Ik kan me dat wel goed voorstellen na het wel zeer vreemde TC nieuws eerder. Het verhaal is gewoon te ongeloofwaardig en het advies om Bitlocker te gebruiken is te bizar en idioot voor woorden. Een nieuwe versie aanbieden die alleen kan ontsleutelen, is natuurlijk helemaal idioot; daar was het de mensen natuurlijk niet om te doen.

We kunnen alleen maar vermoeden wie of wat daar achter zit, maar de werkelijke boodschap lijkt het tegenovergestelde te zijn of te bereiken; 'Ja, we zijn onder druk gezet ermee te stoppen (en dat laten we iedereen op deze wijze weten) en ja, TC 7.1a en eerder zijn nog steeds veilig'.

Het lijkt er verdacht veel op dat iemand in de problemen is geraakt en TC onder druk van de markt moet worden gehaald.

En heeft MS BitLocker backdoors?

wat denk je zelf......

Nee, dat onderzoek gaat over de laatste "echte" versie, 7.1a. TrueCrypt nummert haar versies al al jaren met x.0, x.0a, x.1 en x.1a, etc.

Ik verwacht over een tijdje trouwens wel een fork uitgaande van de 7.1a source. Hopenlijk komt er snel 1 goed ondersteunde fork i.p.v. veel forks waar je moeilijk uit kunt kiezen.

En verder: Bitlocker is natuurlijk geen volledig alternatief, er is meer dan het versleutelen van complete schijven. Encrypted containers zijn heel handig, en werken bv. ook onder Android.

Dat was ook mijn eerste gedachte, maar ik zie op het web dat er nogal wat onzekerheid is of de licentie dat wel toelaat. Een van de dingen die mogelijk misgaat (praat ik nu na van wat ik ergens zag staan) is dat het gebruik van een fork in commerciële toepassingen niet zou mogen. Aan de andere kant heb ik ergens een reactie gezien van iemand die jurist beweert te zijn die iedereen zou aanraden het gewoon te doen, simpelweg omdat de kans bijzonder klein is dat de originele makers zich nu opeens wel bekend zouden maken, en als ze dat deden zouden ze vermoedelijk niet in staat zijn om aan te tonen dát ze de orginele makers zijn. Zelf zou ik het overigens niet netjes vinden om mensen op die manier te passeren.

Voor DragonfyBSD en Linux bestaat er tc-play, dat Truecrypt-volumes aankan. Dat is op LUKS gebaseerd, en voor het benaderen van LUKS-volumes op Windows bestaat FreeOTFE. Wellicht is het mogelijk om op basis van deze pakketten een alternatief te maken dat werkt op Windows en niet de licentieproblemen van TrueCrypt heeft. Maar FreeOTFE heeft zo te zien ook een non-standaard licentie, dus hopelijk bevat die niet zijn eigen valkuilen.

Om in containers te komen is 7.1a voldoende. Waar deze het laat afweten is bv. UEFI ondersteuning en booten van grotere schijven dan 2TB. Daar is doorontwikkeling nodig. Verder zijn er wat kleine puntjes gevonden in de audit maar daar zit tot nu toe niks heel belangrijks tussen.

Overigens duiken de eerste oproepen tot forks al op. Ik zag net http://truecrypt.ch al opduiken en het audit team spreekt ook al hardop over een fork.

De licentie zou ik in deze gewoon negeren maar er speelt nog een ander probleem, volgens de Wikipedia pagina is er e.o.a. commercieel bedrijf dat rechten op de TrueCrypt code claimt omdat de eerste ontwikkelaar dat bij hem meeegenomen zou hebben. Ik weet niet of dat ooit goed uitgezocht is.

Ook al die source-code OK, dan wil dat nog niet zeggen dat de gecompileerde code dat is. Hoe kun je bewijzen dat er een 1:1 relatie is?

"Beveiligingsonderzoekers van een Amerikaans beveiligingsbedrijf..."
Dit bedrijf is onderhevig aan de Patriot-act en mag derhalve helemaal niets bekend maken over een backdoor.
Lekker onderzoek.

Je zou kunnen overwegen een justitiële actie uit te lokken en dan te kijken hoe dit afloopt.

Een ideetje misschien voor een onderzoeksjournalist. "Je presenteert je nadrukkelijk als iemand met terroristische plannen en kijkt dan of de dienst jouw met Bitlocker gecrypte schijf weet te kraken"

Dat lijkt me nogal riskant. Dan denkt de CIA: "we kunnen z'n encryptie niet kraken, we schieten hem voor de zekerheid maar dood."

Als je een backdoor plaatst doe je dat op een zodanige wijze dat je het kan ontkennen. Dat wil zeggen, je bouwt een kwestsbaarheid in.

Veel kwetsbaarheden worden niet ontdekt in de broncode, maar in het programma zelf. Je stelling is niet waar.

Het lijkt me niet plausibel dat Dhr. Greenwald ook maar 1 moment denkt aan overstappen op Bitlocker. Ik denk dat binnen dat wereldje wel wat tips binnen zijn gekomen over wat ze wel of niet kunnen gebruiken.

Weten we zeker dat de ontwikkelaars niet voor de nsa werken? Zijn er zwakheden ingebouwd in de crypto die nu aan het licht dreigen te komen en wordt de stekker eruit getrokken?

Het is in ieder geval duidelijk dat de ontwikkelaars hun mond moeten houden...

Met een geverifieerd veilige (open source?) compiler

Maar hoe weet je dat de compiler goed is, en er niets iets bij doet?

Maar hoe weet je dat de source code veilig is?

Fijn open source maar ik kan het niet verifieren of het cryptografisch goed in elkaar zit.
En mensen die er wel verstand van hebben zijn maanden bezig.

Ja je hebt de toegang maar wat heb je daar aan als leek.

Zoals 'Krakatau' schrijft, gaat het om vertrouwen. In feite kun je niks vertrouwen behalve je eigen ogen dus het best is als je in staat bent programmacode te snappen.
Als je dat niet kunt, zul je moeten vertrouwen op anderen. Enkel het feit dat Truecrypt 'open source' is betekent dat iedereen kan controleren wat het doet. Dat feit alleen al maakt 'open source', de broncode vrij beschikbaar, te vertrouwen.
Het blijven toch in feite cirkelredeneringen wat wel en niet te vertrouwen is. Je boerenverstand is nog de beste basis. Weet je dat iets 'closed source' is, dan weet je zeker dat het onmogelijk te vertrouwen is, simpelweg omdat er geen enkele reden is het wel te vertrouwen. Gezonde paranoia, zoals weten hoe geheime diensten werken doet de rest.
De laatste tijd is veel bekend geraakt dankzij onthullingen van Snowden en anderen en kunnen we zeker weten dat als NSA en dergelijken erbij betrokken kunnen zijn, alle wantrouwen op z'n plaats is.

Als je van dat wantrouwen uitgaat, word je direkt weg gezet als 'complot-theorie-anti', en die kant gaat het hier nu ook uit.
Het lijkt erop dat de NSA met sukses de ontwikkelaars onder druk heeft gezet, en er ook mee weg komt geheim te houden dat dat gebeurd is.
Nu na een aantal dagen nog steeds geen feiten boven tafel zijn, zal dat ook wel niet meer gebeuren.

Al jarenlang kon iedereen weten dat alles en iedereen 'gemonitord' wordt op het internet, en Truecrypt van de markt gehaald is een belangrijk nieuw verlies in een allang verloren strijd.
Nu weten we dat de NSA ook open-source onder Amerikaanse vlag, onder controle heeft, nu dit mogelijk blijkt.

'Het Vrije Westen' ? Nou, nee. We worden ernstiger gecensureerd en in de gaten gehouden dan de Chinese overheid dat kan. China geeft toe dat het censureert, het wordt niet geheim gehouden. Openlijke onderdrukking is volgens mij minder ingrijpend dan geheime.