Login
Newsletter
Werbung

Fr, 30. Mai 2014, 10:43

Software::Security

Truecrypt: Projekt nach zehn Jahren vermutlich eingestellt

Vor zwei Tagen erschien auf einer der Webseiten des TrueCrypt-Projekts eine Meldung über die Einstellung des Projekts und gleichzeitig eine Warnung vor der Software, die offene Sicherheitslücken enthalten könnte. Als Alternative wird das Microsoft-Verschlüsselungsprogramm BitLocker empfohlen. Seitdem rätseln Sicherheitsforscher und die Gemeinschaft, ob das Projekt eingestellt, gehackt oder von Dritten mundtot gemacht wurde.

Truecrypt 7.0 unter Linux

Mirko Lindner

Truecrypt 7.0 unter Linux

In der Meldung auf der SourceForge-Seite des Projekts heißt es, die Entwicklung von TrueCrypt sei im Mai 2014 eingestellt worden, nachdem Microsoft die Unterstützung für Windows XP endgültig beendet habe. Die Nachfolger Vista sowie Windows 7 und 8 seien von Hause aus mit einem Verschlüsselungsprogramm ausgestattet. Darauf folgt eine bebilderte Anleitung zum Umstieg auf das nicht unumstrittene Microsoft BitLocker.

Es war aber nicht allein der Inhalt, sondern vielmehr der befremdliche Stil, in dem die Einstellung des Projekts abgefasst war, der seither Erklärungsversuche und Verschwörungstheorien in sozialen Medien wie auf Twitter und anderswo ins Kraut schießen lässt. Seitdem rätseln Sicherheitsforscher und die Gemeinschaft, ob das Projekt eingestellt, gehackt oder von der NSA im Stil von Lavabit mundtot gemacht wurde.

Für letztere Theorie spricht nach Ansicht vieler um Erklärung bemühter Mitglieder der Sicherheits-Gemeinschaft der kryptische Stil der Meldung. Ein Open-Source-Projekt empfiehlt als Nachfolger ein proprietäres Programm von Microsoft? Das klingt für viele nach: »Die NSA hat uns den Mund verboten. Deshalb ist diese Meldung so absurd, dass jeder es merkt.«

Als einer der ersten, der mit dem Thema eng verbunden ist, meldete sich Matthew Green, Assistenzprofessor für Kryptologie am »Johns Hopkins University Information Security Institute« zu Wort. Er war maßgeblich an der Realisierung eines Audits beteiligt, der klären sollte, ob an den Vorwürfen einer Hintertür im Code von TrueCrypt etwas dran sei. Eine Crowdfunding-Kampagne und eine Spendensammlung im letzten Jahr hatten rund 70.000 US-Dollar für dieses Vorhaben gesammelt.

Das Projekt OpenCryptoAudit vergab den Auftrag für einen ersten Audit an das Sicherheitsunternehmen iSec, die im April ihren Abschlussbericht über einen Audit des Bootloaders von TrueCrypt (PDF) ablieferten. Außer Nachlässigkeiten im Stil des Codes und einigen kleineren Sicherheitsproblemen wurden keine Probleme entdeckt, vor allem keine Hinweise auf eine Hintertür. Ein zweiter Audit steht noch aus.

Green stellte ziemlich schnell klar, dass es sich wohl nicht um einen Hack handelt, sondern die Meldung als auch die neue Version TrueCrypt 7.2, die nur noch ent- aber nicht mehr verschlüsseln kann, von den Entwicklern selbst zu stammen scheint. Die Tatsache, dass die Entwickler es über zehn Jahre geschafft haben, weitgehend anonym zu bleiben, trägt jedoch in der derzeitigen Situation nicht zur Vertrauensbildung bei.

Wie aus einem Tweet hervorgeht, will Open Crypto Audit den zweiten noch ausstehenden Audit der Version 7.1a durchführen lassen - Green verwaltet hierfür noch 30.000 US-Dollar - und denkt darüber nach, TrueCrypt anschließend zu forken. Hierzu müsste man aber mit den Entwicklern von TrueCrypt eine Einigung über eine Lizenzänderung erzielen, denn derzeit erlaubt die Lizenz zwar die Weitergabe der Software als Ganzes, auch Teile davon dürfen verwendet werden, ein Fork darf aber keinen ähnlich klingenden Namen tragen. TrueCrypt 7.2 enthält zudem eine leicht abgeänderte Lizenz, in der alle Hinweise auf Marken der TrueCrypt Foundation sowie sämtliche Hinweise auf Kontaktmöglichkeiten entfernt wurden.

Sicherheitsforscher Green hatte mittlerweile über eine dritte Person indirekten Kontakt per E-Mail mit einem der Entwickler. Daraus geht hervor, dass zumindest bei diesem Entwickler kein Interesse mehr an einer Weiterentwicklung besteht. Angeblich sei BitLocker gut genug. Einen Fork hält er für gefährlich, da nur die Entwickler selbst im über zehn Jahre gewachsenen Code wirklich zu Hause seien. Eine Änderung der Lizenz hält er für unwahrscheinlich, der Code soll jedoch als Referenz erhalten bleiben.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung