TrueCrypt: Entwickler sollen keine Lust mehr haben
Neues vom Verschlüsselungstool TrueCrypt, welches seit vielen Jahren relativ einfache zu handhabende Verschlüsselung auch für Nicht-Profis möglich macht. Ohne Ansage wurde das Projekt eingestellt, eine neue Webseite warf mehr Fragen auf, als dass sie beantwortete. Recht komisch wurde mitgeteilt, dass TrueCrypt unsicher sei und dass Windows-Nutzer zu BitLocker greifen sollen – logo, das Ganze riecht komisch, sodass der Verdacht im Raum stand, dass die US-Behörden gegen TrueCrypt vorgegangen sind, oder dass etwas im Code faul ist, der eh gerade untersucht wird.
Neue Informationen hält nun Steven Barnhart bereit, die auf der Seite der Gibson Research Corporation veröffentlicht wurden. Steven Barnhart erwähnt, dass er in der Vergangenheit schon mit einem TrueCrypt-Entwickler einen Mail-Austausch hatte. Dieser Entwickler nennt sich „David“. Steven Barnhart schrieb also an diese Adresse und erhielt einige Informationen des mutmaßlichen TrueCrypt-Mitentwicklers.
Hier kristallisiert sich heraus, dass die Einstellung des Projektes nicht die Angst vor Entdecken irgendwelcher Schwachstellen durch den stattfindenden Security-Audit ist, auch sollen Regierungen nicht ihre Hände im Spiel haben. „We were happy with the audit, it didn’t spark anything. We worked hard on this for 10 years, nothing lasts forever“. Auch zur BitLocker-Empfehlung hat man eine Aussage parat: BitLocker sei gut genug für Windows – und Windows war damals das primäre Ziel des TrueCrypt-Projekts.
Mit einem „There is no longer interest“ wird dann die Konversation geschlossen. Ich für meinen Teil denke, dass mit diesen Aussagen noch nicht das letzte Kapitel im TrueCrypt-Buch geschrieben ist, da man auch den „Entwickler David“ nicht zu 100 Prozent verifizieren kann. (danke Patrik!)
Irgendwie versteh ich das alles nicht! Die NSA hat zig 1000 mitarbeiter und ist nur einer von vielen geheimdiensten und im vergleich gibts keine möglichkeit, da ein wenig mitzuhalten? Beim letzen mega-security-skandal war ein kleiner fisch schuld, wo erst jahre später google mal draufgekommen ist und jetzt bei truescript lies ich wieder das gleiche! Ein paar leute haben keine lust mehr und das solls gewesen sein???? Ich weiß schon, der „staat“ hat 1000x mehr mittel, aber wenn ich zb ein milliardär bin, dann pulver ich mal lässig eine milliarde in ein programm, nur damit da sicher jede datei verschlüsselt werden kann! So schwer kann das ja (aus sicht eines laien) nicht sein!??
Zumindest hätte man nach dem Audit nochmal ran müssen. Es waren zwar keine gravierenden Fehler aber das ein oder andere wurde ja gefunden was verbesserungswürdig wäre. Kann mir schon vorstellen daß man nach 2 Jahren Ruhephase dann sagt, wir haben fertig, wir fassen hier nichts mehr an. Prioritäten ändern sich, auch für Entwickler. Stellt sich nur die Frage, war das mit dieser wir machen alles platt Aktion in Kombi mit der keiner darf weiterentwickeln Lizenz jetzt nötig. Jedenfalls war es nicht hilfreich und sollte es wohl auch nicht sein, aus welchen Gründen auch immer.
Das wundert mich nicht, seit Jahren wurde nichts mehr daran getan. Außerdem können die Programmierer mit ihrem Können richtig viel Geld machen, da bleibt sicherlich kaum Motivation in der Freizeit daran zu basteln.