[Prince]

Zitat:

Nach über einem Jahrzehnt haben die bislang immer anonym gebliebenen Verschlüsselungsexperten das Projekt TrueCrypt eingestellt. Seit gestern wird die offizielle Webseite auf sourceforge.net umgeleitet, wo eine Warnung vor dem Tool zu lesen ist und eine Anleitung veröffentlicht wurde, wie man von TrueCrypt auf Microsofts BitLocker umsteigen kann.

TrueCrypt.org gehackt oder geschlossen?
Derzeit ist aber noch überhaupt nicht klar, was da genau geschehen ist. Denn nachdem zunächst vermutet wurde, dass [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] gehackt wurde, fanden sich bislang noch keine Beweise für einen Angriff. Bereits seit der Umleitung der Warnung gestern Abend beschäftigen sich nun sowohl einige involvierte Entwickler, die den letzten Security-Audit mit begleitet hatten, wie auch die riesige TrueCrypt-Fan- und Nutzergemeinde mit dem plötzlichen Aus.

Die veröffentlichte Warnung
Besucht man derzeit [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] geht die Weiterleitung auf truecrypt.sourceforge.net. Dort wurde eine Warnung veröffentlicht:

"WARNUNG: Die Nutzung von TrueCrypt ist nicht sicher, da nicht behobene Sicherheitslücken vorhanden sein können. Diese Seite existiert nur, um bei der Migration von mit TrueCrypt verschlüsselten Daten zu helfen. Die Entwicklung von TrueCrypt wurde 05/2014 beendet, nachdem Microsoft den Support für Windows XP eingestellt hat." (Übersetzung)

Anschließend folgt ein Verweis auf das Verschlüsselungstool BitLocker von Microsoft, mit dem Nutzer nun stattdessen Vorlieb nehmen sollten, sowie eine Kurzanleitung zur Migration.

Das Ganze macht einen so konfusen und unglaubwürdigen Eindruck, dass bereits einige Gerüchte in der Welt sind, die diesen Schritt zu erklären versuchen. Da aber die Hintermänner von TrueCrypt seit Beginn nicht in die Öffentlichkeit traten, wird es vorerst sehr wahrscheinlich keine bessere Erklärung geben, als die die jetzt veröffentlicht wurde.

Bei Twitter gab es innerhalb kurzer Zeit eine ganze Welle von Tweets, die sich mit diesem Aus des Verschlüsselungsprogramms beschäftigen. Unter anderem wurde über den Kurznachrichtendienst die Verbindung zu dem Aus von Lavabit hergestellt. Bei dem stillgelegten E-Mail-Dienstes Lavabit hatte der Macher im vergangenen Jahr durch die Einstellung seines Dienstes die Daten seiner Nutzer geschützt. Vieles deutete damals daraufhin, dass die NSA oder weitere Behörden ihn per Strafbefehl zur Kooperation zwingen wollten. Ob nun tatsächlich bei TrueCrypt etwas ähnliches in Gang gesetzt wurde ist nicht bekannt, und wird aufgrund der Sache der Natur auch nicht so einfach bekannt werden können. Denn bei solchen Behördenanfragen wird per "National Security Letter" Geheimhaltung erzwungen.

Aktuell kann man nur abwarten. Von einer Neuinstallation des Tools sollte abgeraten werden, falls es tatsächlich Sicherheitslücken gibt oder falls die US-Behörden den Zugriff auf die Schlüssel vor Gericht erzwingen wollen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Zitat:

Die Hinweise verdichten sich, dass das Verschlüsselungs-Projekt TrueCrypt tatsächlich von seinen Entwicklern eingestellt wurde. Diese hätten schlicht das Interesse an der Sache verloren, hieß es in einer E-Mail, die Steven Barnhart erhalten hat.
Dieser stand bereits zuvor mit den Programmierern in Kontakt, wobei die gleiche E-Mail-Adresse verwendet wurde. Da es bisher noch keine Anzeichen dafür gibt, dass die Kommunikations-Wege des TrueCrypt-Teams gehackt wurden und von diesen auch keine anders lautenden Äußerungen kamen, muss man inzwischen davon ausgehen, dass sie ihre Arbeit tatsächlich einstellen.

Bitlocker "gut genug"
Wie Barnhart ausführte, bestätigte seine Kontaktperson, dass man sich wirklich aus dem Projekt zurückzog, weil man angesichts des Endes des Windows XP-Supports keinen weiteren Bedarf an der Software gesehen hat. Denn dieses Betriebssystem sei das hauptsächliche Ziel gewesen - auch wenn TrueCrypt für eine ganze Reihe von Plattformen zur Verfügung stand. In neueren Windows-Versionen könne das Microsoft-eigene Bitlocker eingesetzt werden, was "gut genug" sei.

Gerüchte, dass Regierungsbehörden ähnlich wie schon bei Lavabit für den Schritt der Entwickler verantwortlich sein könnten, wurden dabei dementiert. Mit öffentlichen Stellen habe man lediglich ein Mal Kontakt gehabt, als diese nach einem Support-Vertrag fragten. Und auch das aktuelle Sicherheits-Audit habe nichts mit dem Entschluss zu tun. Dieses hätten die Entwickler vielmehr begrüßt.


Obwohl die Mitteilungen etwas mehr Klarheit bringen, bleiben doch viele Fragezeichen im Raum stehen. So ist beispielsweise unklar, warum nun ausgerechnet auf Bitlocker verwiesen wird. TrueCrypt galt bisher als vorbildliches Krypto-Tool, da es auch offenen Standards beruhte und auch der Quellcode vorlag. Dies ist bei dem proprietären Microsoft-Tool nicht der Fall. Zudem bietet letzteres einen deutlich geringeren Funktions-Umfang.

So wird sich in der kommenden Zeit zeigen müssen, was als Alternative zu TrueCrypt eingesetzt werden kann - insbesondere auch auf Plattformen abseits von Windows. Die Hoffnung vieler Nutzer, dass TrueCrypt von seinen Entwicklern unter eine freie Lizenz stellen und sich andere der Weiterentwicklung annehmen, scheint sich derzeit zumindest nicht zu erfüllen. Barnharts Kontakt sieht darin eine Gefahr, da sich niemand sonst ausreichend gut mit dem Quellcode auskennt. Tatsächlich ist es nicht gerade einfach, sich neu in einen derart komplexen Code einzuarbeiten.

Für den Übergang können Anwender erst einmal weiter auf die Version 7.1a setzen, dessen Audit bisher positive Ergebnisse brachte. Da es aber keinen Support mehr gibt, ist ein Wechsel mittelfristig unbedingt nötig. Da es im Open Source-Bereich eine ganze Reihe von anderen Verschlüsselungs-Tools gibt, wird wohl eines von diesen letztlich die Stelle von TrueCrypt einnehmen. Welches es sein wird, zeigt sich voraussichtlich in den kommenden Monaten.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]