image

Audit van encryptiesoftware TrueCrypt start in januari

zaterdag 21 december 2013, 12:03 door Redactie, 7 reacties

Volgende maand wordt er een begin gemaakt met de eerste openbare audit van de populaire encryptiesoftware TrueCrypt. Het Amerikaanse beveiligingsbedrijf iSEC Partners zal een deel van de audit op zich nemen, zo laten de initiatiefnemers achter het project "IsTrueCryptAuditedYet?" weten.

TrueCrypt maakt het mogelijk om volledige systemen en losse bestanden te versleutelen. Het is opensource, wat voor veel gebruikers een reden is om het programma te kiezen ten opzichte van gesloten software zoals Microsoft BitLocker. De broncode en cryptografische werking van TrueCrypt zijn echter nog nooit geaudit. Daarnaast is onbekend wie de ontwikkelaars van de encryptiesoftware zijn.

Om de software echt te controleren besloot cryptografieprofessor Matthew Green en wetenschapper Kenn White een crowdfunding-iniatief te starten. De twee wilden via de website IsTrueCryptAuditedYet? 25.000 dollar ophalen om de werking te controleren en een audit te laten uitvoeren. In totaal werd er 62.104 dollar en 32.6 Bitcoins opgehaald, wat met de huidige wisselkoers 21.100 dollar is. Het geld werd door 1434 mensen uit meer dan 90 verschillende landen gedoneerd.

Audit

Nadat het geld was binnengehaald hebben Green en White een technische adviesraad samengesteld die erop toeziet dat het geld verantwoord wordt uitgegeven. Een deel van het geld gaat naar iSEC Partners, met wie het allereerste contract voor de audit is gesloten. Het beveiligingsbedrijf zal een groot deel van de Windowsversie van TrueCrypt en de bootloader-code auditen. De audit begint in januari.

Green merkt op dat iSEC een groot deel van de lastige code voor de rekening neemt, maar dat de audit van de cryptografische werking van TrueCrypt nog moet starten. Daarnaast moet er nog gekeken worden hoe er aan de hand van de broncode straks veilige versies gecompileerd kunnen worden.

Trend

In een persoonlijke noot laat Green weten dat hij altijd dacht dat mensen niets om internetveiligheid gaven, maar tot zijn grote verbazing volgde er een massale respons op zijn oproep. "Voor zover ik weet is dit de eerste keer dat het internet op deze manier bij elkaar komt met het doel om ons allemaal iets veiliger te maken. Ik hoop dat dit het begin van een trend is."

Reacties (7)
21-12-2013, 17:12 door [Account Verwijderd]
[Verwijderd]
21-12-2013, 20:04 door Wadjinn
En wie audit de auditers? Zijn er nog Amerikaanse bedrijven te vertrouwen en worden er niet stiekem backdoors verzwegen voor een paar miljoen van de NSA? Ik heb altijd vertrouwen gehad in TrueCrypt maar nu deze audit begint wordt ik kritischer. waarom geen audit door verschillende partijen van verschillende landen? Of parallel audits?
21-12-2013, 21:50 door [Account Verwijderd] - Bijgewerkt: 21-12-2013, 21:51
[Verwijderd]
22-12-2013, 04:22 door Anoniem
Tja in principe klopt het wel, maar voor mensen die dit ook weer niet vertrouwen kunnen ook de oudere versies van TrueCrypt gebruiken. Met andere woorden het is ook nooit goed of perfect genoeg.

Dan denk ik ook aan voor welke personen (en landen) dit van belang is. Als we kijken naar een klokkenluider ja, dan is het van belang dat die data echt goed is versleuteld, voor wat e-mails van Jan en Piet hmmmm waar maken we ons druk om? Hebben we allemaal dan data die op het niveau van staatsbelang zijn? Nee dus voor bijna alle Nederlanders wat natuurlijk niet weg neemt dat al je data dan mag worden geanalyseerd door organisaties en overheden.

Nu we eindelijk weten van Prism, en andere Snowden lekken kunnen we ook kiezen voor andere opties. Bijvoorbeeld wissel je data echt privé uit, van persoon tot persoon en niet over internet, of in de cloud. In de cloud is zo hip tegenwoordig, maar bedenk ook wat als de dienst offline gaat, of toch niet zo veilig zijn als ze claimen te zijn. Of zet geen vertrouwelijke spullen op je digitale media, want waar niks te encrypten is, is ook niks te decrypten.

Verder kunnen we ook eens kijken in welke gevallen de overheidsdiensten TrueCrypt hebben kunnen kraken, en dat is voor zover ik weet geen een keer gelukt. ( En zeker niet in Nederland)
https://www.security.nl/posting/32885/Computers+Robert+M_+%22bizar+goed%22+beveiligd
https://www.security.nl/artikel/44051/1/Brit_aangeklaagd_wegens_niet_afstaan_encryptiesleutel.html
https://www.security.nl/artikel/40019/1/Vrouw_moet_versleutelde_laptop_van_rechter_ontsleutelen.html
https://www.security.nl/posting/31384/Politie+luidt+noodklok+over+encryptie

Met uitzondering van de personen die een te korte passphrase hebben gebruikt, of deze zelf hebben afgestaan. Ik denk dat een passphrase van 30 woorden niet te kraken is, en wel door niemand tot op heden dan. De programma's die TrueCrypt proberen te kraken lopen nog steeds tegen het probleem aan dat een te lange passphrase NIET is te kraken.

We kunnen verder ook een eigen versleuteling bedenken, hmmm niet zo heel moeilijk toch.
Voorbeeld: neem twee boeken en twee vellen transparant plastic, en gaan letters van een of
meerdere pagina omcirkelen op het transparante velletje. Geef het 2de boek en de vellen aan persoon B en je hebt een unieke encryptie vorm. En zo is er echt genoeg te bedenken.
Dan zijn er nog zeer kleine USB-sticks van pakweg 64 of meer Gig, die je heel makkelijk ergens kunt verstoppen (met of zonder encryptie). Pak een tegel op, achter het slot van je deur, begraaf hem in je tuin of tuinhuisje, bewaar hem op je werk. Dus mogelijkheden zat om je dingen echt geheim te houden mocht je echt willen. Think again!

Daarbuiten is TrueCrypt niet het enige programma, want op internet staan best wat andere vormen + mensen laten vaak zelf te veel metadata over hun zelf achter op forums en websites en noem het maar allemaal op waardoor men in de problemen zou kunnen komen. En ook deze factor speelt een rol waar overheden gebruik van maken.

Ik probeer altijd terug naar de bron te gaan, en te kijken wie wat doet, en van welke middelen maken ze gebruik, wat is eraan te doen, welke andere middelen zijn er enz. enz. Maar vooral vertel niet te veel van jezelf, en blijf onder de radar.

Al met al maken we ons druk om TrueCrypt, maar niet hoe veilig onze smartphone, moederbord, O.S., router en modems zijn?

Zodra de nieuwste smartphone (en andere multimedia er is) rennen we gelijk naar de winkel
en gaan het massaal met zijn allen gebruiken zonder na te denken hoe onveilig deze zijn.
Alles is bijna op remote te bedienen, of voorzien van een eventuele backdoor, en daarna
denken we pas over encryptie? Fout dus.

Zodra een device niet secure is, zonden we het eigenlijk niet moeten kopen, en fabrikanten moeten dwingen om die apparaten te voorzien van een goede beveiliging.
Open-source, veilig en getest door diverse instanties.

Nu gebeurd dit niet, en laten we werkelijk alles aan derden over terwijl we de smartphone
wel gebruiken. Als overheden en fabrikanten het niet voor ons doen, dan moeten we daar op aandringen. Maar ook dat doet 98% van de Nederlanders niet eens. We hebben het te druk,
of nemen niet de tijd om iets te onderzoeken, en verbergen ons altijd achter de slogan “Ze luisteren toch niet, of ik alleen kan toch niks veranderen”. Maar we kopen toch de laatste devices. En zo is de cirkel weer rond.

Kunnen we dan iets doen?
Ik denk van wel, maar het ligt aan ons zelf.

Ieder kamerlid en overheid en leverancier maakt gebruik van social media
Laat hun weten wat je wilt, communiceer met je vrienden en laat hun ook tweets
naar deze mensen sturen. Alleen samen kunnen we dit oplossen.

De meeste Nederlanders hebben social media maar schijnen nog steeds niet te weten
hoe het werkt. Terwijl dit een zeer krachtig instrument is om dingen aan te pakken, dingen te verbeteren, of voor te stellen. En de antwoorden staan online, dus gebruik die power dan ook.
22-12-2013, 12:24 door Anoniem
Paranoia ligt bij veiligheid altijd om de hoek. Als de VS zeggen dat TrueCrypt veilig is dan is Truecrypt daardoor per definitie niet meer te vertrouwen (de NSA heeft werkelijk alle belang bij toegang tot truecrypt volumes). Als de VS concluderen dat Truecrypt niet te vertrouwen is kan dat twee redenen hebben: het is echt onbetrouwbaar of de NSA kan er echt niet in komen waardoor de VS er alle belang bij hebben dat Truecrypt niet gebruikt wordt.

Vul hier ipv NSA iedere andere overheidsinstantie ergens toe en het verhaal is nog steeds waar. Het enige dat helpt is je vertrouwelijke data NIET digitaal opslaan en zodanig verstoppen dat niemand het weet te vinden. Een computer is namelijk niet te vertrouwen, dus al ontcijfer je de gegevens tijdelijk om er aan te werken, er is haast geen garantie te geven dat informatie niet op dat ontcijferde moment wordt gestolen.
22-12-2013, 22:45 door Anoniem
Door Anoniem: Paranoia ligt bij veiligheid altijd om de hoek. Als de VS zeggen dat TrueCrypt veilig is dan is Truecrypt daardoor per definitie niet meer te vertrouwen (de NSA heeft werkelijk alle belang bij toegang tot truecrypt volumes). Als de VS concluderen dat Truecrypt niet te vertrouwen is kan dat twee redenen hebben: het is echt onbetrouwbaar of de NSA kan er echt niet in komen waardoor de VS er alle belang bij hebben dat Truecrypt niet gebruikt wordt.

Vul hier ipv NSA iedere andere overheidsinstantie ergens toe en het verhaal is nog steeds waar. Het enige dat helpt is je vertrouwelijke data NIET digitaal opslaan en zodanig verstoppen dat niemand het weet te vinden. Een computer is namelijk niet te vertrouwen, dus al ontcijfer je de gegevens tijdelijk om er aan te werken, er is haast geen garantie te geven dat informatie niet op dat ontcijferde moment wordt gestolen.

Als we niet weten wie TrueCrypt ooit heeft geprogrammeerd, wil het dus ook niet zeggen dat de NSA of anderen daar iets
mee van doen hadden. Lijkt me heel simpel. En dat ze het zelf ook gebruiken geeft min of meer ook aan hoe veilig het is.
Ook buiten de NSA houden zich genoeg mensen bezig met encryptie, dus dat net enkel de NSA iets kan ontwikkelen lijkt me ook erg stug. Encryptie heeft niet enkel met een hoog budget te maken, maar met knappe koppen die verstand van encryptie hebben. Trouwens Meneer Snowden heeft zelf al bevestigd dat de NSA de betere encryptie niet kan kraken, iets
wat andere crypto experts ook zeggen.

Maar achter een paar weken of maanden weten we het antwoord, maar ook dan heb je weer altijd mensen die er toch weer
niks van geloven.
29-12-2013, 09:17 door Anoniem
Mijns inziens moet je je als truecrypt gebruiker de volgende vraag stellen: Wie mag de inhoud van mijn versleutelde data beslist NIET lezen?

Neem globaal de volgende 3 antwoorden:

1. Mijn vrouw / de kinderen / mijn collega's / de dief die mijn PC steelt
2. De nationale politie
3. De NSA

Bij 1 kun je met vol vertrouwen truecrypt gebruiken. Bij 2 kun je er ook nog wel mee aan de slag gaan. Bij 3 kun je er maar beter van afzien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.