Menü
Security

Warnung auf offizieller Seite: "Truecrypt ist nicht sicher"

Die Betreiber des Verschlüsselungsprogramms Truecrypt warnen offenbar urplötzlich vor ihrer eigenen Software. Auf der Projektseite wird derzeit erklärt, wie man zu Bitlocker wechseln kann. Was dahinter steckt, ist noch unklar.

Von
vorlesen Drucken Kommentare lesen 1447 Beiträge

Es gibt nur eine Warnung.

Auf der Internetseite des weitverbreiteten Verschlüsselungsprogramms Truecrypt ist plötzlich eine deutliche Warnung aufgetaucht. Gegenwärtig heißt es dort: "WARNUNG: Die Nutzung von Truecrypt ist unsicher, da nicht behobene Sicherheitslücken vorhanden sein können". Danach folgt eine ausführliche Erklärung, wie Nutzer von Truecrypt zu Bitlocker – ein Festplattenverschlüsselungsprogramm von Microsoft – wechseln können. Weitere Erklärungen beziehungsweise Hintergründe gibt es nicht, lediglich am Textende die erneute Warnung, dass Truecrypt unsicher sei.

Das neue Truecrypt-Binary trägt eine gültige digitale Unterschrift.

Derzeit ist noch vollkommen unklar, was es mit diesem Hinweis auf sich hat. Vorstellbar ist, dass die Seite defaced wurde. Dagegen spricht jedoch, dass die jüngste Version mit einem gültigen Schlüssel der "TrueCrypt Foundation" signiert wurde. Matthew Green, einer der Experten, die den jüngsten Audit von Truecrypt initiiert hatten, hat sich inzwischen auf Twitter zu Wort gemeldet und erklärt, er habe keine Ahnung, um welche Sicherheitslücken es sich handeln soll. Der erste Teil der Quellcode-Prüfung von Truecrypt hatte keine nennenswerten Probleme aufgedeckt; der zweite hat noch nicht begonnen.

Eine andere Erklärung für die kryptische Warnung könnte ein Vorgehen von US-Behörden sein, das dem ähnelt, mit dem der E-Mail-Anbieter Lavabit zur Schließung gezwungen worden war. Dort hatten die Behörden die Herausgabe privater Schlüssel verlangt und das schließlich vor Gericht durchgesetzt. Daraufhin hatte der Dienst seine Pforten geschlossen. Bei derartigen Maßnahmen werden die Diensteanbieter mit sogenannten National Security Lettern dazu verpflichtet, Stillschweigen zu bewahren.

Die aktuell zum Download angebotene Version bietet anscheinend nur einen eingeschränkten Funktionsumfang; unter anderem wurde wohl die Möglichkeit entfernt, neue Truecrypt-Container anzulegen. Es empfiehlt sich, diese zunächst mal nicht zu installieren und abzuwarten, bis sich die Situation etwas geklärt hat. (mho)