Der Abschied von TrueCrypt

Entwickler geben das Projekt auf

Trends & News | News

Die Nachricht vom Ende des beliebtesten Krypto-Projekts schlug ein wie eine Bombe: Auf der zentralen Webseite von TrueCrypt prangte plötzlich die Nachricht: „WARNUNG: Die Benutzung von TrueCrypt ist nicht sicher, weil es nicht behobene Sicherheitslücken enthalten könnte.“

Die Entwickler haben das offizielle Ende der quelloffenen Verschlüsselungssoftware TrueCrypt verkündet. Der Rest der Webseite beschäftigte sich nur noch damit, wie man von TrueCrypt weg kommt; Windows-Anwendern empfehlen sie dazu den Umstieg auf Microsofts Bitlocker. Parallel dazu gab es eine neue Version 7.2, die keine Verschlüsselungsfunktionen mehr enthält sondern lediglich existierende TrueCrypt-Container entschlüsseln kann, um eine Migration der Daten zu ermöglichen.

Zunächst vermuteten viele einen Hack der Seiten beziehungsweise Entwickler-Accounts, was sich jedoch nicht bestätigte. Es fanden sich keine weiteren Auffälligkeiten und eine Analyse der neuen TrueCrypt-Programme zeigte, dass diese mit dem gleichen Schlüssel digital unterschrieben wurden wie die Vorgängerversion. Auch nach Tagen gab es keinen Widerruf; die Nachricht ist also offenbar echt.

Nach wie vor offen bleibt die Frage, was die TrueCrypt-Entwickler zu diesem merkwürdigen Schritt getrieben hat. Die naheliegende Idee, einfach nachzufragen, lief ins Leere. Die beliebte Verschlüsselungssoftware wird von einem anonymen Team entwickelt und der Allgemeinheit als Open-Source-Software kostenlos zur Verfügung gestellt. Kommunikation gehörte noch nie zu ihren Stärken; Fragen blieben zumeist unbeantwortet – so auch dieses Mal.

Frust oder Druck

In der folgenden Diskussion kristallisierten sich zwei Theorien heraus. Die einen vermuten, dass die Entwickler schlicht keine Lust mehr hatten und die Brocken hingeworfen haben. Das wäre durchaus nachvollziehbar. Immerhin haben sie ihr Projekt über zehn Jahre gepflegt, ohne irgendeine Form von Gegenleistung. Und was vor zehn Jahren als cooles Projekt begann, mutierte im Lauf der Zeit zu einer nicht kürzer werdenden To-do-Liste, deren Abarbeitung für einen Krypto-Nerd eher Strafarbeit denn Freizeitvergnügen bedeutet.

Eine zweite Fraktion spekuliert über eine NSA-Intervention mit einem Knebel, der die Entwickler daran hinderte, diesen Vorgang direkt zu veröffentlichen. Statt die geforderte Hintertür einzubauen, hätten diese – wie ehemals Ladar Levinson mit Lavabit – ihr Projekt geopfert und versteckte Hinweise auf die NSA platziert. Als solche interpretieren die Anhänger der Verschwörungstheorie schon die ihrer Ansicht nach absurde Aufforderung, Bitlocker zu verwenden. Immerhin sei bekannt, dass Microsoft mit der NSA zusammenarbeite.

Außerdem sei in der Anleitung zur Erstellung eines verschlüsselten Images unter Mac OS X im Screenshot des Festplattendienstprogramms als Verschlüsselung deutlich sichtbar „Ohne“ ausgewählt – was jedoch der Voreinstellung entspricht. Das Ganze kulminiert in der Feststellung, dass der einleitende Satz „Using TrueCrypt is not secure as it may contain unfixed security issues“ die Buchstaben NSA enthält (Hervorhebung durch den Autor).

Egal welcher Fraktion man eher Glauben schenkt – bei einem sind sich alle einig: Von der neuen TrueCrypt-Version sollte man lieber die Finger lassen. Eine Hintertür konnte man zwar nicht entdecken, aber die fehlenden Verschlüsselungsfunktionen sind eine starke Einschränkung. Die Entwickler haben zwar alle älteren Versionen der Software von ihrem Server gelöscht; doch über das Heise-Software-Archiv kann man nach wie vor die voll funktionsfähige Version 7.1a beziehen (siehe c’t-Link).

Die Warnung vor möglichen Sicherheitsproblemen mit TrueCrypt wird allgemein als nicht sonderlich bedrohlich empfunden. Immerhin förderte das erst kürzlich erfolgte Security-Audit des Quellcodes keine nennenswerten Probleme zu Tage. Ohne konkrete Hinweise auf akute Sicherheitslücken herrscht die Interpretation vor, die Warnung beziehe sich eher allgemein auf die Benutzung einer Software, für die es zukünftig keine Sicherheits-Updates mehr geben wird.

Die Zukunft

Wer TrueCrypt einsetzt, sollte also bis auf weiteres die Finger von der neuen Version lassen. Der von den TrueCrypt-Entwicklern vorgeschlagene Umstieg auf Bitlocker dürfte schon daran scheitern, dass Microsoft diese Laufwerksverschlüsselung erst der Pro- und Enterprise-Version von Windows spendiert; die meisten Endanwender haben sie also nicht. Dass der Quellcode nicht offen ist und Microsoft bekanntermaßen mit der NSA zusammengearbeitet hat, kommt noch hinzu. Und schließlich ist Bitlocker – wie auch die Verschlüsselungslösungen von Linux und Macs – an die eigene Plattform gebunden und hilft nicht, wenn man etwa einen USB-Stick an einem Mac und einem Windows-Rechner einsetzen will. Eine vergleichbare offene und plattformunabhängige Verschlüsselungslösung, womöglich auch noch kostenlos, gibt es derzeit nicht.

Aber bis auf weiteres spricht auch nichts dagegen, TrueCrypt 7.1a weiter zu benutzen. Die Organisatoren des ersten TrueCrypt-Audits haben bereits erklärt, dass sie die zweite Stufe der Untersuchungen wie geplant durchführen wollen. Auch für mögliche Nachfolgeprojekte gibt es bereits Interessenten. Wer jedoch dabei den TrueCrypt-Quellcode benutzen möchte, wird zunächst über die vertrackte Lizenz stolpern, die sehr viele Nutzungsszenarien ausschließt. So konnte etwa c’t keine TrueCrypt-Unterstützung in Desinfec’t einbauen, weil das die Offenlegung der Quelltexte der ebenfalls integrierten Virenscanner erfordert hätte – was schlicht unmöglich gewesen wäre. (ju)

Artikel kostenlos herunterladen

weiterführende Links

Kommentare

Anzeige