Soeben bin ich auf der Projektseite von TrueCrypt auf einen geänderten Termin gestoßen: Zwar kann man nicht mehr noch im Januar, dafür aber umso exakter am 4. Februar mit der Veröffentlichung von Version 5.0 rechnen. 
Mit ‘Security’ getaggte Artikel
TrueCrypt 5.0 nächste Woche
Montag, 28. Januar 2008Perl und Nmap feiern Geburtstag
Mittwoch, 19. Dezember 2007Gestern hatte nicht nur Gianni Geburtstag, auch Perl wurde runde 20 Jahre alt und präsentierte sich der Öffentlichkeit in Version 5.10. Nmap kann seit einer knappen Woche immerhin schon auf 10 Jahre zurückblicken und feierte ebenfalls mit dem Release von Version 4.50. Abschließend zwar ohne Jubiläum, aber dafür mit gestopften Sicherheitslücken ist Wireshark nun in Version 0.99.7 verfügbar.
Vista erhält mit SP1 ebenfalls “NSA-Backdoor”
Mittwoch, 19. Dezember 2007Vorgestern erwähnte Bruce Schneier kurz auf seinem Blog, daß Windows Vista durch das kommende Service Pack 1 ebenfalls mit dem kritisierten Zufallszahlengenerator Dual_EC_DRBG versorgt werden wird. Software-Entwickler erhalten dann per Schnittstelle Zugriff auf den RNG, von dessen Benutzung natürlich ausdrücklich abzuraten ist.
<conspiracy>
Damit wären die wichtigsten Meilensteine Redmondscher Programmierkunst erfolgreich infiltriert. Und zum Glück kümmert sich die gute Nationale Sicherheitsbehörde der USA auch um internationales Wohl und Übel. Wäre ja schlimm, wenn dieses Phänomen nur die amerikanischen Windows-Versionen betreffen würde…
</conspiracy>
TrueCrypt 5.0 mit Support für Mac OS X und Pre-Boot Authentication
Montag, 17. Dezember 2007Die für Januar 2008 angekündigte Version 5.0 der bekannten Open Source Verschlüsselungssoftware TrueCrypt wird nach Angaben der Entwickler nun auch für Mac OS X verfügbar sein. Die Linux-Version bekommt eine GUI und durch die neue Pre-Boot Authentication wird TrueCrypt zur ersten freien Software für Windows, die Whole Disk Encryption unterstützt.
Das sind wirklich hervorragende Neuigkeiten, TrueCrypt verdient wie nur sehr wenig andere Software das Prädikat “Installationspflicht!”, besonders in Zeiten von Stasi 2.0.
Hinweis:
“Ich habe nichts zu verbergeben”-Kommentare bitte gleich unterlassen. ;-)
Fehlerhafte Verschlüsselung auch in Windows XP
Freitag, 23. November 2007Golem.de berichtet, daß auch in Windows XP der Zufallsgenerator, der zwingend für verschiedene Verschlüsselungsmethoden benötigt wird, fehlerhaft ist und so die Voraussage seines Outputs ermöglicht.
Anfang November wurde selbiges in Windows 2000 festgestellt und letzte Woche hatte Bruce Schneier derartige “Fehler” und ihren eventuellen Entstehungshintergrund kritisch beäugt.
Service Pack 3 für Windows XP soll das Problem beheben, läßt aber noch bis zur ersten Jahreshälfte 2008 auf sich warten. Bis dahin sollten sich Freunde der Windows-Verschlüsselung EFS schnellstens mit TrueCrypt vertraut machen. ;-)
NSA-Backdoor in neuem Encryption Standard?
Montag, 19. November 2007Bruce Schneier schreibt auf wired.com, daß im neuen offiziellen Standard für Zufallsgeneratoren, den die US-Regierung dieses Jahr veröffentlicht hat, einer der vorgestellten Algorithmen einen deratigen “Fehler” enthält, daß man mit Hilfe geheimer Schlüssel (von denen keiner weiß, wer sie besitzt) die Ausgabe des Zufallsgenerators vorhersagen kann:
This is how it works: There are a bunch of constants — fixed numbers — in the standard used to define the algorithm’s elliptic curve. These constants are listed in Appendix A of the NIST publication, but nowhere is it explained where they came from.
What Shumow and Ferguson showed is that these numbers have a relationship with a second, secret set of numbers that can act as a kind of skeleton key. If you know the secret numbers, you can predict the output of the random-number generator after collecting just 32 bytes of its output. To put that in real terms, you only need to monitor one TLS internet encryption connection in order to crack the security of that protocol. If you know the secret numbers, you can completely break any instantiation of Dual_EC_DRBG.
Die Tatsache, daß die NSA, also Experten für das Erstellen und Knacken von Verschlüsselungen, schon ewig an US-Standards für Kryptographie mehr als nur beteiligt ist, beantwortet auch gleich, wer für den Besitz solch geheimer Schlüssel in Frage kommem könnte.
