Truecrypt Version 7.1 ist seit gestern draußen (Link (http://www.truecrypt.org)).

Neu: Full compatibility with 64-bit and 32-bit Mac OS X 10.7 Lion.

Und IMHO wichtiger als immer neue Features: Minor improvements and bug fixes (Windows, Mac OS X, and Linux).

Als würdige Alternative zu Truecrypt (mit Blick auf Windows) gäbe es da noch: Diskcryptor (http://diskcryptor.sourceforge.net/). Das ist auch Open-Source, liegt sogar auf Sourceforge und ist damit zum Mitmachen. Das wurde ursprünglich auf Truecrypt aufbauend entwickelt.
Funktionale Alternativen gibt es im kommerziellen Umfeld wie Sand am Meer - ich hatte damals neben Truecrypt noch zusätzlich DrivecryptPP verwendet, weil Truecrypt damals noch kein PBA beherrschte. Problem aber bei solcher Software: closed source & man muss dem Hersteller vertrauen, dass alles koscher ist und keine Backdoor für wen-auch-immer einprogrammiert wurde.

Und bevor die "nichts zu verbergen"-Fraktion rumheult: jeder sollte seine Sachen verschlüsseln! In die Wohnung/Hotelzimmer kann immer mal eingebrochen werden und der eigene Rechner geklaut oder der Laptop im Zug liegengelassen werden. Dann ist das Geschrei groß, die CDU-Politiker treten dann der Reihe nach zurück oder fordern Einschränkungen der Pressefreiheit (laut letztem wirren Kauderwelsch)...
Außerdem denkt bitte nicht nur an eure Privatsphäre, denn Emails und Fotos mit/von anderen betreffen auch deren Privatsphäre - selbst wenn ihr euch nicht schützen wollt, setzt euch nicht über deren Belange hinweg und verschlüsselt wenigstens in deren Interesse!

Achja, und zum Thema Passwortauswahl: xkcd.org (http://xkcd.net/936/)

http://imgs.xkcd.com/comics/password_strength.png

Ich nehme an, xkcd bezieht sich auf diesen Artikel (http://www.baekdal.com/tips/password-security-usability), der wohl für einiges Erstaunen in der IT-Szene gesorgt hat...

Oh schön :)

Ich nehme an, xkcd bezieht sich auf diesen Artikel (http://www.baekdal.com/tips/password-security-usability), der wohl für einiges Erstaunen in der IT-Szene gesorgt hat...

Cool, ja, sieht so aus - danke für den Link! :)

Truecrypt Version 7.1 ist seit gestern draußen (Link).

Irgendwie nicht mehr:

Warnung auf offizieller Seite: "Truecrypt ist nicht sicher" (http://www.heise.de/security/meldung/Warnung-auf-offizieller-Seite-Truecrypt-ist-nicht-sicher-2211037.html) bzw Ende von Truecrypt: Entwickler hat angeblich Interesse verloren (http://www.heise.de/newsticker/meldung/Ende-von-Truecrypt-Entwickler-hat-angeblich-Interesse-verloren-2211228.html).
Schon seltsam - bei "mangelndem Interesse" würde ich erwarten, dass sie die Sache einfach einschlafen lassen und mich nicht mehr kümmern (jedenfalls mache ich das immer so :D). Aber so ein dramatisches Ende? Something wicked this way comes. Jedenfalls also Augen auf, wer das im Einsatz hat.

Hmja... alles bissele seltsam momentan, die Lage ist unübersichtlich.

Blöd ist allerdings, dass es nichtmal ernstzunehmende Alternativen gibt. Ja, ich hab mein Laptop mal auf Bitlocker umgestellt, was natürlich auch funktioniert (TPM ist vorhanden, von daher ist durchaus auch der nötige Komfort gegeben), aber das hilft mir halt auch nichts wenn ich Container irgendwo benutzen möchte auf Windows-Systemen ohne Bitlocker (USB-Stick z.B.) oder gar auf ganz anderen Betriebssystemen. Da war TC ja die einzige ALternative, die Cross-Platform lief.

Offenbar ist es kein umfassender Hack der Webseiten und Rechner der Programmierer, sondern das Ganze stammt tatsächlich von den oder einem der Truecrypt-Programmierer.
Dafür sprechen: die Binaries sind mit dem bisherigen Private Key signiert und die Diffs im Source-Code zu ... naja, zumindest für einen Hoax zu aufwendig.
Für mich klingt derzeit diese Spekulation am plausibelsten: die Truecrypt-Leute sind von den Behörden unter Druck geraten und zum Schweigen verdonnert worden (National Security Letter). Durch die Blume geben sie allerlei krude Hinweise, die einen stutzig machen sollten: Empfehlung für Bitlocker, MAC: "Verschlüsselung" per unverschlüsseltem Container, usw, "keine Lust mehr" & gleichzeitig Riesenalarm wegen Sicherheitsproblem, Komplett-Entfernung von allem, inkl Forum und allen alten Sourcen und Binaries. Das Wortspiel "Truecrypt is (n)ot (s)ecure (a)s it may contain.." finde ich albern und halte es für einen Zufall - wer etwas Besonderes in der "23" sieht, sieht die Zahl dann auch plötzlich überall und in Allem.

Irgendwer (ich kenne den nicht) will in dem Vorgehen ein mit dem Truecrypt-Team abgesprochenes Verhalten für den Notfall bestätigt sehen.

Auf einer Security-Konferenz-Folie (PDF) (http://digital-forensics.sans.org/summit-archives/2010/18-lord-cryptanalysis.pdf) ist der Teil über Trucrypt[sic!] angeblich auf Wunsch der US-Regierung entfernt worden. (Achja, klar: Folie 23 natürlich, s.o.). Weiß nicht, was davon zu halten ist.

Unter'm Strich deutet das für mich darauf hin, dass es eine Sicherheitslücke in den Windows-Biniaries von Truecrypt gibt, die ihre Ursache nicht unbedingt in den Truecrypt-Sourcen haben muss, die aber für eine zu geringe Entropie bei der Erzeugung von verschlüsselten Containern sorgt und damit den Schlüsselraum für Angriffe ganz erheblich reduzieren und damit realisierbar machen kann. Damit wäre das beobachtete panikartige und kryptische Verhalten der Truecrypt-Leute nachvollziehbar.
Ob die Entwickler nur ahnen oder genau wissen, wo die Schwachstelle liegt, kann man derzeit auch nur vermuten. Die Frage ist: was würde man tun? 2 Jahre lang galt TC als sicher. Würden sie jetzt einen Patsch rausbringen, hätten alle Angreifer einen klaren Hinweis, wie sie an die TC-verschlüsselten Klartext-Daten ihrer z.B. geklauten Laptops herankämen. Verantwortlich erscheint also nur, das Projekt einzustampfen und evtl ein neues zu beginnen.