TrueCrypt: Projektende, Hack oder ist die US-Regierung Schuld?

29. Mai 2014 Kategorie: Backup & Security, geschrieben von: caschy

An tägliche Horrormeldungen bezüglich geknackter Dienste haben wir uns irgendwie gewöhnt. Heartbleed, ebay, Spotify und Co – sie bestimmten das News-Geschehen. Doch nun sorgt eine andere, mehr als skurrile Geschichte für Aufsehen. Bereits in diesem Beitrag berichteten wir über ominöse Änderungen auf der Seite des Verschlüsselungs-Tools TrueCrypt.S

TrueCrypt begleitete viele von uns seit Jahren durch die Verschlüsselungswelt. Recht einfach zu nutzen, Open Source und im Notfall auch portabel. Zu haben für Windows, OS X und Linux ließ und das Tool Daten verschlüsseln – entweder auf Basis von Containern, Partitionen oder sogar Festplatten. In 450 Beiträgen in diesem Blog kommt TrueCrypt vor, doch in Sachen Entwicklung war es schon langer ruhiger geworden. TrueCrypt 7.1a ist die letzte Version, sie stammt aus dem Februar 2012.

Nun also die skurrile Nachricht auf der Homepage von TrueCrypt, beziehungsweise auf die Sourceforge-Weiterleitung. Das Projekt sei eingestellt, weil Microsoft den Support für Windows XP eingestellt habe. Alleine diese Aussage mag man kopfschüttelnd zur Kenntnis nehmen, doch die Empfehlungen wirken noch witziger. So empfiehlt man, von TrueCrypt auf das Microsoft-eigene Tool BitLocker umzusteigen, während man Linux-Nutzern rät: „suche dir irgendein Package mit den Worten Encryption und Crypt, installiere diese und lies die Dokumentation“.

Nach dieser Nachricht machten sich natürlich Kenner der Materie, Experten und Verschwörungstheoretiker ans Werk – und bis dato weiss man nicht wirklich, was genau passierte. TrueCrypt ist Open Source und wird gerade gründlich unter die Lupe genommen. Sicherheitslücken oder andere Mängel sind meines Wissens bislang nicht gefunden worden.

Möglich scheint es, dass ein Rechner der Entwickler gekapert worden sein könnte, was für die validen Keys der veränderten Version 7.2 spricht, die allerdings nur in der Lage ist, Container und Co zu entschlüsseln. Weiterhin spricht sie die Warnung aus, dass TrueCrypt unsicher sei. Weiterhin wurde das Projekt bei Sourceforge auf inaktiv gestellt. Das als Hintergrund: Ich als Sourceforge-Nutzer wurde erst am 21. Mai aufgefordert, mein Passwort zu ändern. Die Mail sprach von keiner Sicherheitslücke, die im Vorfeld bestand, sondern nur davon, dass man die Art der Passwort-Speicherung ändere.

Was kann also geschehen sein? Einfachste Lösung: die anonymen TrueCrypt-Macher hören aus irgendwelchen Gründen auf, das ist ihre Antwort. Oder aber sie wurden enttarnt (vielleicht von Behörden) und sehen keine andere Möglichkeit, als so zu reagieren. Variante Nummer Drei: aus irgendwelchen Gründen wurde der Rechner eines Entwicklers übernommen.

Bildschirmfoto_2014-05-29_um_10_12_54

Sollten die Entwickler von TrueCrypt von den Behörden enttarnt worden sein und einen National Security Letter bekommen haben, so dürften sie nicht darüber sprechen. Diese Webseite mit den validen Keys könnte die Antwort sein. So schlechte Empfehlungen, aber valide Keys könnten darauf hindeuten: „ja, wir sind es, wir meinen es Ernst – aber durch den National Security Letter dürfen wir nicht darüber sprechen“. „Unsicher“ könnte TrueCrypt in der Tat sein, wenn US-Behörden Zugriff auf die Keys haben, aber ich will jetzt auch nicht zu tief in der Vermutungs- und Verschwörungsecke wühlen (siehe mein Bild über diesem Absatz – not secure as) – hab früher zu viel Robert Anton Wilson gelesen und bin dafür eh etwas anfälliger.

Wie erwähnt – zum Zeitpunkt dieses Beitrages ist das Ganze undurchschaubar und super unschön für Nutzer der Sicherheitssoftware. Ich selber würde in der Tat vermuten, dass die US-Behörden den Macher auf die Schliche kamen. Behörden haben immer Mittel, um Menschen gefügig zu machen. Nur wenige sprechen die Wahrheit aus, weil sie vielleicht Leib und Leben fürchten.

Ich werde erst ein paar Tage abwarten und schauen, was in dieser Sache passiert. In Panik sollte derzeit keiner verfallen, auf keinen Fall sollte man die Version 7.2 installieren, die bereits von irgendwelchen SEO-Klitschen in den Downloadbereich aufgenommen wurde. Wer bereits jetzt auf die Suche nach Alternativen gehen will: DiskCryptor, dm-crypt, LUKS (Linux)….alternativ auch Kryptochef. (Für die, die alles Ernst nehmen: Kryptochef ist ein Joke).

Wer noch ein wenig in Vermutungen, Verschwörungen und Nachforschungen eintauchen möchte, der kann sich den passenden Reddit-Thread zum Thema anschauen.

Und nun kommst du!

Was denkst du, ist der Hintergrund dieser skurrilen TrueCrypt-Geschichte?



Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 22141 Artikel geschrieben.

61 Kommentare

mc-kay 29. Mai 2014 um 10:51 Uhr

Es ist eine Sache das man aufgrund eines National Security Letter seine arbeit einstellen muss, aber eine andere gleichzeitig auf ein NSA unterwandertes Produkt als alternative zu verweisen. Als Lavabit vom Netzt gegangen ist haben sie auch nicht gesagt: Benutzt jetzt mal Google Mail.

SilSte 29. Mai 2014 um 10:52 Uhr

Variante 3… da wurde einer gehackt oder man ist sonstwie an die Daten gekommen. Ein paar Tage warten und es wird (hoffentlich) alles wieder wie vorher.

Wäre sonst sehr schade drum…

Tonymann 29. Mai 2014 um 10:52 Uhr

Was soll so ein ketzerischer Beitrag? Aus den kommentaren im anderen Post geht doch inzwischen hervor, das es wohl ein deface war, und die Setup Dateien billig manipuliert und mit alten keys signiert wurden.

Dazu kommt: Wäre es eine Regierung, würden garantiert alle die klappe halten.

Hier mehr infos: http://www.theregister.co.uk/2.....rypt_hack/

mascha 29. Mai 2014 um 10:56 Uhr

Schöne Grüße von Skynet

Ramón 29. Mai 2014 um 11:03 Uhr

Hmm, ich warte auch erstmal ein paar Tage ab.

ein Nutzer 29. Mai 2014 um 11:16 Uhr

Lasst doch einfach mal diese „hitgeile“ Panikmache. Das kotzt echt an bei diesem Blog. Ihr habt eine solche Reichweite, dass ihr dadurch auch gewisse Verpflichtungen habt. Eine davon ist in meinen Augen die Nutzer nicht durch unnütze Beiträge unnötigerweise zu verunsichern. Ein Beitrag als Info reicht aus. Den gab es bereits. Und so lange es keine handfesten Neuigkeiten gibt, solltet ihr einfach mal die Füße still halten, statt jetzt wieder einen Beitrag nach dem anderen zu bringen, der inhaltlich keinen weiter bringt.

Patrick 29. Mai 2014 um 11:18 Uhr

Ich kann mir nicht vorstellen, dass es ein hack ist. Dafür ist die Seite zu lange verunstaltet, Anbieter und Inhaber, wer auch immer, hätte längst reagiert, wenn es nicht echt wäre.

caschy 29. Mai 2014 um 11:19 Uhr

@ein Nutzer: Ich habe seit gestern Stunden gelesen und neue Dinge hier zusammengefasst. Der Beitrag enthält also mehr als die Info gestern spät Abend (der fast schon wieder im Archiv verschwunden ist.

Hinterwäldler 29. Mai 2014 um 11:25 Uhr

Dazu gibt es doch schon eine exakte Aussage in der ZDF-Dokumentation „Verschwörung gegen die Freiheit“ Teil 2. Am besten du guckst dir beide Teile an und machst dann ein Update zu deinem an und für sich guten Text.

Thomas 29. Mai 2014 um 11:31 Uhr

Gerade weil es so ein Nonsens ist, was sie schreiben, müsste eigentlich klar sein, woher der Wind weht…

Andreas 29. Mai 2014 um 11:46 Uhr

Ich sehe keine Alternativen zu TC – das ist wohl das Hauptproblem, sofern das Projekt wirklich gestorben ist…

Name 29. Mai 2014 um 11:53 Uhr

Diskcryptor scheint mir eine ganz gute Alternative zu sein sollten sich die schlimmsten befürchtungen wirklich bestätigen.

chris 29. Mai 2014 um 11:55 Uhr

@thomas …na dann lass mal hören
@ caschy…. Panik Mache oder wirklich erstmal OBACHT ??

aaaaaaaaaaa 29. Mai 2014 um 11:56 Uhr

@Name: Genau, aus Russland 🙂 Gute Alternative!! Ohne gescheite Doku etc 😀

Name 29. Mai 2014 um 12:05 Uhr

Völlig egal wo das her kommt. GPLv3 und komplett offene Quellen machen das ganze sogar noch ein Stück vertrauenswürdiger als Truecrypt, dessen Urheber übrigens auch nicht bekannt ist.

Schröppke 29. Mai 2014 um 12:12 Uhr

Da habens die Linuxer ja einfach, wechseln zum 100%ig Truecrypt-kompatiblen tcplay bzw. zuluCrypt 🙂
https://www.privacy-handbuch.de/handbuch_38a.htm

Markus 29. Mai 2014 um 12:16 Uhr

Wenn sich das nicht klärt wird bestimmt bald ein TC7.1 fork außerhalb der USA aufmachen. Das ist doch das gute an opensource

Marc 29. Mai 2014 um 12:25 Uhr

Ich denke am wenigsten kann man abstreiten:
Wenn es wirklich ein „normales“ Projektende ist, würde der TrueCrypt Entwickler nicht Bitlocker als Alternative nennen – wenn er nach wie vor alle Tassen im Schrank hat.
Das _mindestens_ MS selber jede BL Verschlüsselung aushebeln kann, wird ja hoffentlich niemand abstreiten…

Bleibt abzuwarten was es stattdessen ist.

Kurt 29. Mai 2014 um 12:27 Uhr

„WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues“

*Not Secure As* = NSA

Verschlüsselte Botschaft?

NichtKurt 29. Mai 2014 um 12:30 Uhr

Das ist aber weit im Aluhut Territorium, Kurt.

Antares 29. Mai 2014 um 12:44 Uhr

Mittlerweile tippe ich auch mal auf einen NatSecLetter, der dafür verantwortlich ist (und ich bin in der Regel sehr vorsichtig, bevor ich sowas rauslasse). Ob das nun von der NSA kam oder von einer anderen Bundesbehörde, ist dabei erstmal völlig Banane. Das große Problem ist die Frage, ob ein neuer Fork von TrueCrypt das Problem lösen könnte, immerhin basiert er dann zumindest zu Beginn der Entwicklung immer noch auf der gleichen Technologie.

Andreas 29. Mai 2014 um 12:49 Uhr

Diskcryptor unterstützt offiziell nicht Win 8, was auf eine schlechte Pflege des Programms hindeutet. Portable Nutzung ist möglich?

Ralph Segert 29. Mai 2014 um 13:51 Uhr

Kryptochef ist auf jeden Fall schon mal ein geiler Name!

Dentophil 29. Mai 2014 um 13:56 Uhr

wieso schreibt ihr nicht selber so ein programm… oder ist das so schwer?

@EbbeSand 29. Mai 2014 um 14:13 Uhr

Sicherheit war eh nie gegeben. Denn Open Source ist TC ja nicht wirklich, oder täusche ich mich da?

scherno 29. Mai 2014 um 14:20 Uhr

@EbbeSand

Merkst du noch was?
Wie kann man Dummfug bloss durch ein „oder täusche ich mich da?“ entkräften?
Erstmal raushauen, statt 5 Sekunden zu „recherchieren“, zum kotzen sowas und absolut unnötig.

Der Quellcode ist offen. Zu dem Rest mit der Sicherheit: Denk nach, aber halt bevor du Aussagen triffst.

Immer schön faseln, wenns doch nicht stimmt, wird es schon wer sagen…
So Leute wie dich braucht das Netz nicht, ernsthaft, du bist Rückschritt, auf so vielen Ebenen.

Jo 29. Mai 2014 um 15:02 Uhr

Oft wird so eine Sache klarer, wenn man sich direkt fragt: Wem nützt diese Aktion?

Die NSA / US-Regierung versucht ja nicht erst seit gestern, das sichere Internet zu sabotieren. Man braucht sich nur mal die Geschichte von PGP (Phil Zimmermann) anzusehen, nachzulesen z. B. bei Wikipedia.

Es bleibt zu hoffen, dass sich aus den TrueCrypt-Sourcen ein unkompromittierter Fork außerhalb der USA weiterentwickeln wird.

unbenannt 29. Mai 2014 um 15:08 Uhr

deface

deface 29. Mai 2014 um 15:24 Uhr

unbenannt

Mithrandir 29. Mai 2014 um 15:45 Uhr

Wenn es sich nicht um ein defacement handelt, dann hat man die Botschaft, dass die Handlung auf einem NSL beruht, wirklich gut, aber für Experten halt auch eindeutig versteckt. Anders kann ich mir den Hinweis auf Bitlocker nicht erklären. Habe mir auch den Quellcode nach dem ersten Check heute Nacht in meinem Blog nochmal in Ruhe angesehen: Es wurde wirklich nur die Verschlüsselung sabotiert (aka entfernt).

//Edit: Wäre es nicht möglich, TC in Deutschland weiter zu entwickeln?

Olexijl 29. Mai 2014 um 16:04 Uhr

DNS-Attacke / Umleitung? Hat jemand zuverlässig geprüft ob das Projekt auf sourceforge inaktiv ist?

Ist 7.1a sicher?

Besucherpete 29. Mai 2014 um 16:51 Uhr

Ich kann beim besten Willen nicht nachvollziehen, wie man davon ausgehen kann, dass OpenSource-Projekte grundsätzlich sicherer sind als andere. Letztlich ist wirklich jede Verschlüsselung irgendwie zu umgehen, wenn man breit und in der Lage ist, entsprechenden technischen und wirtschaftlichen Aufwand zu betreiben.

@EbbeSand 29. Mai 2014 um 17:28 Uhr

Hey scherno, was hast Du denn genommen. Entspanne Dich mal und recherchiere selbst: Laut der Definition ist TC nicht open source. http://opensource.org/docs/definition.php Ansonsten erwähnt auch Wikipedia und andere Open-Source-Hersteller diesen Punkt. Schönes WE und auf den Rückschritt :-). Der „Ton“ macht die Musik.

Fraggle 29. Mai 2014 um 17:56 Uhr

@BesucherPete:
Sie sind nicht grundsätzlich sicherer, wohl aber können Backdoors nicht so einfach eingebaut werden. In Closed Source ohne Probleme. Ob versehentliche Fehler schneller entdeckt werden steht auf einem anderen Blatt. Dies hängt vermutlich von der Verbreitung und der Codelänge zusammen. Je verbreiteter ein Code ist, desto größer ist auch das Interesse diesen zu überprüfen. Wobei es auch da Ausnahmen gibt (Heartbleed-Bug). Fakt ist aber, wenn die NSA z.B. mit NSL MS dazu verdonnert einen Backdoor in Bitlocker zu implementieren, dann wird dies keiner außer MS und NSA erkennen können. Und die wollen bzw. dürfen es nicht publik machen. Umgekehrt ist TC 7.1a sicher, der Audit hat gezeigt, daß der Quellcode sicher ist und aus diesem die Version 7.1a kompiliert wurde.
@EbbeSand:
Nach der 100%igen Definition ist es kein OpenSource, aber im weiteren Sinne. Es scheitert einzig daran, daß eventuell nicht erlaubt wird den Code zu ändern und weiterzugeben. Wohl aber kann man den Code einsehen und selber kompilieren, was in Bezug auf Überprüfen und Vertrauen die wichtigsten Punkte sind.

Schröppke 29. Mai 2014 um 18:25 Uhr

Hätten die Macher von TC das Ende noch auffälliger unseriöser gestalten können? Dass auf die Windows-Verschlüsselung verwiesen wird, ist der Brüller.
Da liegt es schon sehr sehr nahe, dass sie damit eine unübersehbare Warnung abgesetzt haben, weil sie zur Aufgabe des Projekts gezwungen wurden.

philip 29. Mai 2014 um 19:51 Uhr

Ich habe folgende SHA1-Hashes anzubieten, kann die jemand bestätigen?

9384445e0225b2ac198b96114ae55e7109e3e5a3 *langpack-de-1.0.1-for-truecrypt-7.1a.zip
d43e0dbe05c04e316447d87413c4f74c68f5de24 *TrueCrypt 7.1a Source.tar.gz
4baa4660bf9369d6eeaeb63426768b74f77afdf2 *TrueCrypt 7.1a Source.zip
7689d038c76bd1df695d295c026961e50e4a62ea *TrueCrypt Setup 7.1a.exe
c2a8c78a23f97ffb17bf47448c9f2daa3c8f80cd *truecrypt-7.1a-linux-console-x64.tar.gz
a53a7a609a25d9a1e33f720ce5c0265ddd4e8b25 *truecrypt-7.1a-linux-console-x86.tar.gz
086cf24fad36c2c99a6ac32774833c74091acc4d *truecrypt-7.1a-linux-x64.tar.gz
0e77b220dbbc6f14101f3f913966f2c818b0f588 *truecrypt-7.1a-linux-x86.tar.gz
16e6d7675d63fba9bb75a9983397e3fb610459a1 *truecrypt-7.1a-mac-os-x.dmg

BrollyLSSJ 29. Mai 2014 um 21:02 Uhr

DiskCryptor ist offiziell nicht fuer Win 8 freigegeben, selbes gilt aber fuer TC. Bei mir laeuft DiskCryptor einwandfrei unter Windows 8.1 (und hat auch problemlos das Update auf 8.1 Update 1 mitgemacht). Ich habe aber auch nur Rechner, die noch das gute, alte BIOS einsetzen und nicht UEFI und Secure Boot.

nk 29. Mai 2014 um 21:23 Uhr

„Und nun kommst du!

Was denkst du, ist der Hintergrund dieser skurrilen TrueCrypt-Geschichte?“

Scheint wohl die neue Masche sein. Ich finde Caschy’s Blog hat es nicht nötig, nach Kommentaren zu betteln. Macht doch nicht jeden Scheiß mit.

hannes weiss 29. Mai 2014 um 22:39 Uhr

ich glaube, dass das eine masche ist, um „CryptBox“, das ja nicht betroffen sein soll, zu verkaufen. hannes weiss

wegddghgf 29. Mai 2014 um 23:18 Uhr

Welche Alternativen gibt es den, die man als Nutzer nutzen könnte?

Ralf 29. Mai 2014 um 23:32 Uhr

@ wegddghf:

AutoCompress, AxCrypt, EasyCrypt, Enveloppe, FilerFrog, FreeOTFE, LockNote, OpenStego, SteganoG, Steghide, TheLetterEncrypter, TruPax

(Je mehr oder weniger, je nach konkretem Bedürfnis)

nanjara 29. Mai 2014 um 23:40 Uhr

@hannes weiss

Was soll uns dieses zusammenhangslose Gebrabbel nun sagen?

lollipop 30. Mai 2014 um 01:22 Uhr

@BrollyLSSJ: Hast du DC auch als Vollverschlüsselung laufen, d.h. mit PW Eingabe vor dem Booten? Damit ging das Update von W8 auf 8.1?

Jo 30. Mai 2014 um 07:25 Uhr

Ich denke, die Seite wurde einfach gehackt um das Vertrauen in die Software (und evtl. allgemein Verschlüsselungssoftware) zu untergraben.

Gutes Image zerstört – Ziel erreicht.
Gruß, dein Staat.

Phil 30. Mai 2014 um 09:08 Uhr

Ich werde bei der 71a bleiben und tippe dir ist sicher bzw. sehe ich in meiner Person keinen Nutzen Viel Aufwand in das abschnorcheln und knacken meiner Daten zu setzen.
Als Alternative für einzelne Dateien lohnt sich ein Blick auf PGP zu werfen oder eben bei den alten tc stables zu bleiben, habe zu mindestens in Erinnerung das eine ältere tc Version schon ein audit überstanden hat

Go 30. Mai 2014 um 11:05 Uhr

Hier noch ein paar aktuelle Infos:
http://www.computerbase.de/201.....ngestellt/

Interessant auch der dort verlinkte Tweet

nox 30. Mai 2014 um 13:36 Uhr

http://truecrypt.ch/ nicht mal die NSA kann in der Schweitz gehostete Webseiten abschalten =)

Norbert 30. Mai 2014 um 16:32 Uhr

Schaut mal was ich gefunden habe: http://truecrypt.ch/ Scheint ein Entwickler-Team aus der Schweiz zu sein, das TrueCrypt weiter am Leben erhalten will und die saubere Version 7.1a (und älter) anbietet. Da steht auch, dass sie auch zukünftige Initiativen von anderen Entwicklern unterstützen wollen. EDIT: Sind wohl schweizer Piraten. Es gibt Hoffnung.

Knut Börge 31. Mai 2014 um 11:39 Uhr

Die genauen Gründe für die Einstellung von Truecrypt sind eigentlich nur politisch interessant. Es spricht einiges für eine entsprechende Anweisung der amerikanischen Sicherheitsorgane, aber genau werden wir es nie erfahren.

Das bedeutet aber das diese Software nicht mehr gepflegt wird. Fehlerfreie Software gibt es nicht und eine nicht mehr gepflegte Verschlüsselungssoftware wird tatsächlich mit jedem Tag unsicherer. Schon unter diesem Aspekt betrachtet sollte man sich auf die Suche nach einer Alternative zu Truecrypt machen. Das hat sicher keine Eile, sollte aber bei jedem Truecryptnutzer auf der Agenda stehen.

Die Empfehlung von Bitlocker ist natürlich lächerlich.

jpyea 6. November 2014 um 13:52 Uhr

Gibt es hier etwas neues zu Truecrypt oder geeigneten Alternativen? Habe nichts mehr davon gehört. Auch hier im Blog ist das, wenn ich die Googlesuche richtig bemüht habe, der letzte Artikel zu dem Thema. Seltsam.




Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.