TrueCrypt: Webseite spricht von Ende der Entwicklung und warnt vor Einsatz des Tools
von caschy | 69 Kommentare
Interessante Geschichte, die sich gerade bei TrueCrypt abspielt. Die Standard-Webseite Truecrypt.org verweist derzeit auf truecrypt.sourceforge.net. Hier wird vor dem Einsatz des beliebten Verschlüsselungstools gewarnt. So heißt es, dass die Entwicklung von TrueCrypt im Mai 2014, pünktlich zum Support-Ende von Windows XP eingestellt wurde. Die Webseite spricht davon, dass die Nutzung von TrueCrypt unsicher sei und dass man andere Lösungen nutzen soll. Ob Angreifer Zugriff auf die TrueCrypt-Server haben und die Webseite verändert haben, ist bislang nicht bekannt. Momentan solltet ihr besser Abstand von Downloads nehmen, die von dieser Seite kommen. (thx Global Limits!) (Update 29. Mai: ich habe weitere Links und Vermutungen zusammengefasst)
Wird geladen ...
Danke für die Warnung. Wenn, dann wurde aber SourceForge gehackt und nicht nur Truecrypt an sich. Wird für den einen oder anderen interessant, der sich auch andere Tools wie TV-Browser, Greenshot oder Audacity von da holt (ich hab alleine 6 Tools von da im Einsatz… :/ ).
Zusammenhang hiermit: https://www.indiegogo.com/projects/the-truecrypt-audit#activity ?
Der Support für XP wurde im April eingestellt, nicht im Mai.
is des nun echt oder hacked oder was anderes ? ich nutze das programm nämlich
Und jetzt? Hat jemand einen Tipp als Alternative für Mac OSX? Bin da neu. Danke im Voraus.
Das macht keinen Sinn. Security Audit bestanden. Truecrypt ist doch Opensource… warum einfach sagen es ist unsicher? Und wenn ja… warum nicht fixen? Keine Hintergrundinfos. Alles sehr mysteriös!
WTF??!!
Verspäteter Aprilscherz?
Und denn den Wechsel auf Microsofts BitLocker anbieten?
Ich bin zwar nicht für Verschwörungstheorien, aber das klingt mir eher nach einer erzwungenen Bereitstellung einer Hintertür, wo sich die Entwickler gegen wehren. Also wird auf die „Lösung“ eines großen US Konzerns verwiesen was ganz bestimmt nix mit der NSA zu tun hat.
Äääähm…
Ja…
Ne…
Is klar.
Heißt das, dass alte Versionen unkritisch sind? Lese das so.
Was sagen Security-Experten dazu? Ladar Lavison, Bruce Sneider?
Da ist vielleicht doch jemand der NSA masterkey aufgefallen inkl. Knebelvertrag ala lavabit 😉 oder einfach nur die Hauptseite gehacked, beides würde mich nicht wundern…
Wie war das? 200.000 FTP-Zugangsdaten gestohlen? 😉
Kam eben rein
http://www.computerbase.de/downloads/sicherheit/truecrypt/
Das ist einfach. TrueCrypt IST unknackbar. Deshalb wurde es von der NSA übernommen.
Schließlich kann man so was nicht auf sich sitzen lassen. Ihr wisst schon, wegen den Terroristen und so. Die Entwickler wurden bereits festgesetzt und befinden sich auf dem Weg nach Guantanamo, weil sie die Zusammenarbeit mit dem Geheimdiensten und Homeland Security verweigerten..
Möglicherweise hängt das mit dem FTP-Datenklau zusammen. Auf der anderen Seite – computerbase meldet eine „neue“ Version 7.2, und im selben Atemzug ist die Seite nicht mehr erreichbar?
Da ist doch schon seit vielen Monaten tote Hose. Ganz unglaubwürdig ist die „Meldung“ deswegen nicht.
Sehr mysteriös, hoffentlich doch nur eine kompromittierte Website, wobei die „Hacker“ dann auch noch an die SourceForge Zugangsdaten gekommen sein müssten…
Aber der Tipp zum Wechsel zu BitLocker kling einfach nicht schlüssig.
Auch ist die jetzt dort zu findende Version 7.2 bisher noch nie erwähnt worden (aktuell war/ist 7.1a).
Was sehr komisch ist, ist dass die Version 7.2 wohl gültig signiert ist. D.h. drei Sachen wurden verändert: 1. Die Truecrypt Dateien mit richtigen Private Key 2. Die Truecrypt Webseite 3. Die Truecrypt Sourceforge Webseite. Es gibt Mirrors zu den alten Versionen https://github.com/syglug/truecrypt https://github.com/DrWhax/truecrypt-archive aber Version 7.2 würde ich nicht anfassen. Es riecht alles komisch….
Da haben sich wohl ein paar Skript-Kiddies einen Scherz erlaubt. Wer eine alte Version nutzt sollte beruhigt sein und nicht updaten. Erstmal abwarten was los ist.
Die 7.2.exe ist mit dem korrekten GPG Schlüssel der TrueCrypt Foundation signiert. (KeyID: E3BA73CAF0D6B1E0 FingerPrint: C5F4 BAC4 A7B2 2DB8 B8F8 5538 E3BA 73CA F0D6 B1E0). Also entweder „die“ haben auch den priv. Key oder 7.2, und damit ggf. die ganze Seite, kann valide sein.
Für das was aktuell auf der Seite propagiert wird, würde 7.1 ausreichen … 1+1 ist manchmal 2, also Finger weg und Tee trinken.