Startseite > Datenschutz, Internet, Newskommentare, Statische Tags, Unsinn > Kostenloser Unsinn – Besser Open-Source bei Verschlüsselung (TrueCrypt)

Kostenloser Unsinn – Besser Open-Source bei Verschlüsselung (TrueCrypt)

Microsoft hat jetzt eine Verschlüsselungssoftware rausgebracht. Damit kann man Verzeichnisse mit einem Password versehen. Cool. Nur:

  • MS gibt laut Golem.de nicht an, welches Verschlüsselungsverfahren benutzt wird. Das senkt die Transparenz und erhöht die Chance, dass das Verfahren nix taugt und/oder eine Hintertür hat.
  • MS gibt laut der Golem-Meldung die Software als Freeware ab – also vermutlich nicht Open Source, denn das hätte sicherlich extra in dem Artikel dringestanden. Das senkt die Transparenz und erhöht die Chance, dass das Verfahren nix taugt und/oder eine Hintertür hat.
  • Das Programm gibt es anscheinend nur, wenn man die WGA-Prüfung durchlaufen lässt. Dazu benötigt man anscheinend einen Internet Explorer, über den ein Active-X-Plugin installiert wird. (Vieleicht gibt es noch eine Firefox-Extension)
  • Das Programm wird nur unter Windows laufen.
  • Gerüchten im Golem-Forum zufolge werden die Dateien nicht verschlüsselt – Windows weigert sich ohne Passwort nur, sie rauszurücken, während z. B. eine Knoppix-CD sich nicht an der freundlichen Bitte „Bitte Datei dem Benutzer nicht geben“ stört. Ich hoffe, dass das Passwort nicht auch noch im Klartext drinsteht. (ICH würde meine Haustür nicht mit einem Schloss sichern, dass sich mit einem Vierkantschlüssel öffnen lässt)
    Die Gerüchte sind vermutlich falsch, ich habe das Tool installiert, eine Datei in den Ordner getan, den Ordner abgeschlossen, eine Linux-CD gebootet und geschaut: Die Dateien waren verschlüsselt und es gab noch andere Dateien mit gleichem Namen und anderer Endung, die vermutlich Teilschlüssel oder ähnliches enthielten. (Ich habe sie nicht geöffnet, die eine war aber genau 1 KB groß, während die Originaldatei viel kleiner war.) Ich benutze FAT32 auf dem Laufwerk, auf dem ich den Test durchführte. Die Dateinamen konnten unter Linux, nicht aber unter Windows, eingesehen werden.
  • Es gibt längst Programme, die das auch in ähnlicher Weise können und Open Source sind. Emfehlen kann ich TrueCrypt (Nachteil: Keine komplette deutsche Übersetzung vorhanden).

Truecrypt kann unter http://www.truecrypt.org/downloads.php heruntergeladen werden. Optional, wenn gewünscht, kann noch Korrektheit der Datei mittels PGP geprüft werden. (Garantiert, dass die Datei nicht manipuliert wurde. Die Installation ist nicht sonderlich schwer, das Programm erstellt ein virtuelles Laufwerk, welches in einer Partition oder Datei gespeichert werden kann und nach Eingabe des Passworts wie ein normales Laufwerk benutzt werden kann. Im Gegensatz zum Windows-Tool weiß man, wie die Software funktioniert und kann sich sicher sein, dass die Entwickler sehr hohen Wert auf Sicherheit gelegt haben – und bei Sicherheitslücken nicht versuchen, sie zu verschweigen. (Und dass das Laufwerk wirklich verschlüsselt und nicht nur mit einer wirkunkslosen Bitte versehen ist) Es ist auch möglich, ein verstecktes Laufwerk zu erstellen – keiner außer dem Ersteller kann wissen, ob eines existiert. Wenn also mittels Gummischlauch-Kryptoanalyse (=Folter) das Passwort ermittelt werden kann, hat man nur das äußere Passwort. Es kann natürlich sein, dass dann die Existenz des zweiten Laufwerks genauso ermittelt wird…

UPDATE: Die Software von Microsoft hat anscheinend doch funktioniert. Inzwischen hat MS sie von ihrer Website genommen (Quelle: Golem.de) – weil sie funktioniert hat. Komisch? Ja, eigentlich schon. Aber die Benutzer haben sich beschwert, dass sie nicht an die Daten kommen, wenn sie das Passwort vergessen. Hallo? Das ist genau der Zweck von Verschlüsselungssoftware – ohne Passwort keine Daten. MS hat also einmal (vermutlich eher versehentlich) ein halbwegs verwendbares Programm ohne Hintertür gebaut – und bekommt dafür Gemecker statt Lob. Nein, diese Leute sollen bitte kein TrueCrypt einsetzen. Das macht seinen Job auch richtig. Ehrlich gesagt, wer mit der Haltung „Ich, und nur ich, soll an meine Daten rankommen, aber mir ist egal, wie der Computer mich erkennt, dass ist sein Problem, und das sind meine Daten, und ich will da ran, egal ob ich mein Passwort habe oder nicht – aber nur ich!“, bei dem verstehe ich, warum er die MS-Software eingesetzt hat. Sorry, ich muss kotzen gehen.

  1. 2006-07-06 um 21:21 UTC

    TrueCrypt ist wirklich sehr gut. Wer auf dem verschlüsselten Laufwerk nicht gerade Videos bearbeitet, wird keine Performanceeinbußen spüren. Am besten ein verschlüsseltes Volume mit Größe einer CD oder DVD anlegen. So sind Backups problemlos möglich. Ich würde keine ganze Partition verschlüsseln.

  2. Mike
    2006-07-07 um 12:30 UTC

    Der Nachteil bei TrueCrypt ist, dass man auf jeden Fall Admin-Rechte braucht (sonst kann das virtuelle Laufwerk nicht erstellt werden). Jedoch surft man sicherer mit eingeschränkten Rechten.
    Ich habe allerdings noch nicht ausprobiert, ob Private Folder 1.0 nach der Installation ohne Admin-Rechte auskommt (davon gehe ich aber aus).

  3. Jan
    2006-07-07 um 14:04 UTC

    Soweit ich weiß kann man nach der Installation von Truecrypt auch mit eingeschränkten Rechten arbeiten, da der Treiber dann installiert ist.

  4. MakeMoneyFast
    2006-07-07 um 14:29 UTC

    Mich stört an TrueCrypt, dass Container neuerdings zwar dynamisch wachsen können, aber nicht mehr schrumpfen. Hoffentlich wird das irgendwann einmal möglich sein.

  5. Jan
    2006-07-07 um 15:12 UTC

    Ich glaube, schrumpfen wird nicht gehen, weil nicht TrueCrypt die Containergröße verwaltet, sondern Windows mithilfe von Sparse Files. Die Dateien belegen den Platz erst dann, wenn er wirklich gebraucht wird, aber man kann nicht „aus einer Datei rauslöschen“ – einmal benutzte Bereiche werden nicht wieder „unbenutzt“. Außerdem zerstört die dynamische Zuweisung vermutlich das Prinzip der „plausible deniability“ – wenn keine gelöschten Dateien vorhanden sind, der Container aber zu groß ist, wirds eng. Außerdem erhöht es die Fragmentierung und macht den Container langsamer. Ich würde daher die dynamische Zuweisung nicht benutzen.

  6. 2006-07-18 um 10:55 UTC

    Das Problem bei der Software:
    In Firmen sollten die Benutzer nicht eigentständig Daten mit Software verschlüsseln, die nicht freigegeben ist. Dafür gibt es EFS, dann können die Daten per Notfall auch wiederhergestellt werden (wenn ein Mitarbeiter z.b. das Unternehmen verlässt usw.).

    Und darum hat Microsoft die Software zurückgezogen. Allerdings läuft schon was schief, wenn Benutzer Software, die nicht freigegeben ist, installieren, bzw. ausführen dürfen. Das darf nicht sein.

  7. Jan
    2006-07-18 um 11:08 UTC

    Das Teil war ja auch für privatuser gedacht, oder?

  8. 2006-07-18 um 11:09 UTC

    Bei Heise.de stand, das Microsoft das Tool zurückgezogen hat, weil Firmenkunden bedenken hatten, die „Hoheit“ über ihre Daten zu verlieren.

  9. Nina
    2006-09-13 um 19:11 UTC

    Der zweite NUR-Punkt könnte auch mal durchgestrichen werden. Auch ohne WGA-Check funktioniert EFS prächtig.

  10. Nina
    2006-09-13 um 19:12 UTC

    what a silly mistake! ich meinte natürlich den 3. NUR-punkt.

  1. No trackbacks yet.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: