Wer aktuell das freie und äußerst beliebte Verschlüsselungstool TrueCrypt bei den Entwicklern unter www.truecrypt.org herunterladen möchte wird dort leider enttäuscht. Die Seite wird weitergeleitet auf truecrypt.sourceforge.net. Dort gibt es lediglich den Hinweis, dass TrueCrypt unsicher wäre und eine Anleitung, wie man seine Daten zur Verschlüsselungslösung Bitlocker von Microsoft migrieren kann. Und eben eine neue Version 7.2 von TrueCrypt, die aber nur lesenden Zugriff erlaubt.
Reichlich nebulös das Ganze. Vor allem weil aktuell ja ein unabhängiges Audit die Version 7.1a untersucht und bisher bis auf einige kleinere Problem grundsätzlich keine Sicherheitslücke aufdecken konnte. Auch der Hinweis zur Nutzung von Bitlocker wirft Rätsel auf. Zum einen steht Bitlocker eben nur auf Windows Systemen zur Verfügung, und selbst dort eben nicht in allen Editionen. Zum anderen mag Bitlocker zwar als sicher gelten, aber ob es dort nicht eine Backdoor gibt, ist in Zeiten von NSA und Co. fraglicher denn je.
Die Entwickler von TrueCrypt sind öffentlich nach wie vor unbekannt, jedoch hat sich ein Mitglied mit dem Namen “David” angeblich zu den Spekulationen geäußert, die NSA oder andere Regierungsstellen hätten die Entwickler enttarnt und würden Druck ausüben. Dieses Gerücht könnte er nicht bestätigen, es würde keinen Kontakt zu Regierungsstellen geben. Auch hätte man keinen “National Security Letter” erhalten, wie es einst bei Lavabit der Fall war. Diese hatten einen Dienst für verschlüsselte Emails angeboten und wurden zur Aufgabe gezwungen. Vielmehr wäre es so, dass man TrueCrypt ursprünglich für Windows XP entwickelt hätte und der Support dafür nun eben von Microsoft beendet wurde. Außerdem sei durch die Integration von Bitlocker in den folgenden Windows-Versionen TrueCrypt obsolet und man hätte deshalb kein Interesse mehr an einer Weiterentwicklung.
Ob die Äußerungen so nun authentisch sind und ob dieser “David” vom Entwicklerteam wirklich legitimiert ist, dieses Äußerungen zu tätigen… alles sehr vage. Fakt ist, dass die Version 7.1 nun schon seit fast zwei Jahren keine wirklich nennenswerten Änderungen mehr erfahren hat. Die Aussage, das Team hätte das Interesse an einer Weiterentwicklung verloren, könnte also stimmen. Es könnte trotz dem Audit natürlich so sein, dass es wirklich eine gravierende Sicherheitslücke gibt, die nur den Entwicklern bekannt ist und diese in der Version 7.2 absichtlich nicht beseitigt wurde, um eine breite Ausnutzung in älteren Versionen zu verhindern.
Aber solange es keine wirklich offiziellen Statements gibt, bleibt das alles natürlich Spekulation und auch eine Einflussnahme der NSA oder andere Verschwörungstheorien wären möglich. Unabhängig von diesen Spekulationen sieht man aber eben auch die Gefahren von Open Source oder anderen Projekten, hinter denen ein einzelner Programmierer oder eine relativ kleine Gruppe steht. Wenn die Lust schwindet, kann es von heute auf morgen vorbei sein.
Wie geht es nun weiter, wie sollte man sich als Anwender verhalten?
Das Audit der Version 7.1a soll auf alle Fälle abgeschlossen und ein Abschluss Bericht erstellt werden. Als Anwender könnte man also auf das Audit vertrauen und weiter die Version 7.1a verwenden, die unter anderem auf www.truecrypt.ch angeboten wird. Dort soll es eventuell auch eine Weiterentwicklung in Form eines Forks geben. Wobei dies mit den aktuellen Lizenzbedingungen wohl gar nicht so einfach möglich ist und aufgrund des sehr umfangreichen Codes auch gar nicht so einfach wäre.
Oder man wechselt zu einer Alternative. Bitlocker steht allen Windows 8 Nutzern zur Verfügung, bei Windows 7 erst ab der Enterprise/Ultimate Version. Aber da der Quellcode eben nicht offen liegt, kann hier eine Backdoor nicht gänzlich ausgeschlossen werden. DiskCryptor wäre auch eine Alternative. Wie bei TrueCrypt ist auch hier das Entwicklerteam aber relativ unbekannt, soll wohl ein Russe sein. Allerdings steht DiskCryptor eben nur für Windows zur Verfügung und bietet anders als TrueCrypt keine Container Verschlüsselung. Auch das Konzept der glaubhaften Abstreitbarkeit steht anders als bei TrueCrypt in DiskCyrptor nicht zur Verfügung.
Schreibe einen Kommentar