Waaaa, bitte nicht. Weiterhin bitte ich um Korrektur, sollte ich mich irren, doch ich zumindest habe in meiner AppITSec-Zusammenfassung stehen: „Im Übrigen werden sämtliche von einem Client zeitleich über Tor abgewickelten Verbindungen über ein und die selbe Route abgewickelt, wodurch eine einzige unsichere Application durch Übertragung unsicherer Metadaten die Zuordnung aller aktuell geführten Kommunikationen ermöglicht.“
Die Quellen und/oder Copy-Paste-Absätze hierfür waren entweder Wiki oder die für die Übung bereitgestellte Quellen.
Moment, dein Argument ist „Weil es trotz allem möglich ist, sich mit Tor zu deanonymisieren wenn man persönliche Informationen über ungesicherte Protokolle überträgt, sollte man Tor nicht einsetzen“ ähwas?
Nein, ich wollte darauf Hinweisen, dass eine Bemerkung bezüglich der Verwendung in dieser fast schon Aufforderung durchaus angebracht ist. Wenn ich gerade Dinge tu, bei denen ich wirklich anonym bleiben möchte, dann sollte ich eben nicht nebenbei beliebige Protokolle verwenden. Ob es für letzteres sinnvolle Alternativen gibt, weiß ich nicht. Jedenfalls finde ich die Aussage „Fürs normale Surfen: Benutzen Sie Tor“ einfach unpassend, da Deanonymisierung von TOR-Nutzern auf verschiedene Weisen erfolgen können.
Es hat mich gefreut, dass es diesmal einer meiner Wunschpunkte auf die Tagesordnung geschafft hat. Auch die gerührte Werbetrommel scheint ihre Wirkung nicht verfehlt zu haben, was die Existenz des Bedarfs nach Cryptoparties hinreichend dargelegt haben dürfte.
Als Anmerkung fürs nächste Mal verweise ich auf den bereits das letzte mal geäußerten Wunsch “Softwarebasierte FDE”.
Alles in allem kann man sagen ein gelungener Nachmittag/Abend und ich danke fürs erneute Organisieren.
Unter Linux ist das recht klar (LUKS), unter Windows aktuell ein Problem, nachdem TrueCrypt nicht mehr weiter entwickelt wird. Mindestens ein Teilnehmer wollte auch darüber reden, aber da das aktuell etwas schwer ist, wurde da nicht viel draus. Wenn du da mehr weißt bitte posten.
Ich weiß da momentan nur soviel, wie auf Heise zu lesen ist. Irgend ein neues Projekt bahnte sich da an, das wohl einen Großteil des TrueCrypt-Codes (abgewandelt) übernommen habe, allerdings soweit ich weiß noch etwas braucht, bis es nutzbar sein wird.
Vorallem wenn man Systemübergreifend verschlüsseln möchte bleiben momentan vermutlich nur ältere TrueCrypt-Versionen.
Projekte die auf dem TrueCrypt Source aufbauen sind leider allein wegen der Lizenz problematisch. Der Source wurde bei TrueCrypt wohl veröffentlicht um die Software überprüfbar zu machen, den Kriterien für Freie Software genügt das Ganze aber nicht. Die zum Schluss geänderte Lizenz behebt auch nicht alle dieser Probleme und bezieht sich auch AFAIK nur auf die read-only-Version von TrueCrypt.
Daher auch explizit “abgewandelt”.
Die offizielle Begründung von TrueCrypt für das Ausbleiben der Lizenz-Anpassung war soetwas wie: Wir wollten den Code ohnehin komplett überarbeiten, schreibt das daher mal lieber gleich from the scratch, dabei dürft ihr unseren Code allerdings als Inspiration nutzen.
Die Frage ist halt, in wie weit “abgewandelt übernommen” noch im Rahmen von “als Inspiration nehmen” liegt. Hast du eine URL zum einem konkreten Projekt?