Kritische Sicherheitslücken in TrueCrypt gefunden

[cyberjonny]

Hi miteinander,

da ich weiß, dass einige hier im Forum (inklusive mir) bei Verschlüsselungssoftware trotz der offiziellen Einstellung noch an TrueCrypt (7.1a) festhalten, wollte ich euch die unschönen Neuigkeiten nicht vorenhalten:

Quelle: Golem.de - Truecrypt: Sicherheitslücken in Open-Source-Verschlüsselung

Die von Truecrypt installierten Windows-Treiber enthalten kritische Sicherheitslücken. Das hat James Forshaw von Googles Projekt Zero bekanntgegeben. Truecrypt wird seit dem vergangenen Jahr nicht mehr gepflegt - für den Fork Veracrypt ist jedoch bereits ein Patch verfügbar.

Das ist natürlich uncool.
Kann hier irgendjemand einschätzen, wie schwer diese Lücke für den 08/15-TrueCyrpt-Nutzer im Alltag tatsächlich wiegt bzw. wie stark die Sicherheit beeinträchtigt wird?
Die Alternative wäre wohl VeraCrypt, aber das hat (bisher) leider ja noch andere Nachteile...

Gruß, Jonny

- - - Beitrag zusammengeführt - - -

Hat niemand eine Meinung/Erkenntnis dazu?

Was ich bisher so gelesen (und verstanden) habe, wirkt sich die Lücke nicht auf die Sicherheit der Verschlüsselung aus und ist eher theoretischer Natur. Außerdem besteht sie nur unter Windows, Linux ist einmal mehr außen vor... Also alles halb so wild?

 

[Helios]

TrueCrypt liegt nun in der Version 7.2 vor. Ob sich an den Sicherheitslücken viel verändert hat, null Ahnung. Die Hinweise auf der Homepage begraben allerdings diese Erwartung.

Wichtiger Hinweis: Siehe Post #3.

 

[Chuck]

TrueCrypt liegt nun in der Version 7.2 vor. Ob sich an den Sicherheitslücken viel verändert hat, null Ahnung. Die Hinweise auf der Homepage begraben allerdings diese Erwartung.

Truecrypt 7.2 ist die Fake Read-Only Version (der Originalautoren...)

siehe: http://www.heise.de/thema/TrueCrypt

 

[Helios]

Aber hallo. Und so etwas wird dann auch noch auf der "offiziellen" Homepage angeboten...

 

[bcbg]

@cyberjonny: Welche Nachteile von VeraCrypt, das bei mir TC ersetzt hat, meinst du?

 

[cyberjonny]

Das wären aus meiner Sicht die Lizenzfrage und die Tatsache, dass VeraCrypt (im Gegensatz zu TrueCrypt 7.1a) noch keinen Audit über sich hat ergehen lassen müssen. Allerdings steht es damit so gesehen auch nicht schlechter da als TC vor dem Audit, dem ja zunächst auch vertraut wurde/werden musste.

Nachdem ich mich zwischenzeitlich relativ umfassend informiert habe, muss ich allerdings sagen, dass VC mir mittlerweile - gerade auch auf längere Sicht - wohl auch die bessere Wahl zu sein scheint. Die Code-Basis ist (nach allem, was ich von renomierten, versierten, vertrauenswürdigen Personen so gehört und gelesen habe) identisch mit der von TC 7.1a und die zusätzlich gemachten Änderungen lassen sich dank Open Source alle problemlos nachvollziehen und sind nicht zuletzt sehr sinnvolle Bugfixes. Außerdem ist der öffentlich bekannte, aktive, ansprechbare und freundliche Entwickler (Mounir Idrassi) wirklich Gold wert, das muss ich sagen. So ein Engagement hätte TC gut getan.

Davon abgesehen geht es ohne ein gewisses Grundvertrauen wohl einfach nie.