche Alternative empfehlen? Veracrypt macht seine Aufgabe leider auf meinem Rechner nicht so, wie es sollte..



#3
Heihachi

Heihachi

    Noob

  • Members
  • PIPPIP
  • Likes
    0
  • 6 Beiträge
  • 1 Bedankt

@fly

 

was du da liest ist billige Propaganda  -  Truecrypt ist genau solange sicher bis du irgendwoe lesen wirst das Leute verurteilt werdenn wegen geknackte Festplatten so einfach


Bearbeitet von Heihachi, 01 November 2015 - 19:31 Uhr.




  Thema Forum Themenstarter Statistik Letzter Beitrag

Besucher die dieses Thema lesen:

Mitglieder: , Gäste: , unsichtbare Mitglieder:


This topic has been visited by 75 user(s)


    , , _)_, agressor-85, Avni, B1nary, Bad Grandpa, Born2Hack, Bot4ng, breidi59, brilla, bumg2, Caruso, casamonica, caspR, Chronos, clusterhead, confick.ini, Cranky, Crap, Cube, CyberFlash, eXalT, FalkE, fAYe, fly, Framerater, gtawelt, gutzuu, Heihachi, hitman56, Hydra, Irhabi, jabba, Janjij, Johnex, Juri, keyb0ardz, loginman1, loken, lolorollo, Lyrix, madamor45xx, mantwohouse, MultiVitamin, n1nja, Neonxen, netSecMushroom, nibble nibble, PaulaAbdul, PHIPU, Platin, R3s1stanc3, rat123, Rikanono, SAR, SavE1, SepaX, Slixer, smc2014, Stanley, Take1T, TheAvenger, tianchrispro, Trillium, Troy, ueEqlL, umarex, vôl, wbx32, White-Warti, x4r4x, Xenio, Xenos88, ZeroFreez
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.