image

"Niemand weet wie TrueCrypt heeft geschreven"

dinsdag 15 oktober 2013, 15:18 door Redactie, 21 reacties

TrueCrypt behoort tot de meest gebruikte encryptiesoftware ter wereld, maar niemand weet wie het programma geschreven heeft en dat is reden tot zorg, aldus een cryptografieprofessor. Professor Matthew Green van de Johns Hopkins Universiteit in Baltimore wil daarom de software laten auditen.

Hiervoor lanceerde hij samen met twitteraar Kenn White de website IsTrueCryptAuditedYet?, waar Security.NL vorige week al over berichtte. In een blogposting laat Green weten waarom het auditen van TrueCrypt zo belangrijk is. Sinds de onthullingen dat de NSA actief backdoors probeert toe te voegen en encryptiealgoritmes verzwakt is het volgens Green onduidelijk welke software nog te vertrouwen is. Daarbij zou TrueCrypt een ideaal doelwit voor de NSA zijn.

Identiteit

"Er zijn echter andere dingen van TrueCrypt waar ik me zorgen om maak. De grootste is dat niemand weet wie het heeft geschreven. Daar krijg ik de rillingen van." Green benadrukt dat anonimiteit geen misdrijf is. "Het is mogelijk dat de TrueCrypt-ontwikkelaars magische security-elven zijn die hun bron van de eeuwige jeugd proberen te beschermen." Een andere verklaring is dat ze in een land leven waar privacyvoorvechters niet worden gewaardeerd.

Ook hekelt Green de werking van de software. Zo is er een verschil tussen de Windows- en Linuxversie. De Linuxversie vult de laatste 65.024 bytes met versleutelde zero-bytes, terwijl de Windowsversie willekeurige waardes gebruikt. Volgens een analyse van de Ubuntu Privacy Group valt niet te zeggen of het om willekeurige waardes gaat of een tweede encryptie van de meester- en XTR-sleutel met een backdoor-wachtwoord.

Broncode

De analyse van de onderzoekers laat verder weten dat niet valt uit te sluiten dat de Windows-installatie aan de hand van een andere broncode is gecompileerd. Ook Green stelt dat zelfs als de TrueCrypt-broncode te vertrouwen is, dat niet hoeft te gelden voor de installatiebestanden en dat zou voor gebruikers reden tot zorg moeten zijn.

Om een audit van de software te laten plaatsvinden proberen Green en White nu via Fundfill en Indiegogo om geld in te zamelen. Inmiddels is er 4500 dollar van de beoogde 25.000 dollar opgehaald.

Reacties (21)
15-10-2013, 15:22 door Anoniem
Mijn zegen en paar $'s hebben ze!

Dát zou wat zijn, als de NASA (-a) zelfs TrueCrypt heeft geïnfecteerd...
15-10-2013, 15:55 door Anoniem
Mocht werkelijk waar zijn dat de NSA ook toegang heeft tot met TrueCrypt encryptie beveiligde bestanden, haal ik mijn typmachine weer uit de kast....
15-10-2013, 15:57 door Anoniem
ik denk persoonlijk dat als ik de maker van truecrypt zou zijn ik zelf ook liever anoniem zou willen blijven, uitgaande dat er geen backdoors in zitten, en dat het een van de meest gebruikte encryptieprogramma's is in de wereld zijn er vast genoeg mensen die een paar "voorstellen" hebben voor de maker.
15-10-2013, 16:12 door [Account Verwijderd]
[Verwijderd]
15-10-2013, 16:13 door Anoniem
Door Anoniem: Mijn zegen en paar $'s hebben ze!

Dát zou wat zijn, als de NASA (-a) zelfs TrueCrypt heeft geïnfecteerd...
Het zou zomaar kunnen zijn dat ze het zelf geschreven hebben ;)
15-10-2013, 16:34 door Whacko
Door Peter V.: Ik kan mij voorstellen dat sommigen zeggen "ik vertrouw geen enkele encryptie meer"

Inderdaad :) ik maak m'n eigen encryptie wel :P helaas ben ik geen wiskundige, dus hij zal wel eenvoudig te kraken worden ;)
15-10-2013, 16:42 door Anoniem
Dit artikel had ook kunnen heten: "Niemand weet wie BitLocker heeft geschreven". En dan verder zoek en vervang TrueCrypt met BitLocker...
15-10-2013, 17:44 door vimes
Ik voorzie gouden tijden voor usb-duiven fokkers.
15-10-2013, 18:49 door KwukDuck
Wat een non-argument zeg... Het maakt geen donder uit WIE het geschreven heeft, het enige wat er toe doet is WAT er geschreven is.
Reden tot zorg lijkt me dat de windows binary afwijkt van een source build, maar dat verklaren ze door de ondertekende driver die nodig is voor windows. Natuurlijk valt er niet te checken of dat het enige is dat anders is.
15-10-2013, 19:06 door Anoniem
de Rubber Hose technieken die in TrueCrypt zitten komen iig uit de koker van Julian Assange, Suelette Dreyfus, en Ralf Weinmann.
15-10-2013, 19:13 door WhizzMan
Door KwukDuck: Wat een non-argument zeg... Het maakt geen donder uit WIE het geschreven heeft, het enige wat er toe doet is WAT er geschreven is.
Reden tot zorg lijkt me dat de windows binary afwijkt van een source build, maar dat verklaren ze door de ondertekende driver die nodig is voor windows. Natuurlijk valt er niet te checken of dat het enige is dat anders is.
Dat maakt wel degelijk uit. De broncode is kennelijk ook niet beschikbaar, anders was er wel duidlijkheid over wat de verschillen tussen de windows- en linuxversie is. Als we niet weten wie het geschreven heeft, kunnen we ook geen vragen stellen over de broncode en de dingen die ons opvallen. Als het open source was geweest, hadden we de antwoorden zelf kunnen vinden, nu is dat niet mogelijk.
15-10-2013, 20:23 door llaarraa
Dit is een artikel uit 2010;

http://www.privacylover.com/encryption/analysis-is-there-a-backdoor-in-truecrypt-is-truecrypt-a-cia-honeypot/

Eng hoor.
15-10-2013, 20:35 door sjonniev
Door KwukDuck: Wat een non-argument zeg... Het maakt geen donder uit WIE het geschreven heeft, het enige wat er toe doet is WAT er geschreven is.

Ik ben zeer benieuwd.
15-10-2013, 21:36 door Anoniem
From Fort Meade with love - ik hoop het echt niet. Maar als je ziet hoe ze jarenlang een backdoor in een encryptiestandaard konden laten zitten (zie http://crypto.stackexchange.com/q/10189/8915) voordat iemand er wat aan deed (ook al was 'ie al een paar maanden na het vrijgeven van de standaard ontdekt, alleen was het toen nog niet zeker dat het een backdoor was) is weinig hoopgevend.

Zie ook: http://blog.cryptographyengineering.com/2013/09/the-many-flaws-of-dualecdrbg.html
15-10-2013, 22:07 door Anoniem
iedereen snapt toch wel dat de TrueCrypt versleuteling gemaakt is door de NSA ? zoals hierboven al genoemd duidelijk een honeypot, zoals duizende andere websites/softwares.
15-10-2013, 23:07 door Anoniem
Hehe, eindelijk iemand zonder het mantra ''het is open source, dus het is veilig'' zonder verder na te denken.
15-10-2013, 23:09 door Anoniem
Door WhizzMan:De broncode is kennelijk ook niet beschikbaar, anders was er wel duidlijkheid over wat de verschillen tussen de windows- en linuxversie is.
Jawel hoor:
http://www.truecrypt.org/downloads2
Het punt is dat de aanwezige mogelijkheid om audits te doen door iemand wordt opgepakt. Ik heb geen flauw idee of hij de eerste is, maar het kan beslist geen kwaad als zo'n actie in de schijnwerpers staat.

Ik vind het geen groot punt dat de auteur van TrueCrypt onbekend is, ik kan me levendig voorstellen dat iemand liever anoniem blijft, zo zit ik zelf ook in elkaar. Van de gelinkte blogpost:
As Dan Kaminsky puts it, 'authorship is a better predictor of quality than openness'. I would feel better if I knew who the TrueCrypt authors were.
Het is tot op zekere hoogte waar: in iemand die consistent laat zien betrouwbaar te zijn heb je meer vertrouwen dan in een totale onbekende. Maar mensen hebben ook een sterke neiging om te veel op reputatie te vertrouwen. Ook de grootste helden maken af en toe blunders, en waar baseer je hun reputatie eigenlijk op als je niet meer kijkt of ze die nog steeds waarmaken? Om zeker te weten dat een product of een onderzoek deugt zal je toch echt die audit of peer review moeten doen. En als die toch moet gebeuren is de reputatie van de auteur meteen een stuk minder belangrijk.
16-10-2013, 08:44 door Anoniem
Door WhizzMan:
Door KwukDuck: Wat een non-argument zeg... Het maakt geen donder uit WIE het geschreven heeft, het enige wat er toe doet is WAT er geschreven is.
Reden tot zorg lijkt me dat de windows binary afwijkt van een source build, maar dat verklaren ze door de ondertekende driver die nodig is voor windows. Natuurlijk valt er niet te checken of dat het enige is dat anders is.
Dat maakt wel degelijk uit. De broncode is kennelijk ook niet beschikbaar, anders was er wel duidlijkheid over wat de verschillen tussen de windows- en linuxversie is. Als we niet weten wie het geschreven heeft, kunnen we ook geen vragen stellen over de broncode en de dingen die ons opvallen. Als het open source was geweest, hadden we de antwoorden zelf kunnen vinden, nu is dat niet mogelijk.

Hier kun je de broncode downloaden: http://www.truecrypt.org/downloads2
16-10-2013, 09:29 door Anoniem
Uiteraard belangrijk wie het geschreven heeft, nu kan niemand lekken of backdoors achterhalen uit de broncode. Als je de maker eenmaal te pakken hebt is de broncode niet ver zoek :)
Wordt het een stuk gemakkelijker die vervelende kinderfoto's uit de archieven te halen.
16-10-2013, 13:10 door Anoniem
Ja, ik zou sowieso software wantrouwen, waarin het woord 'True' in zit...

Dat kunnen leuke psychologische truucjes zijn die een gevoel van vertrouwen opwekken.
21-10-2013, 15:40 door Anoniem
McAfee site advisor geeft waarschuwing bij de site "istruecryptauditedyet.com". Wat zit hier dan weer achter???
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.