Update zum VeraCrypt-Projekt

 (sourceforge.net)
2 Punkte von GN⁺ 21 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Das Microsoft-Konto für die Signierung der Windows-Treiber von VeraCrypt wurde ohne Vorankündigung geschlossen, wodurch Entwickler Mounir Idrassi keine Updates der Windows-Version mehr verteilen kann
  • Von Microsoft kam lediglich eine Nachricht, dass kein Einspruch möglich sei; trotz mehrfacher Anfragen gibt es außer automatischen Antworten keine Rückmeldung
  • Die Community unterstützt mit verschiedenen Lösungsvorschlägen, darunter Kontowiederherstellungsverfahren, Hinweise über soziale Medien und alternative Signierungsmethoden
  • Einige Nutzer teilten ähnliche Fälle aus dem Rufus-Projekt und verwiesen auf die Möglichkeit administrativer Probleme wie Fehler bei der Domain-Validierung
  • Mehrere Entwickler und Nutzer versuchen interne Kontakte bei Microsoft und öffentliche Unterstützung zu mobilisieren und zeigen ihre Bereitschaft zur Zusammenarbeit für die fortlaufende Pflege und Sicherheit von VeraCrypt

Update zum VeraCrypt-Projekt

  • Unterbrechung der Entwicklung durch Schließung des Microsoft-Kontos

    • VeraCrypt-Entwickler Mounir Idrassi erklärte nach mehrmonatiger Abwesenheit, dass das Microsoft-Konto, das für die Signierung von Windows-Treibern und dem Bootloader verwendet wurde, geschlossen worden sei
    • Microsoft habe das Konto ohne vorherige Warnung oder E-Mail-Benachrichtigung gekündigt; in der Nachricht stehe zudem, dass kein Einspruch möglich sei
    • Es wurden über mehrere Wege Kontaktversuche mit Microsoft unternommen, aber es gab nur automatische Antworten und keinen Kontakt zu einer tatsächlich zuständigen Person
    • Dadurch ist es nicht möglich, Updates der Windows-Version von VeraCrypt zu verteilen, was den Betrieb des Projekts erheblich beeinträchtigt
    • Die Versionen für Linux und macOS können weiter aktualisiert werden, doch da die Mehrheit der Nutzer Windows verwendet, ist die Auswirkung groß

  • Reaktion und Vorschläge der Community

    • Nutzer Marty wies darauf hin, dass die aktuelle Windows-Version (1.26.24) mit einem Zertifikat von 2011 signiert sei und bald ablaufen werde, und äußerte Bedenken wegen Problemen bei der Nutzung unsignierter Versionen in Secure-Boot-Umgebungen
    • AJ B empfahl, das Formular zur Kontowiederherstellung und die Links zum Kundensupport auf der Microsoft-Supportseite zu nutzen sowie den Fall über Reddit und X (ehemals Twitter) öffentlich zu machen
    • Alex R schlug vor, den Fall über Microsoft-bezogene Social-Media-Kanäle zu teilen, um mehr Aufmerksamkeit zu erzeugen; Idrassi nahm den Vorschlag positiv auf
    • 风之暇想 schlug vor, zusätzlich ein archivartiges Verschlüsselungsprogramm aufzunehmen, das nicht von Signierung abhängt, um auf das Signierungsproblem reagieren zu können

  • Weitere Ratschläge und Unterstützungsversuche

    • Phoenix erwähnte die Möglichkeit, dass das Konto aufgrund einer Meldung gelöscht wurde, wonach die Software für illegale Aktivitäten genutzt werden könne, und schlug eine vorübergehend eingeschränkte Version vor, die nur Nicht-System-Partitionen unterstützt
    • Enigma2Illusion beschrieb konkret eine Methode, direkt eine E-Mail an Microsoft-CEO Satya Nadella zu senden
      • Es wurde ein Beispielschreiben mit Betreff, Text, angehängten Screenshots und Kontaktinformationen bereitgestellt
    • Preguntar Jeeves wies darauf hin, dass das Konto möglicherweise nicht vollständig gelöscht, sondern nur deaktiviert sei, und riet dazu, Kontakt zu Persönlichkeiten der Kryptographie-Community sowie zu Medien und Politikern aufzunehmen
      • Zu den genannten Personen gehören Bruce Schneier, Chris Titus, Niels Ferguson, Rand Paul, Ron Wyden

  • Ähnliche Fälle und mögliche Lösung

    • Pete Batard erklärte, im Rufus-Projekt denselben Fehler im Microsoft Partner Center erlebt zu haben
      • In seinem Fall wurde die automatische Verifizierung wegen eines fehlgeschlagenen WHOIS-Abgleichs beim Domain-Registrar unterbrochen und nach direktem Kontakt mit dem Microsoft-Support gelöst
      • Er erläuterte, dass der Hinweis „kein Einspruch möglich“ in der Fehlermeldung wahrscheinlich ein automatischer Text ist, der nichts mit dem tatsächlichen Geschäftsverifizierungsprozess zu tun hat
      • Nach dem Einreichen von Nachweisen zur Domain-Registrierung wurde das Problem gelöst; auch bei Idrassi könne eine ähnliche Ursache vorliegen

  • Versuch, interne Kontakte bei Microsoft zu nutzen

    • Rafael Rivera erklärte, er könne das Problem über interne Kontakte bei Microsoft weiterleiten, und bat darum, die E-Mail zu teilen
    • Mehrere Nutzer in der Community zeigten Verständnis und Unterstützung für Idrassis Situation und schlugen verschiedene technische und gesellschaftliche Unterstützungswege vor, um das Fortbestehen des Projekts zu sichern

Verwandte Beiträge

1 Kommentare

 
GN⁺ 21 일 전
Hacker-News-Kommentare

  • Ich habe derzeit dasselbe Problem im Zusammenhang mit WireGuard
    Mein Konto wurde ohne jede Warnung oder Benachrichtigung gesperrt, und ich durchlaufe jetzt ein 60-tägiges Einspruchsverfahren
    Wenn es tatsächlich eine RCE-Schwachstelle gegeben hätte und ich sofort einen Patch hätte veröffentlichen müssen, hätte Microsoft mir vollständig die Hände gebunden
    Falls jemand innerhalb von Microsoft helfen kann, bitte melden (jason at zx2c4 dot com)

    • Wenn man so etwas sieht, denke ich, dass Unternehmen wie Microsoft, Google, Apple, Visa, Mastercard und bald auch OpenAI und Anthropic wie öffentliche Versorger reguliert werden sollten
      Es sollte illegal sein, dass solche Unternehmen legitimen Nutzern Dienste verweigern
      In den USA ist das aus politischen Gründen wohl schwierig, aber in der EU ist es möglich
      Menschen außerhalb der EU könnten über die e-Residency Estlands möglicherweise ebenfalls vom Schutz durch EU-Regulierung profitieren
    • Dass das Microsoft-Konto des WireGuard-Gründers gesperrt wurde, ist wirklich schockierend
      Es wirkt, als wolle Microsoft Netzwerkverschlüsselung und Laufwerksverschlüsselung der Nutzer behindern
    • Kaum zu glauben, dass der WireGuard-Entwickler in so eine Lage geraten ist
      Dabei unterstützt Microsoft WireGuard sogar im Azure Kubernetes Service
    • /tinfoil time
      60 Tage sind auf merkwürdige Weise zugleich lang und kurz
      Lang genug, damit die US-Regierung Zeit hat, eine Sicherheitslücke auszunutzen, und danach könnte Microsoft es mit „War ein Versehen“ wiederherstellen
      Am Ende wirkt es wie eine Strategie, Sicherheitssoftware vorübergehend festzusetzen
    • Dank dieses Threads habe ich das Thema ebenfalls in einem Tweet geteilt

  • Der Update-Tweet eines Microsoft-Vizepräsidenten ist ebenfalls sehenswert

  • Zuerst hat es mich überrascht, dass die VeraCrypt-Entwickler in so eine Lage geraten sind, und nun auch noch die WireGuard-Entwickler
    Führt Microsoft vielleicht eine neue Richtlinie ein, um Open-Source-Projekte zu unterdrücken und die eigenen Lösungen zu pushen?

    • Wahrscheinlich liegt es eher an einem automatischen Sperrsystem wegen plötzlich stark gestiegener Downloads
      Unternehmen verschärfen solche Maßnahmen derzeit, um die Verbreitung von Betrugs-Apps gegen technisch weniger versierte Nutzer zu verhindern
      Das ist ein ähnlicher Kontext wie bei Googles Blockade von Sideloading
    • Stimmt

  • Solche Probleme werden offenbar erst gelöst, wenn es Medienberichte dazu gibt
    So wie damals, als neocities Bing nicht erreichen konnte, müsste ein Medium wie Ars Technica darüber berichten

    • Es wirkt, als missbrauche Microsoft seine quasi-monopolistische Stellung im Markt für Consumer-Betriebssysteme
      Es ist Zeit für regulatorische Maßnahmen
    • Dass es durch Medienberichte gelöst wird, ist nur ein vorübergehendes Notpflaster
      Die heutige Struktur der App-Verteilung ist längst kein Modell mehr, in dem „der Nutzer wählt“, sondern ein von Unternehmen verwaltetes Whitelist-System
      Einzelentwickler und Open-Source-Entwickler leiden dabei unter kafkaesken Verfahren, unangemessenen Kosten und intransparenten Kriterien
      Auch bei mir hängt die Erneuerung der Digicert-Code-Signatur für meine App Payload seit sechs Monaten fest
      Das ist nicht bloß ein technisches Problem, sondern ein Problem eines monopolistischen Verifikationssystems
      Es ist teurer, schwieriger und unklarer als die Zeit der SSL-Zertifikate vor Let’s Encrypt
    • Ich habe das heute dazu auf X öffentlich gemacht

  • Das erinnert an eine Neuauflage des LibreOffice-Falls
    Dem Artikel dazu zufolge hatte Microsoft eine Entwickler-Version von LibreOffice blockiert

    • Wenn Nutzer erst zur Erstellung eines Microsoft-Kontos gezwungen werden und dieses Konto dann gesperrt wird, verlieren sie sogar den Zugriff auf ihre eigenen Daten
      Diese Struktur ist gefährlich und ein weiterer Grund, Windows zu verlassen
    • Es muss nicht direkt mit dem LibreOffice-Fall zusammenhängen
      Microsofts automatisches Missbrauchserkennungssystem ist offenbar katastrophal, sodass Konten oft ohne Grund gesperrt werden
      Wenn möglich, sollte man für wichtige Dinge kein MS-Konto verwenden und für Signaturen lieber eine Drittanbieter-CA nutzen

  • Es bleibt weiterhin rätselhaft, warum der TrueCrypt-Entwickler das Projekt plötzlich eingestellt und BitLocker als Alternative empfohlen hat

    • Allgemein bekannt ist, dass der Entwickler wegen Waffenhandelsvorwürfen inhaftiert worden sei
      Siehe den Wikipedia-Artikel zu Paul Le Roux
    • Ich frage mich auch, warum TrueCrypt aus Archive.org ausgeschlossen wurde
      Archivlink
    • Wahrscheinlich wurde es wie bei Lavabit freiwillig eingestellt, um staatlichen Forderungen nicht nachzugeben
    • Ich fand die Sache auch verdächtig und nutze deshalb immer noch TrueCrypt

  • In der jetzigen Lage fühlt es sich so an, als sei Linux die einzige Hoffnung
    Windows und macOS sind für den Geschäftseinsatz zu riskant und ineffizient

    • In einigen US-Bundesstaaten gibt es Bestrebungen, auf OS-Ebene Altersverifikationspflichten einzuführen, was die Nutzung von Linux erschweren könnte
    • Ich hoffe, dass Valve über Spiele hinaus auch zur Erweiterung des Linux-Ökosystems beiträgt
    • Für die meisten normalen Nutzer ist es aber immer noch schwer benutzbar

  • Meine Prognose ist, dass Microsoft gerade die Reaktion der Öffentlichkeit testet
    Wenn der Widerstand groß ist, wird man das Konto mit „War ein Versehen“ wiederherstellen, und wenn die Reaktion schwach bleibt, werden nach und nach die Signaturschlüssel von Software wie VPNs, Torrents und Werbeblockern gesperrt

    • Letztlich ist das die volle Entfaltung von Microsofts „Enshittification“-Strategie
      Ihr Engagement in Open Source war nicht von reinen Absichten getrieben, sondern geschäftliches Kalkül
      Jetzt versuchen sie, Windows vollständig abzuriegeln, und GitHub und VSCode könnten denselben Weg gehen

  • Manche Funktionen von VeraCrypt sind nur unter Windows möglich
    Zum Beispiel funktionieren Verschlüsselung der gesamten Systempartition oder die Installation eines Hidden OS nur unter MBR-basiertem Windows
    Ich hatte gehofft, dass sich solche Techniken der plausiblen Abstreitbarkeit auf OS-Ebene weiterentwickeln würden, aber inzwischen sind sie fast verschwunden
    Auch in den BlackHat-Präsentationsunterlagen gab es ähnliche Ansätze

    • Wenn man Windows aufgibt, braucht man VeraCrypt aber von vornherein nicht mehr

  • Microsoft hat das Signaturzertifikat des Entwicklers deaktiviert, sodass keine Windows-Releases mehr verteilt werden können

    • Installieren lässt es sich trotzdem, es erscheint nur eine Warnmeldung
    • Als jemand, der gerade Software zur Signierung für Windows vorbereitet, finde ich solche Fälle sehr beunruhigend
      Warum sollte das Zertifikat eines bereits verifizierten Entwicklers widerrufen werden?
      Ich frage mich auch, ob es irgendeine Möglichkeit gibt, gegen solche Entscheidungen rechtlich vorzugehen