TrueCrypt: Projektende, Hack oder ist die US-Regierung Schuld?

29. Mai 2014 Kategorie: Backup & Security, geschrieben von: caschy

An tägliche Horrormeldungen bezüglich geknackter Dienste haben wir uns irgendwie gewöhnt. Heartbleed, ebay, Spotify und Co – sie bestimmten das News-Geschehen. Doch nun sorgt eine andere, mehr als skurrile Geschichte für Aufsehen. Bereits in diesem Beitrag berichteten wir über ominöse Änderungen auf der Seite des Verschlüsselungs-Tools TrueCrypt.S

TrueCrypt begleitete viele von uns seit Jahren durch die Verschlüsselungswelt. Recht einfach zu nutzen, Open Source und im Notfall auch portabel. Zu haben für Windows, OS X und Linux ließ und das Tool Daten verschlüsseln – entweder auf Basis von Containern, Partitionen oder sogar Festplatten. In 450 Beiträgen in diesem Blog kommt TrueCrypt vor, doch in Sachen Entwicklung war es schon langer ruhiger geworden. TrueCrypt 7.1a ist die letzte Version, sie stammt aus dem Februar 2012.

Nun also die skurrile Nachricht auf der Homepage von TrueCrypt, beziehungsweise auf die Sourceforge-Weiterleitung. Das Projekt sei eingestellt, weil Microsoft den Support für Windows XP eingestellt habe. Alleine diese Aussage mag man kopfschüttelnd zur Kenntnis nehmen, doch die Empfehlungen wirken noch witziger. So empfiehlt man, von TrueCrypt auf das Microsoft-eigene Tool BitLocker umzusteigen, während man Linux-Nutzern rät: „suche dir irgendein Package mit den Worten Encryption und Crypt, installiere diese und lies die Dokumentation“.

Nach dieser Nachricht machten sich natürlich Kenner der Materie, Experten und Verschwörungstheoretiker ans Werk – und bis dato weiss man nicht wirklich, was genau passierte. TrueCrypt ist Open Source und wird gerade gründlich unter die Lupe genommen. Sicherheitslücken oder andere Mängel sind meines Wissens bislang nicht gefunden worden.

Möglich scheint es, dass ein Rechner der Entwickler gekapert worden sein könnte, was für die validen Keys der veränderten Version 7.2 spricht, die allerdings nur in der Lage ist, Container und Co zu entschlüsseln. Weiterhin spricht sie die Warnung aus, dass TrueCrypt unsicher sei. Weiterhin wurde das Projekt bei Sourceforge auf inaktiv gestellt. Das als Hintergrund: Ich als Sourceforge-Nutzer wurde erst am 21. Mai aufgefordert, mein Passwort zu ändern. Die Mail sprach von keiner Sicherheitslücke, die im Vorfeld bestand, sondern nur davon, dass man die Art der Passwort-Speicherung ändere.

Was kann also geschehen sein? Einfachste Lösung: die anonymen TrueCrypt-Macher hören aus irgendwelchen Gründen auf, das ist ihre Antwort. Oder aber sie wurden enttarnt (vielleicht von Behörden) und sehen keine andere Möglichkeit, als so zu reagieren. Variante Nummer Drei: aus irgendwelchen Gründen wurde der Rechner eines Entwicklers übernommen.

Bildschirmfoto_2014-05-29_um_10_12_54

Sollten die Entwickler von TrueCrypt von den Behörden enttarnt worden sein und einen National Security Letter bekommen haben, so dürften sie nicht darüber sprechen. Diese Webseite mit den validen Keys könnte die Antwort sein. So schlechte Empfehlungen, aber valide Keys könnten darauf hindeuten: „ja, wir sind es, wir meinen es Ernst – aber durch den National Security Letter dürfen wir nicht darüber sprechen“. „Unsicher“ könnte TrueCrypt in der Tat sein, wenn US-Behörden Zugriff auf die Keys haben, aber ich will jetzt auch nicht zu tief in der Vermutungs- und Verschwörungsecke wühlen (siehe mein Bild über diesem Absatz – not secure as) – hab früher zu viel Robert Anton Wilson gelesen und bin dafür eh etwas anfälliger.

Wie erwähnt – zum Zeitpunkt dieses Beitrages ist das Ganze undurchschaubar und super unschön für Nutzer der Sicherheitssoftware. Ich selber würde in der Tat vermuten, dass die US-Behörden den Macher auf die Schliche kamen. Behörden haben immer Mittel, um Menschen gefügig zu machen. Nur wenige sprechen die Wahrheit aus, weil sie vielleicht Leib und Leben fürchten.

Ich werde erst ein paar Tage abwarten und schauen, was in dieser Sache passiert. In Panik sollte derzeit keiner verfallen, auf keinen Fall sollte man die Version 7.2 installieren, die bereits von irgendwelchen SEO-Klitschen in den Downloadbereich aufgenommen wurde. Wer bereits jetzt auf die Suche nach Alternativen gehen will: DiskCryptor, dm-crypt, LUKS (Linux)….alternativ auch Kryptochef. (Für die, die alles Ernst nehmen: Kryptochef ist ein Joke).

Wer noch ein wenig in Vermutungen, Verschwörungen und Nachforschungen eintauchen möchte, der kann sich den passenden Reddit-Thread zum Thema anschauen.

Und nun kommst du!

Was denkst du, ist der Hintergrund dieser skurrilen TrueCrypt-Geschichte?



Werbung: Drohne, GoPro & Oculus Rift: Instaffo.com verlost coole Gadgets Zur Infoseite.

Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 22522 Artikel geschrieben.