Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Wer steht hinter TrueCrypt?

20 views
Skip to first unread message

Wolf Stringhammer

unread,
Dec 17, 2011, 7:37:16 PM12/17/11
to
Es ist schon erstaunlich, dass diese (Vertrauens-)Frage in keinem der vielen
Testberichte auch nur berührt wird. Auch nicht in der deutschsprachigen
Wiki. Was man in der englischen Wiki liest, ist nicht gerade
vertrauenserweckend:

"The TrueCrypt developers use the aliases "ennead" and "syncon", but later
replaced all references to these aliases on their website with "The
TrueCrypt Foundation" in 2010.
The domain name "truecrypt.org" was originally registered to a false address
("NAVAS Station, ANTARCTICA"), and was later concealed behind a
Network Solutions private registration.
The TrueCrypt trademark was registered in the Czech Republic under
name of "David Tesarík".
In February 2010, the TrueCrypt website published a contact address in
Nevada, USA for the TrueCrypt Foundation. The domain name truecrypt.org
and the TrueCrypt trademarks were subsequently registered to the TrueCrypt
Developers Association, LC, also registered in Nevada."

Zitiert (mit nicht gekennzeichneten Verkürzungen) nach:
http://en.wikipedia.org/wiki/TrueCrypt#Developers.2FOwners_identities_and_related_concerns

Ein Impressum sucht man auf der Homepage www.truecrypt.org vergebens.
Unter den mit nur sehr sparsamen Links versehenen "Legal Notoces" findet
man nur in der Fußzeile "Copyright © 2003-2011 TrueCrypt Developers
Association. All rights reserved." Ohne Adresse, ohne Namen.

Völlig offen bleibt, wer das anonyme Projekt finanziert. Die gut gemachte
Windowsversion (andere kenne ich nicht) fällt ja nicht vom Himmel!

Zwar wird der Code veröffentlicht. Aber stimmt er mit den zum Download
angebotenen fertig compilierten Versionen überein?

Wie kann man einer solchen Verschlüsselungssoftware vertrauen? -
Da kann man schon ins Grübeln kommen!

Natürlich ist der normale Anwender von diesen Risiken nicht betroffen -
zumindest solange nicht, als die Geheimnisse nicht für einen wichtigen
(Verteidigungs)Fall preisgegeben werden.

Verschlüsselte Dateien, die in die falschen Hände geraten sind, könnten also
demnächst einmal leichter gelesen werden können, als es dem Anwender
ieb ist.

Weiß jemand mehr?

Y.

















Wolf Stringhammer

unread,
Dec 17, 2011, 7:55:23 PM12/17/11
to
Sorry, falsche Gruppe!


Arno Welzel

unread,
Dec 18, 2011, 7:58:50 AM12/18/11
to
Wolf Stringhammer, 2011-12-18 01:37:

[...]
> Völlig offen bleibt, wer das anonyme Projekt finanziert. Die gut gemachte
> Windowsversion (andere kenne ich nicht) fällt ja nicht vom Himmel!

<http://www.truecrypt.org/donations/?lnk=5>

> Zwar wird der Code veröffentlicht. Aber stimmt er mit den zum Download
> angebotenen fertig compilierten Versionen überein?

Es steht Dir frei, den Code selber zu compilieren oder jemanden, dem Du
vertraust, damit zu beauftragen. Aus den Quellen kann man eine komplett
lauffähige Windows-Version erzeugen - die liegen als fertig benutzbarer
Visual Studio Workspace vor und sind mit Visual C++ 2008 compilierbar.



--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de

Wolf Stringhammer

unread,
Dec 18, 2011, 2:47:54 PM12/18/11
to

"Arno Welzel" schrieb:

>> Völlig offen bleibt, wer das anonyme Projekt finanziert. Die gut gemachte
>> Windowsversion (andere kenne ich nicht) fällt ja nicht vom Himmel!
>
> <http://www.truecrypt.org/donations/?lnk=5>

Ja, das habe ich gesehen. Und das reicht?

>> Zwar wird der Code veröffentlicht. Aber stimmt er mit den zum Download
>> angebotenen fertig compilierten Versionen überein?
>
> Es steht Dir frei, den Code selber zu compilieren oder jemanden, dem Du
> vertraust, damit zu beauftragen. Aus den Quellen kann man eine komplett
> lauffähige Windows-Version erzeugen - die liegen als fertig benutzbarer
> Visual Studio Workspace vor und sind mit Visual C++ 2008 compilierbar.

Inkl. der GUI? Im Ergebnis kommt dasselbe* heraus, was man sonst
fertig downlädt? Hast Du es mal gemacht? (Die Lösung ist ja recht gut
gelungen!)

Ich kann keine echte Notwendigkeit für die Anonymität erkennen. Andere
kommen auch ohne aus.

W.

*) Ja, ich weiß: Vermutlich nicht binäridentisch!

Arno Welzel

unread,
Dec 19, 2011, 3:24:34 AM12/19/11
to
Wolf Stringhammer, 2011-12-18 20:47:

>
> "Arno Welzel" schrieb:
>
>>> Völlig offen bleibt, wer das anonyme Projekt finanziert. Die gut
>>> gemachte
>>> Windowsversion (andere kenne ich nicht) fällt ja nicht vom Himmel!
>>
>> <http://www.truecrypt.org/donations/?lnk=5>
>
> Ja, das habe ich gesehen. Und das reicht?

Ja.

>>> Zwar wird der Code veröffentlicht. Aber stimmt er mit den zum Download
>>> angebotenen fertig compilierten Versionen überein?
>>
>> Es steht Dir frei, den Code selber zu compilieren oder jemanden, dem Du
>> vertraust, damit zu beauftragen. Aus den Quellen kann man eine komplett
>> lauffähige Windows-Version erzeugen - die liegen als fertig benutzbarer
>> Visual Studio Workspace vor und sind mit Visual C++ 2008 compilierbar.
>
> Inkl. der GUI? Im Ergebnis kommt dasselbe* heraus, was man sonst
> fertig downlädt? Hast Du es mal gemacht? (Die Lösung ist ja recht gut
> gelungen!)

Ich habe es noch nicht komplett ausprobiert - zumindest lässt sich der
Workspace in Visual Studio 2008 laden und die Sachen auch bauen. Auch
die GUI ist enthalten.

> Ich kann keine echte Notwendigkeit für die Anonymität erkennen. Andere
> kommen auch ohne aus.

Möglicherweise will man so evtl. Forderungen wegen einem Verbot
kryptografischer Verfahren in diversen Ländern vorbeugen.

Wolf Stringhammer

unread,
Dec 19, 2011, 7:14:54 AM12/19/11
to

"Arno Welzel" schrieb:

>>>> Völlig offen bleibt, wer das anonyme Projekt finanziert. Die gut
>>>> gemachte
>>>> Windowsversion (andere kenne ich nicht) fällt ja nicht vom Himmel!
>>>
>>> <http://www.truecrypt.org/donations/?lnk=5>
>>
>> Ja, das habe ich gesehen. Und das reicht?
>
> Ja.

Hast Du da einen speziellen Kontakt!?


>>>> Zwar wird der Code veröffentlicht. Aber stimmt er mit den zum Download
>>>> angebotenen fertig compilierten Versionen überein?

> Auch die GUI ist enthalten.

Habe ich da was übersehen?


>> Ich kann keine echte Notwendigkeit für die Anonymität erkennen.
>> Andere kommen auch ohne aus.
>
> Möglicherweise will man so evtl. Forderungen wegen einem Verbot
> kryptografischer Verfahren in diversen Ländern vorbeugen.

Und diese Probleme haben die anderen Hersteller nicht?

Ich verstehe nicht, wie man das Vertrauen für einen wirklich gut gemachten
Produkt (soweit ich es beurteilen kann, also Installation, Bedienung, GUI,
Dokumentation), in dem es um Sicherheit und Vertrauen geht, so sehr
belasten kann.

W.

Arno Welzel

unread,
Dec 19, 2011, 12:02:16 PM12/19/11
to
Wolf Stringhammer, 2011-12-19 13:14:

>
> "Arno Welzel" schrieb:
>
>>>>> Völlig offen bleibt, wer das anonyme Projekt finanziert. Die gut
>>>>> gemachte
>>>>> Windowsversion (andere kenne ich nicht) fällt ja nicht vom Himmel!
>>>>
>>>> <http://www.truecrypt.org/donations/?lnk=5>
>>>
>>> Ja, das habe ich gesehen. Und das reicht?
>>
>> Ja.
>
> Hast Du da einen speziellen Kontakt!?

Missverständnis - ich dachte, dein "und das reicht" bezog sich auf die
Erzeugung der lauffähigen Version aus den Quellen.

Ob die Spenden alleine für die Finanzierung des Projektes ausreichen,
weiss ich allerdings auch nicht und ich kenne auch niemanden aus dem
Projekt persönlich.

>>>>> Zwar wird der Code veröffentlicht. Aber stimmt er mit den zum Download
>>>>> angebotenen fertig compilierten Versionen überein?
>
>> Auch die GUI ist enthalten.
>
> Habe ich da was übersehen?

Was vermisst Du denn? Die GUI-Ressourcen mit Dialogen, Menüs etc. sind
vorhanden, inkl. aller Icons dazu. Selbst das Setup ist dabei.

>>> Ich kann keine echte Notwendigkeit für die Anonymität erkennen.
>>> Andere kommen auch ohne aus.
>>
>> Möglicherweise will man so evtl. Forderungen wegen einem Verbot
>> kryptografischer Verfahren in diversen Ländern vorbeugen.
>
> Und diese Probleme haben die anderen Hersteller nicht?

Andere Hersteller haben halt eine Rechtsabteilung.

> Ich verstehe nicht, wie man das Vertrauen für einen wirklich gut gemachten
> Produkt (soweit ich es beurteilen kann, also Installation, Bedienung, GUI,
> Dokumentation), in dem es um Sicherheit und Vertrauen geht, so sehr
> belasten kann.

Wieso? Entscheidend ist die Qualität des Quellcodes - wenn da keine
Hintertüren eingebaut sind und die verwendeten Verfahren als sicher
anzusehen sind, spielt es keine Rolle, ob da ein namentlich bekannter
Herausgeber dahinter steht oder nur ein Team, dessen Mitglieder nicht in
der Öffentlichkeit auftreten wollen.

Arno Welzel

unread,
Dec 19, 2011, 12:04:59 PM12/19/11
to
Arno Welzel, 2011-12-19 18:02:

> Wolf Stringhammer, 2011-12-19 13:14:
>
[...]
>> Ich verstehe nicht, wie man das Vertrauen für einen wirklich gut gemachten
>> Produkt (soweit ich es beurteilen kann, also Installation, Bedienung, GUI,
>> Dokumentation), in dem es um Sicherheit und Vertrauen geht, so sehr
>> belasten kann.
>
> Wieso? Entscheidend ist die Qualität des Quellcodes - wenn da keine
> Hintertüren eingebaut sind und die verwendeten Verfahren als sicher
> anzusehen sind, spielt es keine Rolle, ob da ein namentlich bekannter
> Herausgeber dahinter steht oder nur ein Team, dessen Mitglieder nicht in
> der Öffentlichkeit auftreten wollen.

Nachtrag: Hier kann man lesen, dass es bzgl. der Lizenz wohl rechtliche
Unsicherheiten gibt - das mag der Grund sein, wieso niemand persönlich
dafür gerade stehen will:

<http://de.wikipedia.org/wiki/TrueCrypt#Lizenz>

Wolf Stringhammer

unread,
Dec 19, 2011, 8:01:36 PM12/19/11
to

"Arno Welzel" schrieb:


>>>>>> Zwar wird der Code veröffentlicht. Aber stimmt er mit den zum
>>>>>> Download
>>>>>> angebotenen fertig compilierten Versionen überein?
>>
>>> Auch die GUI ist enthalten.
>>
>> Habe ich da was übersehen?

Ja: Die Linux-Versionen...

> Was vermisst Du denn? Die GUI-Ressourcen mit Dialogen, Menüs etc. sind
> vorhanden, inkl. aller Icons dazu. Selbst das Setup ist dabei.

S. oben!

W.

Arno Welzel

unread,
Dec 20, 2011, 4:36:04 AM12/20/11
to
Wolf Stringhammer, 2011-12-20 02:01:

> "Arno Welzel" schrieb:
>

Bitte zitiere korrekt - die folgenden Zeilen sind *nicht* alle von mir:
Auch in der Linux-Version sind alle GUI-Ressourcen vorhanden. Man
benötigt halt wxWidgets, da diese Lib für die GUI verwendet wird. Da
wxWidgets aber ebenfalls im Source verfügbar ist, sehe ich da kein Problem.

Deswegen fragte ich - was vermisst Du?

Wolf Stringhammer

unread,
Dec 20, 2011, 9:15:32 AM12/20/11
to

"Arno Welzel" schrieb:

> Bitte zitiere korrekt - die folgenden Zeilen sind *nicht* alle von mir:

Nein, natürlich nicht alle. Alles was mehr als ein ">" hat, ist von Vor-
postern, inkl. von mir. Ich lasse immer nur den unmittelbaren Vorposter
stehen, wegen der Übersichtlichkeit. Aber es ist doch eigentlich un-
missverständlich, dass sich auf diesen Vorpposter nur die Zeilen mit
einem ">" beziehen. Bei Zeilen mit mehreren ">" wird über den Poster
_nichts_ gesagt.

Soweit ich gesehen habe, wird das von vielen so gehandhabt.

>>>>>>>> Zwar wird der Code veröffentlicht. Aber stimmt er mit den zum
>>>>>>>> Download
>>>>>>>> angebotenen fertig compilierten Versionen überein?
>>>>
>>>>> Auch die GUI ist enthalten.
>>>>
>>>> Habe ich da was übersehen?
>>
>> Ja: Die Linux-Versionen...
>>
>>> Was vermisst Du denn? Die GUI-Ressourcen mit Dialogen, Menüs etc. sind
>>> vorhanden, inkl. aller Icons dazu. Selbst das Setup ist dabei.
>>
>> S. oben!
>
> Auch in der Linux-Version sind alle GUI-Ressourcen vorhanden.

Eben. Die hatte ich ja übersehen ;-)

> Man
> benötigt halt wxWidgets, da diese Lib für die GUI verwendet wird. Da
> wxWidgets aber ebenfalls im Source verfügbar ist, sehe ich da kein
> Problem.
>
> Deswegen fragte ich - was vermisst Du?

Die GUI in der Windows-Version.

W.








Message has been deleted

Wolf Stringhammer

unread,
Jul 26, 2012, 7:10:17 PM7/26/12
to

"LeBasque" schrieb am 27.07.2012:

> Wolf Stringhammer schrieb am 20.12.2011:

>> Soweit ich gesehen habe, wird das von vielen so gehandhabt.

> Ich mutmaße das Deine Frage noch andere Aspekte beinhaltet

Jetzt lässt Du Dir mit Deiner Antwort mehr als sieben Monate Zeit, und
dann zitierst Du eine Zeile, die mit der Frage überhaupt nichts zu tun hat
;-)

> und deshalb dies:
> Ja, die Veröffentlichung des Quellcodes muß reichen denn Sie gibt Dir die
> Möglichkeit genau zu wissen was Du einsetzt. Alles andere ist Vertrauens-
> sache

Auch mit Kenntnis des Quellcodes bleibt es Vertrauenssache, denn ich kann
den Code nicht lesen. Aber selbst wenn ich es könnte, ist doch die Vorstel-
lung, dass ich meine Zeit damit totschlüge, absurd! Wenn man für jedes Werk-
zeug, das man einsetzt, solchen Aufwand betreiben muss, bleibt keine Zeit,
das Werkzeug einzusetzen!

Abgesehen davon bliebe immer noch die (hohe) Wahrscheinlichkeit, dass
ich eventuelle Fehler übersehe.

> der Umstand das Entwickler anonym bleiben ist kein Grund weniger
> vertrauen zu haben.

Natürlich ist es das. Wer anonym bleibt, befindet sich nicht notwendig in
guter Gesellschaft. Wenn man das Unternehmen und seine Interessen be-
urteilen kann, hilft das schon einmal weiter.

> Immerhin weckt der massenhafte Einsatz solcher Software auch Begehr-
> lichkeiten bei Leuten die allesamt sehr mächtig sind. Mir leuchtet ein
> das weniger Haftungsgründe als vielmehr mangelndes Vertrauen in
> Administrationen so ein Vorgehen provozieren.

Es könnte ein Grund sein. Mir fallen aber auch andere Gründe ein.

W.


Message has been deleted
Message has been deleted

Wolf Stringhammer

unread,
Jul 27, 2012, 9:42:10 AM7/27/12
to

"LeBasque" schrieb:

> Ich liebe die News Groups denn wie du sehen kannst hast Du Deine Artikel
> nach vielen Monaten noch immer im Blick. Ich halte es deshalb für richtig
> alle Threads zu lesen und auch spät zu antworten wenn man glaubt etwas zu
> sagen zu haben. Dieses Alleinstellungmerkmal hat keine andere Kommuni-
> kationsart.

Wobei die Qualität vieler Gruppen zu Lasten spezialisierter Forem (leider)
stark abgenommen hat. Das späte Antworten funktioniert im übrigen nur in
Gruppen wie dieser, in denen es so ruhig zugeht.

W.


0 new messages