TC 7.1a läuft auch weiterhin auf meinem NAS. Laut den zwei Auditrunden soll das Ding ja nicht kaputt sein.
Truecrypt am Ende? Schockzustand? Was ist hier genau passiert, und warum? Und ist das echt?
-
-
Hab ich mich jetzt versehen?
Scheint so
-
-
Wollte ich auch schon - mit allen Details - hier herposten, aber die Faulheit und Vergeßlichkeit standen dem leider gegenüber.
Egal, steht eh das wichtigste schon in der Heise Meldung. Habe auch schon lange auf das Ende von Phase II gewartet, und das Ergebnis ist durch die Bank erleichternd.Wichtig ist halt zu verstehen, daß nicht alle eingesetzten Algorithmen einer genauen Prüfung unterzogen worden sind: Das gilt für die Hashingalgorithmen RIPEMD-160 und Whirlpool sowie für die Cipher Serpent und Twofish. Geprüft wurden im Detail nur der (als sehr sicher geltende) SHA-512 Hashalgorithmus und der AES256 Cipher. Das macht Sinn, weil es die sichersten in der Auswahl sind, nur auf eines sollte man aufpassen!
SHA-512 ist zwar der stärkste Hashingalgo den TC anbietet, aber er ist nicht standardmäßig eingestellt, das wäre nämlich RIPEMD-160. Da muß man also manuell umschalten, wenn ein neues Volume erzeugt wird.
Nicht daß RIPEMD-160 jetzt Lücken in TC hätte, nur eingehend geprüft isser halt (noch) nicht.
Klar muß auch sein: Ein Audit kann niemals beweisen, daß eine Software sicher ist. Ein Audit kann ggf. maximal beweisen, daß eine Software unsicher ist. Dennoch freut mich das Ergebnis, waren ja immerhin keine Stümper am Werk beim Audit.
-
Zwei Dinge beschäftigen mich neben meiner Freude:
1. Was ist im Hintergrund passiert, dass die TC-Macher mit solch einer Aktion abgetreten sind?
2. Jetzt brauchen wir eine legitimen Nachfolger auf Basis von TC. Codebasis verschlanken, die im Audit angesprochenen Fehler fixen und dann schauen wir mal weiter. VeraCrypt könnte der Nachfolger werden.Ich bin gespannt!
-
Das mit der Lizenz sehe ich auch problematisch. TC hats verkackt und nun muss man damit leben. Bloß wie?
Ein kompletter Neustart wäre schick.
-
Es scheint einen Fork zu geben, der aktiv weiterentwickelt wird und gehärtet wurde:
https://veracrypt.codeplex.com
Gibts für RedmondOS, Geilem Pinguin und Äppelfressende Katzen
-
VC gilt seit längerer Zeit als der Nachfolger. Aber erst einmal sollen die soweit aufgeräumt und abgehärtet haben, dass man ein Audit machen kann.
Ich bleibe erst einmal bei TC 7.1a. -
Ich hab's grade auf meiner Linux Workstation installiert, nur 1.0f-b3 darf man nicht nehmen, da fehlt die TC Kompatibilitätsfunktion. 1.0f-2 aber scheint seinen Dienst zu tun. Hab halt noch keine Quellcodevergleiche angestrengt. Dinge aus dem kryptographischen Bereich des Codes kann ich ohnehin nicht einschätzen.
Aber die Jungs haben unter Linux die Volumebeschränkung auf 64 Volumes drin gelassen. [Meinen Artikel dazu] ham's wohl nicht gelesen.
Wird wohl doch Mal einen Blick in den Quellcode und meinen Fix brauchen. Nett wär's auch, wenn NTFS Folder Mounting unter Windows implementiert würde.
-
Und was sagt der Experte? Brauchbar oder nicht?
-
So, jetzt wird sich zeigen, wie fähig der Entwickler - Herr Idrassi - von VeraCrypt wirklich ist. Oder alternativ: Wie wenig ich weiß...
Bei den Issues hatte jemand Stabilitätsprobleme mit einer 4Kn Platte (Random Dismounts) - wohl aber eher wegen des USB 3.0 Interfaces - und der Entwickler meinte, daß der Windows Kernelcode von TC/VC nicht mit 4Kn umgehen könne, und lediglich 512 Byte Sektoren "sauber" unterstützt.
Ich weiß mittlerweile aber: Da gibts kein "sauber" oder "unsauber". Entweder man kann's richtig, oder gar nicht, und der Kernel spuckt dich an und du kommst keinen Schritt weiter.
Und Meanwhile, im Treiberquellcode...
v1.0f-2 Driver/Ntdriver.c [3164:3175]
Code
Alles anzeigenNTSTATUS GetDeviceSectorSize (PDEVICE_OBJECT deviceObject, ULONG *bytesPerSector) { NTSTATUS status; DISK_GEOMETRY geometry; status = SendDeviceIoControlRequest (deviceObject, IOCTL_DISK_GET_DRIVE_GEOMETRY, NULL, 0, &geometry, sizeof (geometry)); if (!NT_SUCCESS (status)) return status; *bytesPerSector = geometry.BytesPerSector; return STATUS_SUCCESS; }Diese Funktion wird überall im Windows Treibercode aufgerufen wo es darum geht, die Sektorgröße zu bestimmen. Der Code wendet die so ausgelesene Sektorgröße bytesPerSector beim I/O meines Verständnisses nach auch richtig an.
So, entweder der redet Stuß, oder ich übersehe etwas wichtiges. Bin auf die Qualität der Antwort auf meine Mail dazu gespannt.
Edit: Reply ist da, wobei ich den Code von dem er redet nicht zu 100% verstehe, also muß man ihm da wohl Vertrauen schenken:
Zitat von Mounir IdrassiAlles anzeigenHi,
Thank you for your interest in the 4K issue in VeraCrypt and TrueCrypt.
In the comment you are referring to, I said that "low level read/write
operations always uses 512 bytes". This is true since the device drive
code on Windows uses 512 as unit for XTS encryption but also as unit for
read/write data fragment handling: in the code look for the constant
ENCRYPTION_DATA_UNIT_SIZE and you'll see that it has the value 512. This
same constant is used in the function EncryptionThreadPoolDoWork (file
EncryptionThreadPool.c, line 474) as a unit for data fragments and this
is where the issue comes with certain drives: fragments will not be
always multiple of 4096 and writing them in such case will cause trouble
with certain type for firmware implementation.You drive seems to handle this kind of situations very well but this is
not the case of all drives.For file containers, TrueCrypt and VeraCrypt always use 512 as sector
size for the associated volume (constant
TC_SECTOR_SIZE_FILE_HOSTED_VOLUME) for compatibility reason on all
drives. On 4K drives, this causes a loss in performance because of the
buffering needed to align operations but there is no solution since the
file container can be copied between different type of drives.I hope I clarified things for your. Please feel free to share your
comments and ideas. For an Open Source project like VeraCrypt, it is
important to take into the account the feedback of people interested in
the code and its internal as this often sheds light on points that may
be missed otherwise.Regards,
--
Mounir IDRASSI -
So, kurzer Zwischenbericht zu meiner Erfahrung mit VeraCrypt:
ich nutze VC auf Manjaro Linux primär zum verschlüsseln externer Datenträger.
Allgemein muss ich sagen das es mir gefällt und der neue Bootloader und die Möglichkeit von einem Hidden Operating System gefallen mir sehr auch wenn ich aktuell kein System dauerhaft VC verschlüsselt boote. Das was über die veränderungen zu TC gesagt wird klingt für mich gut, dazu den Quellcode genauer zu lesen bin ich noch nicht gekommen.
Ein kleines Problem hat sich bei mir aber ergeben: Wenn ich Daten von/auf USB-Platte verschiebe ist die CPU Last recht hoch. Das war schon vorher bei TC so. Ganz schlimm wurde es als ich Daten von einem verschlüsselten Container (NTFS) in einen unverschlüsselten Ordner auf dem gleichen Datenträger (externe HDD (NTFS) über USB 2.0 angeschlossen) verschieben wollte. Während meist das USB die Geschwindigkeit limitiert geht hier die Last stark hoch (bis zu 40% meiner CPUs sind nur damit ausgelastet) und meine Kopiergeschwindigkeit sinkt auf bis zu 10kB/s.
Das wird natürlich nicht nur an VC liegen, USB 2.0 und NTFS als Filesystem tragen das ihrige dazu bei, hab nie erwartet, dass das performant ist aber 10kB/s ist deutlich heftiger als erwartet. (Zum Vergleich: wenn ich gleichzeitig was unverschlüsselt weg und was anderes unverschlüsselt drauf kopiere hab ich zwischen 10 und 15 MB/s pro Richtung, kopieren von der Hauptfestplatte in den VC-Container geht bei 22 MB/s, da bin ich dann in der Gegend von USB 2.0). -
Bin schon auf der Fehlersuche, vermute in den NTFS oder USB Treibern das Problem. glaube aber nicht das ich bis zu meinem Abflug nach Peru den Fehler dingfest machen kann (ist morgen früh).
Werde mal ein paar Varianten ausprobieren und wenn ich den Fehler eingekreist hab evtl. den Entwicklern mal schreiben.
Ja, AES Support wäre schon geil, wird mein nächster Laptop auch sicherlich haben, genau wie USB 3.0.
-
einerseits es ist geil aes ni , aber wenn da auch nur irgendwas unsauber implementiert ist ....