image

Onderzoek naar werking TrueCrypt gaat gewoon door

vrijdag 30 mei 2014, 09:41 door Redactie, 21 reacties

De organisatie die een onderzoek naar de cryptografische werking van TrueCrypt zou gaan uitvoeren gaat hier gewoon mee door, ondanks de nog altijd mysterieuze melding op de website van TrueCrypt die stelt dat de populaire encryptiesoftware onveilig is en niet gebruikt moet worden.

Het onderzoek naar de cryptografische werking van TrueCrypt is onderdeel van het 'Is TrueCrypt Audited Yet' project, gestart door cryptografieprofessor Matthew Green en wetenschapper Kenn White. De twee lanceerden een crowdfunding-iniatief om geld in te zamelen zodat de encryptiesoftware kon worden onderzocht. Een groot succes, want in plaats van de beoogde 25.000 dollar werden 32.6 Bitcoins en 62.104 dollar opgehaald.

In april werd de eerste fase van het onderzoek afgerond, waarbij werd gekeken of er geen backdoors in de software aanwezig waren. Er werden wel verschillende beveiligingsproblemen aangetroffen, maar geen backdoors. De tweede fase van het onderzoek bestaat uit een controle van de cryptografische werking van TrueCrypt.

Boodschap

Gisteren verscheen er opeens een bericht op de TrueCrypt-website dat de ontwikkeling van het programma is gestaakt, omdat Microsoft de ondersteuning van XP stopte. Gebruikers krijgen nu het advies om andere encryptiesoftware te gebruiken, zoals Microsofts BitLocker. Ondanks de onverwachte boodschap is nu besloten om het onderzoek naar de cryptografische werking toch door te zetten.

Het is de verwachting dat het onderzoeksrapport over een paar maanden gereed zal zijn. Het onderzoek wordt verricht naar versie 7.1. Op de website van TrueCrypt wordt nu versie 7.2 aangeboden, maar die is alleen in staat om TrueCrypt-bestanden te ontsleutelen.

Image

Reacties (21)
30-05-2014, 10:13 door Anoniem
Ik kan me dat wel goed voorstellen na het wel zeer vreemde TC nieuws eerder. Het verhaal is gewoon te ongeloofwaardig en het advies om Bitlocker te gebruiken is te bizar en idioot voor woorden. Een nieuwe versie aanbieden die alleen kan ontsleutelen, is natuurlijk helemaal idioot; daar was het de mensen natuurlijk niet om te doen.

We kunnen alleen maar vermoeden wie of wat daar achter zit, maar de werkelijke boodschap lijkt het tegenovergestelde te zijn of te bereiken; 'Ja, we zijn onder druk gezet ermee te stoppen (en dat laten we iedereen op deze wijze weten) en ja, TC 7.1a en eerder zijn nog steeds veilig'.

Het lijkt er verdacht veel op dat iemand in de problemen is geraakt en TC onder druk van de markt moet worden gehaald.
30-05-2014, 10:20 door Arnhemmer
En heeft MS BitLocker backdoors?
30-05-2014, 10:27 door spatieman
wat denk je zelf......
30-05-2014, 11:05 door [Account Verwijderd] - Bijgewerkt: 30-05-2014, 11:07
[Verwijderd]
30-05-2014, 12:16 door johanw
Het onderzoek wordt verricht naar versie 7.1.
Nee, dat onderzoek gaat over de laatste "echte" versie, 7.1a. TrueCrypt nummert haar versies al al jaren met x.0, x.0a, x.1 en x.1a, etc.

Ik verwacht over een tijdje trouwens wel een fork uitgaande van de 7.1a source. Hopenlijk komt er snel 1 goed ondersteunde fork i.p.v. veel forks waar je moeilijk uit kunt kiezen.

En verder: Bitlocker is natuurlijk geen volledig alternatief, er is meer dan het versleutelen van complete schijven. Encrypted containers zijn heel handig, en werken bv. ook onder Android.
30-05-2014, 12:43 door Anoniem
Door johanw:Ik verwacht over een tijdje trouwens wel een fork uitgaande van de 7.1a source. Hopenlijk komt er snel 1 goed ondersteunde fork i.p.v. veel forks waar je moeilijk uit kunt kiezen.
Dat was ook mijn eerste gedachte, maar ik zie op het web dat er nogal wat onzekerheid is of de licentie dat wel toelaat. Een van de dingen die mogelijk misgaat (praat ik nu na van wat ik ergens zag staan) is dat het gebruik van een fork in commerciële toepassingen niet zou mogen. Aan de andere kant heb ik ergens een reactie gezien van iemand die jurist beweert te zijn die iedereen zou aanraden het gewoon te doen, simpelweg omdat de kans bijzonder klein is dat de originele makers zich nu opeens wel bekend zouden maken, en als ze dat deden zouden ze vermoedelijk niet in staat zijn om aan te tonen dát ze de orginele makers zijn. Zelf zou ik het overigens niet netjes vinden om mensen op die manier te passeren.

Voor DragonfyBSD en Linux bestaat er tc-play, dat Truecrypt-volumes aankan. Dat is op LUKS gebaseerd, en voor het benaderen van LUKS-volumes op Windows bestaat FreeOTFE. Wellicht is het mogelijk om op basis van deze pakketten een alternatief te maken dat werkt op Windows en niet de licentieproblemen van TrueCrypt heeft. Maar FreeOTFE heeft zo te zien ook een non-standaard licentie, dus hopelijk bevat die niet zijn eigen valkuilen.
30-05-2014, 14:35 door johanw
Om in containers te komen is 7.1a voldoende. Waar deze het laat afweten is bv. UEFI ondersteuning en booten van grotere schijven dan 2TB. Daar is doorontwikkeling nodig. Verder zijn er wat kleine puntjes gevonden in de audit maar daar zit tot nu toe niks heel belangrijks tussen.

Overigens duiken de eerste oproepen tot forks al op. Ik zag net http://truecrypt.ch al opduiken en het audit team spreekt ook al hardop over een fork.

De licentie zou ik in deze gewoon negeren maar er speelt nog een ander probleem, volgens de Wikipedia pagina is er e.o.a. commercieel bedrijf dat rechten op de TrueCrypt code claimt omdat de eerste ontwikkelaar dat bij hem meeegenomen zou hebben. Ik weet niet of dat ooit goed uitgezocht is.
30-05-2014, 16:01 door Anoniem
Door Peter V.:
Door Arnhemmer: En heeft MS BitLocker backdoors?
Alles wat closed-source is daarvan kan door een onafhankelijk onderzoek niet aangetoond worden dat:

A. Er backdoors in zitten.
B. Er geen bacdoors in zitten.

Het is immers closed-source. Wil je geen risico lopen, dan mijd je closed-source.
Ook al die source-code OK, dan wil dat nog niet zeggen dat de gecompileerde code dat is. Hoe kun je bewijzen dat er een 1:1 relatie is?
30-05-2014, 16:40 door vimes
"Beveiligingsonderzoekers van een Amerikaans beveiligingsbedrijf..."
Dit bedrijf is onderhevig aan de Patriot-act en mag derhalve helemaal niets bekend maken over een backdoor.
Lekker onderzoek.
30-05-2014, 19:52 door [Account Verwijderd] - Bijgewerkt: 30-05-2014, 19:52
[Verwijderd]
30-05-2014, 20:22 door Eric-Jan H te D
Door Peter V.: Alles wat closed-source is daarvan kan door een onafhankelijk onderzoek niet aangetoond worden dat:
A. Er backdoors in zitten.
B. Er geen bacdoors in zitten.

Het is immers closed-source. Wil je geen risico lopen, dan mijd je closed-source.

Je zou kunnen overwegen een justitiële actie uit te lokken en dan te kijken hoe dit afloopt.

Een ideetje misschien voor een onderzoeksjournalist. "Je presenteert je nadrukkelijk als iemand met terroristische plannen en kijkt dan of de dienst jouw met Bitlocker gecrypte schijf weet te kraken"
30-05-2014, 20:40 door johanw
Door Eric-Jan H te A:Een ideetje misschien voor een onderzoeksjournalist. "Je presenteert je nadrukkelijk als iemand met terroristische plannen en kijkt dan of de dienst jouw met Bitlocker gecrypte schijf weet te kraken"
Dat lijkt me nogal riskant. Dan denkt de CIA: "we kunnen z'n encryptie niet kraken, we schieten hem voor de zekerheid maar dood."
30-05-2014, 21:20 door Anoniem
Door Peter V.:
Door Arnhemmer: En heeft MS BitLocker backdoors?
Alles wat closed-source is daarvan kan door een onafhankelijk onderzoek niet aangetoond worden dat:

A. Er backdoors in zitten.
B. Er geen bacdoors in zitten.

Het is immers closed-source. Wil je geen risico lopen, dan mijd je closed-source.

Als je een backdoor plaatst doe je dat op een zodanige wijze dat je het kan ontkennen. Dat wil zeggen, je bouwt een kwestsbaarheid in.

Veel kwetsbaarheden worden niet ontdekt in de broncode, maar in het programma zelf. Je stelling is niet waar.
30-05-2014, 23:20 door Anoniem
Door johanw:
Door Eric-Jan H te A:Een ideetje misschien voor een onderzoeksjournalist. "Je presenteert je nadrukkelijk als iemand met terroristische plannen en kijkt dan of de dienst jouw met Bitlocker gecrypte schijf weet te kraken"
Dat lijkt me nogal riskant. Dan denkt de CIA: "we kunnen z'n encryptie niet kraken, we schieten hem voor de zekerheid maar dood."

Het lijkt me niet plausibel dat Dhr. Greenwald ook maar 1 moment denkt aan overstappen op Bitlocker. Ik denk dat binnen dat wereldje wel wat tips binnen zijn gekomen over wat ze wel of niet kunnen gebruiken.
31-05-2014, 01:32 door Anoniem
Weten we zeker dat de ontwikkelaars niet voor de nsa werken? Zijn er zwakheden ingebouwd in de crypto die nu aan het licht dreigen te komen en wordt de stekker eruit getrokken?

Het is in ieder geval duidelijk dat de ontwikkelaars hun mond moeten houden...
31-05-2014, 10:50 door [Account Verwijderd]
[Verwijderd]
31-05-2014, 15:13 door Anoniem
Door Krakatau:
Door Anoniem:
Door Peter V.:
Door Arnhemmer: En heeft MS BitLocker backdoors?
Alles wat closed-source is daarvan kan door een onafhankelijk onderzoek niet aangetoond worden dat:

A. Er backdoors in zitten.
B. Er geen bacdoors in zitten.

Het is immers closed-source. Wil je geen risico lopen, dan mijd je closed-source.
Ook al die source-code OK, dan wil dat nog niet zeggen dat de gecompileerde code dat is. Hoe kun je bewijzen dat er een 1:1 relatie is?

Zelf de geverifieerde source compileren?

Met een geverifieerd veilige (open source?) compiler
31-05-2014, 15:25 door Anoniem
Door Krakatau:
Door Anoniem:
Door Peter V.:
Door Arnhemmer: En heeft MS BitLocker backdoors?
Alles wat closed-source is daarvan kan door een onafhankelijk onderzoek niet aangetoond worden dat:

A. Er backdoors in zitten.
B. Er geen bacdoors in zitten.

Het is immers closed-source. Wil je geen risico lopen, dan mijd je closed-source.
Ook al die source-code OK, dan wil dat nog niet zeggen dat de gecompileerde code dat is. Hoe kun je bewijzen dat er een 1:1 relatie is?

Zelf de geverifieerde source compileren?
Maar hoe weet je dat de compiler goed is, en er niets iets bij doet?
02-06-2014, 11:12 door N4ppy
Door Anoniem:
Door Krakatau:
Door Anoniem:
Door Peter V.:
Door Arnhemmer: En heeft MS BitLocker backdoors?
Alles wat closed-source is daarvan kan door een onafhankelijk onderzoek niet aangetoond worden dat:

A. Er backdoors in zitten.
B. Er geen bacdoors in zitten.

Het is immers closed-source. Wil je geen risico lopen, dan mijd je closed-source.
Ook al die source-code OK, dan wil dat nog niet zeggen dat de gecompileerde code dat is. Hoe kun je bewijzen dat er een 1:1 relatie is?

Zelf de geverifieerde source compileren?
Maar hoe weet je dat de compiler goed is, en er niets iets bij doet?

Maar hoe weet je dat de source code veilig is?

Fijn open source maar ik kan het niet verifieren of het cryptografisch goed in elkaar zit.
En mensen die er wel verstand van hebben zijn maanden bezig.

Ja je hebt de toegang maar wat heb je daar aan als leek.
02-06-2014, 18:39 door [Account Verwijderd] - Bijgewerkt: 02-06-2014, 18:44
[Verwijderd]
04-06-2014, 12:50 door jep_z11
Maar hoe weet je dat de source code veilig is?

Fijn open source maar ik kan het niet verifieren of het cryptografisch goed in elkaar zit.
En mensen die er wel verstand van hebben zijn maanden bezig.
Zoals 'Krakatau' schrijft, gaat het om vertrouwen. In feite kun je niks vertrouwen behalve je eigen ogen dus het best is als je in staat bent programmacode te snappen.
Als je dat niet kunt, zul je moeten vertrouwen op anderen. Enkel het feit dat Truecrypt 'open source' is betekent dat iedereen kan controleren wat het doet. Dat feit alleen al maakt 'open source', de broncode vrij beschikbaar, te vertrouwen.
Het blijven toch in feite cirkelredeneringen wat wel en niet te vertrouwen is. Je boerenverstand is nog de beste basis. Weet je dat iets 'closed source' is, dan weet je zeker dat het onmogelijk te vertrouwen is, simpelweg omdat er geen enkele reden is het wel te vertrouwen. Gezonde paranoia, zoals weten hoe geheime diensten werken doet de rest.
De laatste tijd is veel bekend geraakt dankzij onthullingen van Snowden en anderen en kunnen we zeker weten dat als NSA en dergelijken erbij betrokken kunnen zijn, alle wantrouwen op z'n plaats is.

Als je van dat wantrouwen uitgaat, word je direkt weg gezet als 'complot-theorie-anti', en die kant gaat het hier nu ook uit.
Het lijkt erop dat de NSA met sukses de ontwikkelaars onder druk heeft gezet, en er ook mee weg komt geheim te houden dat dat gebeurd is.
Nu na een aantal dagen nog steeds geen feiten boven tafel zijn, zal dat ook wel niet meer gebeuren.

Al jarenlang kon iedereen weten dat alles en iedereen 'gemonitord' wordt op het internet, en Truecrypt van de markt gehaald is een belangrijk nieuw verlies in een allang verloren strijd.
Nu weten we dat de NSA ook open-source onder Amerikaanse vlag, onder controle heeft, nu dit mogelijk blijkt.

'Het Vrije Westen' ? Nou, nee. We worden ernstiger gecensureerd en in de gaten gehouden dan de Chinese overheid dat kan. China geeft toe dat het censureert, het wordt niet geheim gehouden. Openlijke onderdrukking is volgens mij minder ingrijpend dan geheime.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.