[Prince]

Zitat:

Nach über einem Jahrzehnt haben die bislang immer anonym gebliebenen Verschlüsselungsexperten das Projekt TrueCrypt eingestellt. Seit gestern wird die offizielle Webseite auf sourceforge.net umgeleitet, wo eine Warnung vor dem Tool zu lesen ist und eine Anleitung veröffentlicht wurde, wie man von TrueCrypt auf Microsofts BitLocker umsteigen kann.

TrueCrypt.org gehackt oder geschlossen?
Derzeit ist aber noch überhaupt nicht klar, was da genau geschehen ist. Denn nachdem zunächst vermutet wurde, dass [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] gehackt wurde, fanden sich bislang noch keine Beweise für einen Angriff. Bereits seit der Umleitung der Warnung gestern Abend beschäftigen sich nun sowohl einige involvierte Entwickler, die den letzten Security-Audit mit begleitet hatten, wie auch die riesige TrueCrypt-Fan- und Nutzergemeinde mit dem plötzlichen Aus.

Die veröffentlichte Warnung
Besucht man derzeit [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] geht die Weiterleitung auf truecrypt.sourceforge.net. Dort wurde eine Warnung veröffentlicht:

"WARNUNG: Die Nutzung von TrueCrypt ist nicht sicher, da nicht behobene Sicherheitslücken vorhanden sein können. Diese Seite existiert nur, um bei der Migration von mit TrueCrypt verschlüsselten Daten zu helfen. Die Entwicklung von TrueCrypt wurde 05/2014 beendet, nachdem Microsoft den Support für Windows XP eingestellt hat." (Übersetzung)

Anschließend folgt ein Verweis auf das Verschlüsselungstool BitLocker von Microsoft, mit dem Nutzer nun stattdessen Vorlieb nehmen sollten, sowie eine Kurzanleitung zur Migration.

Das Ganze macht einen so konfusen und unglaubwürdigen Eindruck, dass bereits einige Gerüchte in der Welt sind, die diesen Schritt zu erklären versuchen. Da aber die Hintermänner von TrueCrypt seit Beginn nicht in die Öffentlichkeit traten, wird es vorerst sehr wahrscheinlich keine bessere Erklärung geben, als die die jetzt veröffentlicht wurde.

Bei Twitter gab es innerhalb kurzer Zeit eine ganze Welle von Tweets, die sich mit diesem Aus des Verschlüsselungsprogramms beschäftigen. Unter anderem wurde über den Kurznachrichtendienst die Verbindung zu dem Aus von Lavabit hergestellt. Bei dem stillgelegten E-Mail-Dienstes Lavabit hatte der Macher im vergangenen Jahr durch die Einstellung seines Dienstes die Daten seiner Nutzer geschützt. Vieles deutete damals daraufhin, dass die NSA oder weitere Behörden ihn per Strafbefehl zur Kooperation zwingen wollten. Ob nun tatsächlich bei TrueCrypt etwas ähnliches in Gang gesetzt wurde ist nicht bekannt, und wird aufgrund der Sache der Natur auch nicht so einfach bekannt werden können. Denn bei solchen Behördenanfragen wird per "National Security Letter" Geheimhaltung erzwungen.

Aktuell kann man nur abwarten. Von einer Neuinstallation des Tools sollte abgeraten werden, falls es tatsächlich Sicherheitslücken gibt oder falls die US-Behörden den Zugriff auf die Schlüssel vor Gericht erzwingen wollen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Zitat:

Die Hinweise verdichten sich, dass das Verschlüsselungs-Projekt TrueCrypt tatsächlich von seinen Entwicklern eingestellt wurde. Diese hätten schlicht das Interesse an der Sache verloren, hieß es in einer E-Mail, die Steven Barnhart erhalten hat.
Dieser stand bereits zuvor mit den Programmierern in Kontakt, wobei die gleiche E-Mail-Adresse verwendet wurde. Da es bisher noch keine Anzeichen dafür gibt, dass die Kommunikations-Wege des TrueCrypt-Teams gehackt wurden und von diesen auch keine anders lautenden Äußerungen kamen, muss man inzwischen davon ausgehen, dass sie ihre Arbeit tatsächlich einstellen.

Bitlocker "gut genug"
Wie Barnhart ausführte, bestätigte seine Kontaktperson, dass man sich wirklich aus dem Projekt zurückzog, weil man angesichts des Endes des Windows XP-Supports keinen weiteren Bedarf an der Software gesehen hat. Denn dieses Betriebssystem sei das hauptsächliche Ziel gewesen - auch wenn TrueCrypt für eine ganze Reihe von Plattformen zur Verfügung stand. In neueren Windows-Versionen könne das Microsoft-eigene Bitlocker eingesetzt werden, was "gut genug" sei.

Gerüchte, dass Regierungsbehörden ähnlich wie schon bei Lavabit für den Schritt der Entwickler verantwortlich sein könnten, wurden dabei dementiert. Mit öffentlichen Stellen habe man lediglich ein Mal Kontakt gehabt, als diese nach einem Support-Vertrag fragten. Und auch das aktuelle Sicherheits-Audit habe nichts mit dem Entschluss zu tun. Dieses hätten die Entwickler vielmehr begrüßt.


Obwohl die Mitteilungen etwas mehr Klarheit bringen, bleiben doch viele Fragezeichen im Raum stehen. So ist beispielsweise unklar, warum nun ausgerechnet auf Bitlocker verwiesen wird. TrueCrypt galt bisher als vorbildliches Krypto-Tool, da es auch offenen Standards beruhte und auch der Quellcode vorlag. Dies ist bei dem proprietären Microsoft-Tool nicht der Fall. Zudem bietet letzteres einen deutlich geringeren Funktions-Umfang.

So wird sich in der kommenden Zeit zeigen müssen, was als Alternative zu TrueCrypt eingesetzt werden kann - insbesondere auch auf Plattformen abseits von Windows. Die Hoffnung vieler Nutzer, dass TrueCrypt von seinen Entwicklern unter eine freie Lizenz stellen und sich andere der Weiterentwicklung annehmen, scheint sich derzeit zumindest nicht zu erfüllen. Barnharts Kontakt sieht darin eine Gefahr, da sich niemand sonst ausreichend gut mit dem Quellcode auskennt. Tatsächlich ist es nicht gerade einfach, sich neu in einen derart komplexen Code einzuarbeiten.

Für den Übergang können Anwender erst einmal weiter auf die Version 7.1a setzen, dessen Audit bisher positive Ergebnisse brachte. Da es aber keinen Support mehr gibt, ist ein Wechsel mittelfristig unbedingt nötig. Da es im Open Source-Bereich eine ganze Reihe von anderen Verschlüsselungs-Tools gibt, wird wohl eines von diesen letztlich die Stelle von TrueCrypt einnehmen. Welches es sein wird, zeigt sich voraussichtlich in den kommenden Monaten.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[vialukai]

Wenn es denn so wäre, dass hier die Entwickler das Tool eingestampft haben, dann wird es um ein weiteres schwieriger sich vor der NSA und fremden Augen zu schützen. Und ob man BitLocker von MS wirklich trauen kann ist doch sehr fragwürdig.
Traurig traurig...

[digi]

War eh komisch die Software, sagen es ist freie Software, dabei waren es Teile davon garnicht, die Entwicklung war eh fast im Stillstand.
Nunja, da der Quellcode verfügbar war, finden sich bestimmt Entwickler die das Ding wieder ans laufen bringen, vor allem mal mit nötigen Verbesserungen.

Wäre doch mal ein schönes Project für Kickstarter..

[spartan-b292]

Das Problem daran ist aber, dass der Quellcode zwar einsehbar war/ist die Lizenz es aber verbietet Veränderungen daran vorzunhemen und zu veröffentlichen.

[digi]

Update 30.05.2014 10:27 Uhr

Zitat:

Mittlerweile hatte laut diesem Tweet Sicherheitsexperte Green über einen Mittelsmann E-Mail-Kontakt mit einem der Entwickler, der David genannt wird. Aus dem dort übermittelten Austausch geht hervor, dass die Entwickler kein Interesse mehr an einer Weiterentwicklung haben, angeblich sei BitLocker gut genug. Greens Frage nach der Möglichkeit einer Lizenzänderung, sodass andere das Projekt weiterführen können, wurde als unwahrscheinlich angesehen. Zudem hält David einen Fork von TrueCrypt für gefährlich, da sich nur das Entwicklerteam wirklich gut im Code der Software auskennen würde. Nach seiner Meinung solle der Code lediglich als Referenz erhalten bleiben. Warum das Projekt auf so merkwürdige Art und Weise beendet wurde, wird nicht erläutert.

Aus einem Tweet des OpenCryptoAudit-Projekts, das mit Green zusammen die Audits koordiniert, geht hervor, dass der noch ausstehende zweite Audit stattfinden wird und das Projekt erwägt, danach einen Fork des Programms vorzunehmen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Na mal schauen was das bringt, die Aussagen der Entwickler sind aber mehr als komisch, vllt. meldet sich Snowden dazu mal zu Wort

[onyx80]

Hier mal ein Video von Sempervideo zu dem Thema.

Kann sich ja jeder nach dem anschauen mal versuchen einen Reim drauf zu machen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[cortez442]

Die wahrscheinlichste Version: Der Entwickler hat einen National Security Letter erhalten. Der kommt von der NSA und man muss das Projekt einstellen oder eine Backdoor einbauen. Er hat sich fürs erstere entschieden. Falls er sich geweigert hätte oder die Backdoor kommt ans Licht, sitzt er ganz schnell in einem Flieger nach Guantanamo.

Ob es nun Zufall ist oder er diesen Satz bewusst gewählt hat, interessant ist es alle mal:
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

Das zweite Audit wird TrueCrypt meiner Meinung nach das Siegel "NSA Proof" bescheren

[spartan-b292]

Laut [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] hatten sie wohl einfach keine Lust mehr.

[glasblok]

Zitat:

Zitat von spartan-b292

Laut [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] hatten sie wohl einfach keine Lust mehr.

Keine Lust mehr aber sich die Arbeit machen eine Anleitung zu schreiben wie man von Truecrypt auf Bitlocker umstellt? Sehr merkwürdig

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[MW75]

Erklären wir es mal an einem anderen Beispiel: Was würde denn ein Autohersteller machen, dem unabhängige Experten bescheinigen,daß seine Fahrzeuge absolut unfallsicher sind...würde der diese Infos für seine Werbezwecke nutzen oder würde er sofort seine Produktion einstellen ? Die Antwort dürfte jedem klar sein. Insofern leuchtet es nicht ein,wieso die Entwickler ausgerechnet jetzt das Projekt Truecrypt einstellen und auch offensichtlich kein Interesse an einer Weiterentwicklung durch andere Personen haben. UND wieso sie auch noch zu einem Konkurrenzprodukt raten, bei dem Hintertürchen nicht nur nicht auszuschließen,sondern eher sogar wahrscheinlich sind. Das Verhalten der TC-Entwickler widerspricht also jeglicher Logik,sondern zeugt her davon,daß diese Herrschaften Druck von anderer Seite bekommen haben. Denn am Beispiel Lavabit hat man ja gesehen,welche Wahl man bekommt,wenn Geheimdienste an die Daten wollen: a) Bau uns eine Hintertür ein oder b) mach den Laden dicht.