Menü
Avatar von Mattias Schlenker
  • Mattias Schlenker, Mattias Schlenker

mehr als 1000 Beiträge seit 13.05.2006

Warum TrueCrypt nicht in Desinfec't enthalten ist...

Ich möchte kurz auf die Hintergründe eingehen, warum TC nicht in
Desinfec't 2013 und 2014 enthalten ist, aber Achtung: alles meine
private Meinung als externer Entwickler!

Die Lizenz von TrueCrypt ist hinsichtlich "Bündelung mit anderer
Software" und "kommerziellem Vertrieb" relativ schwammig ausgelegt,
aber immerhin wohlwollend formuliert, was die Integration in
Distributionen angeht, die kommerziell vertrieben werden. Im Vorfeld
der Desinfect 2013 haben ju und ich mehrfach versucht, per Email
Verantwortliche im Truecrypt-Projekt ausfindig zu machen und die
Bestätigung einzuholen, dass die Integration von TrueCrypt in
Desinfect mit den Lizenzbedingungen von TrueCrypt übereinstimmt.
Keine Antwort.

Wir waren beide kritisch gegenüber diesem Versteckspiel: Bei
sicherheitsrelevanter Software möchte man echte Menschen als
Ansprechpartner haben, die man auch mal zu Implementierungsdetails
und Designfragen konsultieren kann. Nichts dergleichen. Wir hätten im
Umkehrschluss die schwammigen Lizenzbedingungen zu unseren Gunsten
auslegen können - ein Vertreter des TC-Projektes hätte in diesem Fall
bei juristischem Gemotze erst nachweisen müssen, dass er
vertretungsberechtigt ist. Das alles hat den Ausschlag dazu gegeben,
TrueCrypt als separates DEB zum selbst nachrüsten anzubieten: Das DEB
ist aus unveränderten Quellen gebaut und damit konform zur TC-Lizenz
und letztlich ist der Nutzer selbst dafür verantwortlich, wenn er
diese Software nachinstalliert.

In der aktuellen Situation kann auch ich nur mit den Achseln zucken
und kann selbst nur spekulieren - zu dürftig ist die Faktenlage. Es
kann alles mögliche sein: Streitereien innerhalb des Projektes: TC
7.1 ist soweit ich mich erinnere schon zwei Jahre alt - zumindest
nach Bekanntwerden der potentiellen Flaws der Phase I des Audits
hätte ich mit schnellen Fixes gerechnet. Da wäre es denkbar, dass ein
einstiger Mitprogrammierer das Projekt im Alleingang für tot erklärt.
Ein Gag-Order oder eine tatsächlich entdeckte gravierende
Sicherheitslücke (die absichtlich in 7.2 nicht geschlossen wurde,
weil sie sonst sofort ausgenutzt würde) sind auch möglich:
TrueCrypt-Nutzer hätten so Zeit, auf andere Verschlüsselungstools
umzusteigen, bevor sie zum Ziel werden.

Das sind aber alles nur Möglichkeiten, reine Spekulation. Ich hoffe,
die nächsten Tage bringen etwas Aufklärung.  


Bewerten
- +
Anzeige