Das mag schon sein, dass es Leute geben soll die den Quellcode nicht lesen können und auch Anwender die auf fertige Binaries zugreifen, jedem das seine. Es gibt aber auch welche die den Quellcode verstehen und sich die Binaries selbst kompilieren
Keine Ahnung ob Hersteller solcher Tools Master-Keys oder Hintertüren eingebaut haben, vermutlich hast du auch recht und alles ist in Ordnung, aber das Risiko ist es mir nicht wert.
Die Äußerungen finde ich sehr lächerlich. Die meisten TC-Anwender werden sich nur die Binaries herunterladen und davon wird weit über die Hälfte nicht einmal Checksummen/Keys verifizieren.
Alleine schon aus praktischen Gründen: TC ist primär für Windows-Systeme gedacht. Würde man TC selber bauen, hätte man keinen signierten Treiber. Hier gibt es zwar auch Hacks, diese würden aber Schutzfunktionen deaktivieren - passt also nicht mit dem Sicherheitsgedanken zusammen.
Worum es mir geht, weswegen ich ständig wenn jemand bei Sicherheitssoftware auf OpenSource verweist (gerne mit dem Hinweis "Das Risiko ist geringer") ist einfach: In meinen Augen haben die Leute keine Ahnung und fühlen sich in falscher Sicherheit (Gefährliches Halbwissen!). Sicherheit hat vor allem etwas mit Wissen zu tun. Wenn jemand nicht weiß, wie etwas, was ihm Sicherheit bringen soll, funktioniert, dann ist die Chance verdammt groß, dass er es falsch bedient und damit unsicherer ist als ohne.
Wer von irgendeiner Software Binaries einsetzt, muss dem Hersteller dieser Binary 100% vertrauen. Ein OpenSource-Vorteil ist damit dahin. Somit ist das TC-Binary mit dem BitLocker-Binary (oder bspw. PGP WDE) in Sachen Vertrauenswürdigkeit gleichgesetzt.
Nur wenn ihr wirklich den Quellcode prüft und nur eigene Binaries aus zuvor überprüftem Quellcode erzeugt, nur dann könnt ihr dieses Argument "...sicherer, weil OpenSource" für euch verbuchen.
Klar kannst man auch kurze Passwörter verwenden, aber egal wie stark ein Algorithmus auch sein mag, die größte Schwäche liegt immer im Passwort.
Sicherheit hat ihren Preis, wenn man Wert auf hohe Sicherheit der Daten legt muss man sich das "lange" Passwort zwingend merken, ohne Notiz, denn nur im Kopf ist es sicher
Auch das ist pauschal falsch.
Ein sicheres Kennwort schlägt immer ein längeres unsicheres Kennwort. Zu glauben, die Länge alleine wäre ausschlaggebend ist ein fataler Irrglaube.
Desweiteren: Du solltest dich einmal informieren, wie die diversen Programme die Kennwörter verwenden. So macht es vielfach keinen Sinn einen 128bit Schlüssel mit einem Kennwört >128bit zu erzeugen.
Und wie ich schon erwähnte: Längere Kennwörter bringen oftmals Nachteile, weil
- um die sich noch zu merken, die Kennwörter zu einfach werden. Überspitzt: Die stehen bald wieder im Wörterbuch...
- dazu tendiert wird, sich diese irgendwo zu notieren. Damit schafft man ein weiteres Glied in der Kette. Oftmals das Schwächste...
...auch kann ein langes Kennwort keinerlei Algorithmusschwächen kompensieren.
Wer also wirklich denkt, ein langes Kennwort böte mehr Schutz als ein gutes 8-12 stelliges Kennwort, der hat wichtige Dinge nicht verstanden.
Zwischenfrage an dich:
Reicht es deiner Meinung nach aus eine Festplatte einmal vollständig zu überschreiben, um die zuvor gespeicherten Daten irreversibel zu entfernen?
Wenn du oder irgendjemand hier im Forum jedoch weis wie das "on the fly" funktioniert, dann wär eine kurze Anleitung dazu ziemlich cool.
Siehe Seite 1. Dort erwähnte ich
extcv | Download extcv software for free at SourceForge.net
Denkst du nicht dass es längt findige Wahnsinnige geschafft hätten eine Hintertür aufzudecken, in closed source?
Und vor allem, was meinst du was für Schadensersatzklagen auf MS zukommen würden. Grad in den USA...
Hier empfiehlt es sich leider einmal den Lizenzvertrag zu studieren. Microsoft schließt jegliche Haftung die durch die Verwendung seiner Produkte entstehen könnten aus. Ein heute völlig üblicher Vorgang in den USA (übrigens ein Grund, weswegen deutsche Firmen derzeit nicht mit US Cloudanbietern zusammen arbeiten dürfen:
Cloud und Recht:). Es ist auch wichtig zu sehen, welche Wörter Microsoft genau verwendet: So ist immer nur die Rede davon, dass BitLocker eben den FIPS 140-2 erfüllt. Dies wird durch entsprechende Stellen überprüft und bescheinigt. Sollte sich nun herausstellen, dass der Standard unzureichend ist oder dem doch nicht so ist, kannst du dich wenn überhaupt an diese nationale Einrichtung wenden...
Sich also deshalb darauf zu verlassen, halte ich für falsch.
Ich selber würde aber trotzdem auf BitLocker vertrauen: Microsoft kann es sich in meinen Augen als Firma nicht leisten, dass es hier Probleme gibt. Und wenn ich darauf vertraue, dass sich Leute TC und Co. anschauen, dann sollte ich gleiches Vertrauen auch darin haben, dass Microsofts BitLocker bereits ausgiebig durch Dritte überprüft wurde und permanent wird.
Natürlich ist Glauben so eine Sache. Man sollte sich schon bewusst sein, dass man hier hier eben vertrauen muss. Wenn Vertrauen nicht in Frage kommt, muss man eben andere Wege beschreiten (allerdings ist da neben Selbermachen imho kaum noch ein anderer Weg...)
Was Komfort in Verbindung mit Sicherheit angeht, ist BL das überlegenere Mittel der Wahl. Sofern ein TPM-Modul an Board ist.
Oder kann TC das mittlerweile auch?
Volle Zustimmung. Wenn TPM vorhanden ist, schwöre ich auf BitLocker. Ansonsten nicht, weil eine PBA via USB-Stick für mich zu unsicher ist. Etwas haben ist schön und gut... aber das kann man entwenden. Etwas wissen (Kennwort), halte ich da für sicherer.
Die Seite zeigt zwar gut auf wie sich der Rechenaufwand im Vergleich zur Passwortlänge verhält, um ein ungefähres Gefühl für ein sicheres Passwort zu bekommen, aber leider ist es nicht ganz aktuell.
Denn immerhin werden nur die Berechnungsdauern mittels CPU dargestellt, jene mit (Multi-)GPUs oder wie immer häufiger Berechnungen mittels Cloud werden dort außer Acht gelassen und diese sind weitaus effizienter.
Vergesse nicht, dass die meisten Tests lediglich ein Kennwort errechnen.
Hier wäre es aber notwendig, dass permanent gegen die Festplatte geprüft werden müsste. Das bremst enorm.