Is bovenstaand bericht wel secure?

https://gist.github.com/ValdikSS/c13a82ca4a2d8b7e87ff
"Latest working version is 7.1a. Version 7.2 is a hoax"

typo in artikel
TrrueCrypt.org

Mogelijk is truecrypt juist te goed en probeert men het nu "af te kraken", zodat mensen overgaan naar product van Microsoft, waar WEL een backdoor in zit...

Als je iets quote, quote dan wel de volledige context, dat is wel zo netjes naar de andere lezers.

Assumption #1 The website is presumed hacked, the keys are presumed compromised. Please do not download or run it. And please don't switch to bitlocker.

Assumption #2 Something bad happened to TrueCrypt developers (i.e. take down or death) or to TrueCrypt itself (i.e. found the worst vulnerability ever) which made them do such a thing. So this version is legit

Assumption #2 is more likely true than assumption #1. Sad but true.

Ik zou maar even afwachten, ik geloof dit niet zomaar!

Maar, maar, maar, waar is er dan daadwerkelijk iets te vinden over de gesuggereerde kwetsbaarheden?

Als blijkt dat de NSA / FSB / Guó?nbù / Mossad etc. (volgens mij is er zojuist ergens een rood lampje gaan branden hahahahaha) TrueCrypt kan kraken als ze fysieke toegang en een supercomputer hebben is het helemaal niet insecure, simpelweg omdat dat geen realistische dreiging voor mij is. Als blijkt dat iedere script-kleuter op afstand misbruik kan maken van deze software (wat ik me echt niet kan voorstellen) is de situatie gelijk heel anders.
En waarom heeft Opstelten dan zoveel werk gemaakt van heel het afstaan-van-een-encryptie-sleutel-van-verdachten-gebeuren?


Leuk zo'n advies om over te stappen op iets anders, maar ik wil wel graag zelf even een gefundeerde afweging kunnen maken !!!


Dat wordt lastig als je niet weet welke code uit welke versies mogelijk gecompromitteerd is natuurlijk. Code schrijven is niet héél moeilijk, andermans code grondig onderzoeken naar mogelijke (wiskundige) kwetsbaarheden des te meer!

Lijkt echt waar, zie:
* http://krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/
* https://twitter.com/matthew_d_green

Download mirrors for truecrypt-7.1a.tar.gz (1.86 MB)
http://www.filewatcher.com/m/truecrypt-7.1a.tar.gz.1949303-0.html

Al gebruik ik het zelf niet: dit is behoorlijk schrikken. Eén van de mogelijke verklaringen voor deze bizarre manier van een einde aan TrueCrypt maken is dat de makers in een soortgelijke situatie zijn beland als LavaBit, daar niets over mogen zeggen, en op deze manier duidelijk maken dat er iets goed mis is. Dat is op dit moment niet meer dan speculatie, maar het is een enge gedachte.
Ik vermoed dat TrueCrypt voor genoeg mensen belangrijk is om een fork redelijk waarschijnlijk te maken. Als ik het goed heb begrepen mag die alleen onder de TrueCrypt-licentie verspreid worden, dus de open-source-status zou niet moeten veranderen. Ik heb ook begrepen dat er qua openheid nogal wat op die licentie aan te merken is, en dat TrueCrypt daarom niet in de standaardrepositories van diverse Linux-distributies voorkomt.

Maar er bestaat al een alternatieve implementatie onder een BSD-licentie die op dm-crypt gebaseerd is. Ik heb er geen ervaring mee, maar wellicht is 'tcplay' precies wat je nodig hebt:
Debian heeft het in de repositories unstable, testing en backports zitten, de laatste maakt het ook in Debian stable beschikbaar.

Dat ik dit moet lezen op Hemelvaartdag. Gaan we dan toch naar de hel?

Ik vindt dit een zeer raar bericht op de TrueCrypt website. En al helemaal dat ze Bitlocker (powered by NSA) aangeven als alternatief.
Wellicht heeft de Amerikaanse overheid ze geforceerd om te stoppen?

Pfff is het al vrijdag?

Als de makers onbekend zijn en nog geen reactie hebben gegeven wat is de nieuwswaarde dan van dit verhaal?

1. Als je momenteel http://www.truecrypt.org/ opent vindt een redirect plaats naar een Sourceforge pagina. Te stellen dat http://truecrypt.sourceforge.net/ de website van de populaire encryptiesoftware TrueCrypt is, zou voorbarig kunnen blijken te zijn (maar het zou ook best de "nieuwe site" kunnen zijn). In het verleden had TrueCrypt (bij mijn weten) niets te maken met SourceForge, alle downloads, ook sources, vonden plaats vanaf www.truecrypt.org. Verderop in de tekst meldt de Redactie overigens wel: Opmerkelijk aan de situatie is dat de website TrueCrypt.org naar de SourceForge-pagina van TrueCrypt doorverwijst.

2. Belangrijker, de SourceForge pagina vermeldt niet: waarin staat dat de software niet veilig is, omdat het ongepatchte beveiligingslekken bevat maar Using TrueCrypt is not secure as it may contain unfixed security issues, d.w.z. zou kunnen bevatten, een opmerking die vooral op de toekomst lijkt te slaan. Anderszijds staat onderaan de SourceForge pagina, vreemd genoeg vlak boven de link naar TrueCrypt 7.2: "WARNING: Using TrueCrypt is not secure". Ik zou die 7.2 niet snel downloaden.

Hoewel het om een hoax zou kunnen gaan, ga ik er voorlopig vanuit dat de oorspronkelijke TrueCrypt ontwikkelaar(s) het product niet verder zullen onderhouden (het redirecten naar SourceForge kan suggereren dat de huidige eigenaar van www.truecrypt.org daar niet voor zal willen blijven betalen).

In plaats van "wegens persoonlijke omstandigheden" o.i.d. valt op dat er een merkwaardige reden voor het stoppen met TrueCrypt wordt gegeven: The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Echter, alleen uitgebreide en duurdere soorten van Windows Vista, 7 en 8 ondersteunen Bitlocker (zie http://en.wikipedia.org/wiki/BitLocker). Bovendien bood TrueCrypt portabilteit met andere platformen dan Microsoft.

Een reden om te stoppen zou politieke/juridische druk kunnen zijn, zoals Freeaqingme met een goed argument (Lavabit) suggereert op Tweakers (http://tweakers.net/nieuws/96312/truecrypt-website-adviseert-gebruikers-software-niet-langer-te-gebruiken.html?showReaction=6972129#r_6972129). Als dat klopt is een conclusie dat de USA erachter zit wellicht wat snel getrokken: overal ter wereld (ook Europa) wordt sterke encryptie gebruikt, en niet alleen door mensen met goede bedoelingen.

Op Tweakers meldt robvanwijk een aanwijzing (zie http://tweakers.net/nieuws/96312/truecrypt-website-adviseert-gebruikers-software-niet-langer-te-gebruiken.html?showReaction=6972260#r_6972260): "alle executables zijn gecompiled op een machine die op UTC+1 staat ingesteld".

Nb. het IP-adres van www.truecrypt.org is momenteel 72.233.34.82 (Texas), ik heb aanwijzingen dat dit ook zo was op 22 november 2013 en op 24 april 2014 (er lijkt dus geen sprake van een DNS wijziging).

Aanvulling 12:24: de SHA1Sum van "TrueCrypt Setup 7.1a.exe" (door mij gedownload op 2012-07-02 als http://www.truecrypt.org/download/transient/2db7987173/TrueCrypt%20Setup%207.1a.exe - ook die link redirect nu naar de SourceForge pagina) is: 7689d038c76bd1df695d295c026961e50e4a62ea. Zie https://www.virustotal.com/en/file/e95eca399dfe95500c4de569efc4cc77b75e2b66a864d467df37733ec06a0ff2/analysis/ voor andere hashes en dergelijke. Voor zover mij bekend is dit de laatste volledige versie van TrueCrypt.

Op deze site (http://r000t.com/what-happened-to-truecrypt/) heeft een persoon versie 7.1a geshared en gelukkig komt die sha1-hash overeen met jouw hash hier (sha1sum gebruikt). Blij dat security.nl het meldt, ook al gebruikt ik TrueCrypt niet vaak, voor sommige oude backup bestanden heb ik het wel nodig.

De voorgestelde migratie naar Bitlocker of MacOS varianten is vrij hilarisch. Het lijkt er op dat iemand e.e.a. iets te dik heeft aangezet. Jammer, te doorzichtig, anders was het een geslaagde poging.

Alle installatie bestanden:
http://cyberside.planet.ee/truecrypt/

Overzicht van hashes van de laatste versie (multi platform):
http://truecryptcheck.wordpress.com/

In Tails wilden ze Truecrypt toch al verwijderen. Er zijn ook al implementaties van Truecrypt met een betere licentie (tc-play).

Zie: https://tails.boum.org/blueprint/replace_truecrypt/

Misschien dat ze een "Lavabit" doen. Dat hoor ik op een paar sites. Dat dit hun manier is om te voorkomen dat ze verplicht worden om een backdoor in te bouwen (na de audit). Vandaar waarschijnlijk ook de hint naar Bitlocker: "This is where TrueCrypt was going if we didn't stop it."

Peter

Waar heb je die tekst vandaan?

https://twitter.com/OpenCryptoAudit

Ik vind het gebruikte "Engels" erg gebrekkig. Iets zegt me dat de zaak niet klopt en we beter even kunnen afwachten. Het zou me niets verbazen wanneer er Chinezen achter zitten en de zaak gewoon gecompromitteerd is.

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

not secure as

Not Secure As

-------->NSA<------------

Er zit ook een verborgen boodschap in deze zin: "Using TrueCrypt is not secure as it may contain unfixed security issues". Neem de eerste letters van woord 4, 5 en 6. "N"ot "S"ecure "A" of te wel NSA

direct mijn eerste gedachte

Aluhoedje op!

Jammer van TrueCrypt, maar of speculaties nu waar of niet waar zijn, de naam is bevlekt en wat mij betreft gebruik ik het programma niet meer. DS-Crypt is geen alternatief omdat deze nauw verwant is met Truecrypt!

In de Engelse verslaggeving wordt gezegd dat de audit groep contact heeft (vai een tussenpersoon?) met de ontwikkelaar(s?). Ook zou de audit groep deze week een belangrijke mededeling doen: https://www.indiegogo.com/projects/the-truecrypt-audit#activity . Volledig speculatief van mijn kant denk ik dat ze TC op de een of andere manier zouden gaan onderhouden of geld zoeken om dat te doen. Dat vonden de ontwikkelaar(s) niet goed en hebben deze actie ondernomen.

De audit groep gaat ook door met de audit van TC omdat Matthew Green daarvoor nog $30.000 (crowdfunded) beschikbaar heeft. Vandaag komen ze bij een, misschien dat die belangrijke mededeling van de audit groep ook vandaag komt.

De source audit heeft in 7.1a geen rare dingen gevonden, ik blijf het gewoon gebruiken. Bovendien, alternatieven met dezelfde functionaliteit zijn er niet echt. Die werken of alleen onder windows of ondersteunen alleeen maar full-disk encryptie en geen containers.

Na alle crazy en paniek in een aantal reacties hierboven is het inderdaad tijd voor wat nuchtere kijk op de zaak, johanw.

Het lijkt er geenszins op dat TrueCrypt-gebruikers gevaar lopen met versie 7.1a. Die fork waar PeterV om roept (waarom maak je er zelf niet 1, Peter) is al gestart op www.truecrypt.tc. Daarnaast is iets forken niet zo eenvoudig, je moet pas met crypto-implementaties beginnen als je er genoeg van af weet.

Ik ben om andere redenen absoluut geen fan van Microsoft. Maar dan nog steeds denk ik dat je BitLocker best kan gebruiken mits je niet expliciet je spul voor geheime diensten c.q. politie aan het encrypten bent. Immers beschermt BitLocker je nog steeds tegen hackers en kwaadwillenden. En dat is in mijn optiek een veel reëelere toepassing.

Er wordt vaak gedaan alsof het enige doel van encryptie is om te vluchten voor de surveillancestaat, maar er zijn natuurlijk veel meer redenen om je data te beschermen. Wanneer je bijvoorbeeld je salarisadministratie op een cloud-service wil kunnen opslaan. Die encrypt je dan. Niet per se omdat de autoriteiten er niet bijmogen. Eerder omdat je andere risico's ermee wilt vermijden. Het gaat die cloud-service bijvoorbeeld niets aan. En mocht die cloud-service gehackt worden, dan hebben hackers er in elk geval geen toegang tot.

Dus dat geroep hierboven gaat mij wat te veel één richting op, een aantal reacties komen nogal stoned over. Misschien moeten een aantal mensen zich eens voornemen om eens wat minder te blowen, of zich in elk geval te realiseren dat jointjes de paranoia stimuleren.

Ik blijf het ook gewoon gebruiken , geloof er maar weinig van , ik wil echte feiten geen onzin!

Je bent nog niet doorgewinterd genoeg in complotdenken.

Opstelten doet dit om niet te verhullen dat de gebruikelijke crypto-oplossingen al lang door de geheime diensten zijn gekraakt of besmet.

Een mogelijkheid zou ook kunnen zijn dat het een geprogrammeerde dood is.

In het geval iemand iets wezenlijks als TrueCrypt anoniem aan het internet doneert is het bepaald niet onverstandig om je eigen dood op het internet te programmeren voor het geval je fysiek echt iets overkomt. Het doodscript gaat dan af op het moment dat de persoon zich niet binnen een bepaalde tijd heeft gemeld.

Deze mogelijkheid houdt in wezen ook in dat het onmogelijk is om de wereld er naderhand anoniem van te overtuigen dat men er weer is.

TrueCrypt zoals we het tot nu toe kenden is dus definitief dood.

ID 10 T alarm

Leuk kende ik nog niet.