cipershed und was haltet ihr davon?

[ren22]

Hallo,

(Diese Frage bezieht sich nur auf ein Linux Umfeld.)

ich bin gerade dabei mich in die Materie Verschlüsselung einzulesen bzw. ein zu arbeiten, da ja leider TrueCrypt "tot" ist
bin ich bei meinen Recherchen auf CipherShed gestoßen und wollte mal wissen was ihr von diesem "fork" haltet
und / oder existiert noch etwas anderes als CipherShed was ihr eher empfehlen könntet, in Sachen "Daten-Sicherheit" und offener Code ?

Danke

[DeletedUserReAsG]

Bei „Truecrypt“ und „Linux Umfeld“ würde mir, wie wahrscheinlich den Meisten hier, als Erstes dm_crypt mit LUKS in den Sinn kommen. Im Gegensatz zum genannten Produkt ist das weitläufig bekannt und es haben mit einiger Wahrscheinlichkeit mehr Augen drübergeschaut, als bei einer eher unbekannten Lösung ….

[schwedenmann]

Hallo

@niemand

es haben mit einiger Wahrscheinlichkeit mehr Augen drübergeschaut, als bei einer eher unbekannten Lösung ….

Gerade in Bezug auf truecrypt und Luks stimmt der Satz mit Sicherheit nicht.

1. Ob überhaupt Augen auf LUKS geschaut habne, ist zweifelhaft, trotz opensource (sieh den letzen bug in gunzip und den update-prozeß - der schlummert ja schon lange im Programm und da ja habne ja auch "viele Augfen - Iroinie aus, drübergeschaut und ncihts gefunden, ergo, nciht drübergeschaut, oder keine Ahnung.

2. Gerade bei truecrypt gabs eine Code-Audit, den gibts afaik für dm-crypt KUKS nicht und der audit ist gut ausgefallen.

Was ist jetzt objectiv sicherer ?

mfg
schwedenmann

[Lord_Carlos]

Gab es nicht sogar mehrere Audits von truecrypt?

[Lord_Carlos]

VeraCrypt, ein fork von TrueCrypt bekommt jetzt auch ein audit: https://threatpost.com/veracrypt-audit- ... up/119924/

[DeletedUserReAsG]

Gerade in Bezug auf truecrypt und Luks stimmt der Satz mit Sicherheit nicht.

Ich habe explizit „CipherShed“ vs. dm_crypt/LUKS genannt, nicht TC vs. LUKS. Und ich habe keine Statistiken darüber, wieviele Leute sich dm_crypt angesehen haben, ebensowenig weiß ich, wieviele an dem Audit von TC beteiligt waren – aber das spielt hier auch keine Rolle, darüber habe ich keine Aussage getroffen.

Gab es nicht sogar mehrere Audits von truecrypt?

Zumindest von einem weiß ich. Später wurden Schwachstellen gefunden, die dann nicht mehr behoben wurden. Siehe http://www.golem.de/news/truecrypt-sich ... 16596.html

[uname]

Also wenn ich es richtig sehe waren es ja wohl eher nur Windows-Sicherheitslücken. Ob Truecrypt von den Geheimdiensten gezwungen wurde aufzugeben wurde wohl nicht bestätigt. Aber der Verweis, dass Windows 7/8/10 "geeignete" Tools anbietet und Truecrypt unnötigt macht, lässt zwischen den Zeilen vermuten, dass die Geheimdienst-Frage obsolet ist. Wahrscheinlich sind veraltete Truecrypt-Versionen für Linux sicherer als jede aktuelle Windows-Verschlüsselung. Wobei eigentlich habe ich weniger Angst vor den Geheimdiensten als vor denen, die die Geheimdienste hacken. Für wirklich wichtige Daten sollte man besser auf alternative Betriebssysteme und Verschlüsselungen zurückgreifen. https://de.wikipedia.org/wiki/Security_ ... _obscurity hat noch nie funktioniert.

Das Kerckhoffs’sche Prinzip oder Kerckhoffs’ Maxime ist ein im Jahr 1883 von Auguste Kerckhoffs formulierter Grundsatz der modernen Kryptographie, welcher besagt, dass die Sicherheit eines Verschlüsselungsverfahrens auf der Geheimhaltung des Schlüssels beruht anstatt auf der Geheimhaltung des Verschlüsselungsalgorithmus.

Quelle: https://de.wikipedia.org/wiki/Kerckhoff ... 99_Prinzip

[wanne]

dm-crypt ist halt mega primitiv. Da kann man eigentlich nichts falsch machen. Auch LUKS ist noch extrem einfach. Und lässt sich in einer Zeile aufschreiben.
Viele teile von cryptsetup/dem kernel wurden von anderen Reimplementeirt (AES ergibt die gleichen Ergebnisse wie das von Openssel, was das gleiche macht, wie das von GnuTLS) Schlüsselmanagemen haben die john Leute neu implementiert. Entsprechend scheint der Algoritmus an sich erstmal keine Fehler zu haben, wie das bei kwallet passiert ist.
Schöne Betrachtungsweise ist, wenn man auf die Lücken von niemand achtet:
Beide hängen damit zusammen dass Sich Devices unter Windows von normalen Nutzern mounten lassen, und die sich dann erweiterte Rechte verschaffen könne.
Das Feature wurde bei den cryptsetup Leuten mehrfach nachgefragt. Es wurde immer wieder mit der Aussage, dass das potentiell Sicherheitslücken enthalten kann abgelehnt. und dem verweis auf andere Projekte, die um den Zusatz erweitern.
Btw. dürften beide Lücken in CipherShed noch enthalten sein. Zumindest finde ich keine Kommentare in den changelogs, dass das entfernt wurde. Auch sonst winde ich nirgends Anouncements zu Sicherheitslücken oder der Funktionsweise des ganzen.