TrueCrypt: Entwickler sollen keine Lust mehr haben
von caschy | 25 Kommentare
Neues vom Verschlüsselungstool TrueCrypt, welches seit vielen Jahren relativ einfache zu handhabende Verschlüsselung auch für Nicht-Profis möglich macht. Ohne Ansage wurde das Projekt eingestellt, eine neue Webseite warf mehr Fragen auf, als dass sie beantwortete. Recht komisch wurde mitgeteilt, dass TrueCrypt unsicher sei und dass Windows-Nutzer zu BitLocker greifen sollen – logo, das Ganze riecht komisch, sodass der Verdacht im Raum stand, dass die US-Behörden gegen TrueCrypt vorgegangen sind, oder dass etwas im Code faul ist, der eh gerade untersucht wird.
Neue Informationen hält nun Steven Barnhart bereit, die auf der Seite der Gibson Research Corporation veröffentlicht wurden. Steven Barnhart erwähnt, dass er in der Vergangenheit schon mit einem TrueCrypt-Entwickler einen Mail-Austausch hatte. Dieser Entwickler nennt sich „David“. Steven Barnhart schrieb also an diese Adresse und erhielt einige Informationen des mutmaßlichen TrueCrypt-Mitentwicklers.
Hier kristallisiert sich heraus, dass die Einstellung des Projektes nicht die Angst vor Entdecken irgendwelcher Schwachstellen durch den stattfindenden Security-Audit ist, auch sollen Regierungen nicht ihre Hände im Spiel haben. „We were happy with the audit, it didn’t spark anything. We worked hard on this for 10 years, nothing lasts forever“. Auch zur BitLocker-Empfehlung hat man eine Aussage parat: BitLocker sei gut genug für Windows – und Windows war damals das primäre Ziel des TrueCrypt-Projekts.
Mit einem „There is no longer interest“ wird dann die Konversation geschlossen. Ich für meinen Teil denke, dass mit diesen Aussagen noch nicht das letzte Kapitel im TrueCrypt-Buch geschrieben ist, da man auch den „Entwickler David“ nicht zu 100 Prozent verifizieren kann. (danke Patrik!)
Wird geladen ...
Natürlich – und weil wir kein Interesse mehr an der Weiterentwicklung haben, lassen wir das Projekt nicht einfach einschlafen, sondern veröffentlichen eine neue Version, die keine Verschlüsselungsfunktion mehr beinhaltet, und streuen das Gerücht, dass TC unsicher ist.
…..ääh?
Wenn es ein normales Ende gewesen wäre, hätte der Entwickler nicht so einen „Rage Quit“ gemacht.
Die Begründung keine Lust / kein Interesse mehr ist auch nicht sonderlich glaubwürdig, da in letzter Zeit das öffentliche Interesse an sicherer Verschlüsselung doch stark gestiegen ist.
Wer weiss wer dafür gesorgt hat dass denen die Lust ausgeht…. ??? ?
Etwas seltsam finde ich es auch… Bei „keine Lust mehr“ hätte ich eine Mitteilung erwartet wie „wir machen nix mehr, aber hier sind die Sourcen… macht was ihr wollt“
Entspannt sehe ich es aber weiterhin, da das Sec-Audit in Phase 2 von weiterhin laufen soll und auf der schweizer seite truecrypt.ch wohl die Wiederbelebungsparty geplant wird.
Gerade wenn man so etwas als reines Hobby-Projekt betreibt, können die Anforderungen, die bei so einem Audit aufkommen, schon sehr lästig sein. In 10 Jahren sammeln sich da so einiges an unterschiedlichen Code-Stilen, Variablennamen, etc. an. Sowas aufzuräumen, ist kein Job, den man gerne als unbezahlter Hobbyentwickler macht. Selbst Firmen drücken sich üblicherweise so lange davor, bis man ein neues Projekt startet, in dem schnell dieselben Probleme wieder auftauchen…
Nun ist Truecrypt aber kein kleines, unbekanntes Projekt, bei dem ein (in Zahlen: 1!) Entwickler angesichts der Anforderungen so einfach das Handtuch wirft und sich kein anderer das Chaos antun möchte. Mit einer liberaleren Lizenz wäre es durchaus möglich, das Projekt von einer Community fortführen zu lassen.
Vielleicht ist die Aktion gerade ja auch ein Schuss vor den Bug der Entwicklergemeinschaft: „Hey, aufwachen, ich mach‘ den Mist hier nicht mehr weiter! Wie sieht’s bei euch aus?“
Open Source sei dank. Meine Backups liegen zum Großteil auf Truecrypt-Containern, ich hoffe daher, dass das Projekt von irgendwem weitergeführt wird. Ich kenne leider keine andere Lösung, die Betriebssystem-übergreifend funktioniert und keine Probleme mit z.B. Cygwin erzeugt.
Die Empfehlung zur Verwendung von Bitlocker haben alle Medien schön wiederholt, aber keiner schreibt dazu dass Bitlocker erst ab Windows Professional/Ultimate enthalten ist. Der normale User mit seinem mit dem Gerät gekauften Windows OEM hat es nicht. Würde für Windows 8 149 Euro als Lizenzupgrade kosten.
Das ergibt keinen Sinn. Wenn jemand so viele Jahre und Energie in so ein Open-Source-Projekt steckt, dann sabotiert er es nicht am Ende selber, indem er eine kaputte Version hochlädt, und empfiehlt stattdessen unsicheren Closed-Source (Bitlocker).
Da ist was faul. Offensichtlich wird er durch einen Security Letter daran gehindert, die Wahrheit zu sagen.
Typische Reaktion für „Wir haben von der NSA einen National Security Letter bekommen, der uns verbietet über eben diesen zu sprechen.“ mit dem Ausgang, dass man dann doch lieber das Projekt einstellt, als der NSA eine Hintertür zu bieten. Und da man eben beim Schließen weder die NSA noch den NSL erwähnen darf, kommt eben so etwas heraus.
Wäre die Reaktion tatsächlich ein „Keine Lust mehr“ stünde es auch so auf der Website, da bin ich mir sicher. So sieht es aus, als würde der Entwickler bestimmte Vorgangsmuster hat, wie er reagiert, wenn irgendwer anfragt. Da scheint es die „Keine Lust“-Taktik zu sein, welche aber nicht mit den Aussagen der Website übereinstimmt und eben dann mit dem letzten Absatz in der hier zitierten Antwort noch „aufgefangen“ wurde…
Ich halte von Verschwörungstheorien allgemein sehr wenig, aber in dem Fall kann man sich wohl wirklich sicher sein, dass auf die Macher entsprechend Druck ausgeübt wurde. Es werden sich sicher bald gute Alternativen am Markt etablieren können.
Liebes TrueCrypt Team,
wir geben euch 50 Millionen Dollar. Stellt einfach die Arbeit ein und baut in das letzte Update noch ne Backdoor ein und dann macht euch ein schönes Leben.
-Eure NSA
Alles Spekulationen.
Als wenn es so schwer wäre, Daten zu veröffentlichen, die man nicht veröffentlichen darf…
@Namenlos
Nicht so naiv. Gerade Behörden haben durchaus geeignete Druckmittel, dass sich das die betroffenen Personen zehnmal überlegen ob sie wirklich etwas durchsickern lassen wollen oder nicht bei den angedrohten Konsequenzen.
Logisch betrachtet ist es ein sauberer Abschluss, das Projekt genau so zu beenden.
Wenn man ein Projekt einstellt (dessen Anspruch/Anforderung auf 100% Sicherheit liegt), bei bestimmten Teilen des Projektes es sich aber um Arbeiten Dritter handelt (z.Bsp. sämtliche Cryptographie) und sich diese oder auch eigene Teile z.Bsp. als unsicher in der Zukunft herausstellen ist zwangsläufig auch das eigene Projekt unsicher.
Die aktuelle Aussage ist: „Using TrueCrypt is not secure as it MAY contain unfixed security issues“
D.h. nicht das es aktuell unsicher sei – im Umkehrschluss aber auch nicht, dass es sicher ist. Logische Schlussfolgerung, man veröffentlicht eine Warnung und eine Version die lediglich noch zur Migration auf andere Systeme genutzt werden kann.
Das erklärt nicht das warum (Liste mit (un-)mögliche Theorien hier einfügen) aber zumindest das wie.
Eine Weiterführung/Fork/… ist mit der Lizence nicht möglich, da hier u.A. ebenfalls Arbeiten Dritter betroffen sind (hier einfach mal google bemühen, welche Fallstricke da warten).
~
hey hier steht was ganz anderes http://truecrypt.ch/
Vielleicht hat der Entwickler auch einfach nur eine Persönlichskeitsstörung ala Borderline, hatte in den letzten Wochen zu wenig Anerkennung erfahren, ist jetzt im Gott-Modus und hat das Ganze deshalb auf diese seltsame Weise hingeschmissen. Oder es gab einen dicken Check von MS.
Die NSL-Theorie ist mir jedenfalls zu langweilig. Mein Hass auf die US-Regierung ist eh schon übersättigt. 😀
bin mal gespannt was da jetzt rauskommt. ist ja ein echtzeit thriller 😀
falls die entwickler das ernst meinen der code ist open source. da findet sich bestimmt jemand in zukunft
Das klingt doch alles wie eine Aufforderung zum forken. So zwischen den Zeilen.
Wieso eigentlich ist hier die Weiterentwicklung so wichtig? Ich mein, der letzte Stand ist von 2012, da ist zuletzt ohnehin nicht viel passiert. Und es funktioniert doch, also was spricht dagegen, Trucrypt weiter zu nutzen, auch ohne Weiterentwicklung? Und letztlich muss sich heutzutage wohl jedes Tool der Frage stellen, wie sicher es wirklich ist. Und da sehe ich keine großen Unterschiede zwischen Open und Closed Source.
hat mir irgendjemand einen Link, wo ich die Version 7.1a (am besten von 2012/1013) herunterladen kann?
@Conne_92
http://truecrypt.ch/
Es gibt aber noch zig andere Mirrors..
Die Downloads und die jeweiligen korrekten Hashwerte sind ganz unten auf der Seite verlinkt.