TrueCrypt: Projektende, Hack oder ist die US-Regierung Schuld?
An tägliche Horrormeldungen bezüglich geknackter Dienste haben wir uns irgendwie gewöhnt. Heartbleed, ebay, Spotify und Co – sie bestimmten das News-Geschehen. Doch nun sorgt eine andere, mehr als skurrile Geschichte für Aufsehen. Bereits in diesem Beitrag berichteten wir über ominöse Änderungen auf der Seite des Verschlüsselungs-Tools TrueCrypt.
TrueCrypt begleitete viele von uns seit Jahren durch die Verschlüsselungswelt. Recht einfach zu nutzen, Open Source und im Notfall auch portabel. Zu haben für Windows, OS X und Linux ließ und das Tool Daten verschlüsseln – entweder auf Basis von Containern, Partitionen oder sogar Festplatten. In 450 Beiträgen in diesem Blog kommt TrueCrypt vor, doch in Sachen Entwicklung war es schon langer ruhiger geworden. TrueCrypt 7.1a ist die letzte Version, sie stammt aus dem Februar 2012.
Nun also die skurrile Nachricht auf der Homepage von TrueCrypt, beziehungsweise auf die Sourceforge-Weiterleitung. Das Projekt sei eingestellt, weil Microsoft den Support für Windows XP eingestellt habe. Alleine diese Aussage mag man kopfschüttelnd zur Kenntnis nehmen, doch die Empfehlungen wirken noch witziger. So empfiehlt man, von TrueCrypt auf das Microsoft-eigene Tool BitLocker umzusteigen, während man Linux-Nutzern rät: „suche dir irgendein Package mit den Worten Encryption und Crypt, installiere diese und lies die Dokumentation“.
Nach dieser Nachricht machten sich natürlich Kenner der Materie, Experten und Verschwörungstheoretiker ans Werk – und bis dato weiss man nicht wirklich, was genau passierte. TrueCrypt ist Open Source und wird gerade gründlich unter die Lupe genommen. Sicherheitslücken oder andere Mängel sind meines Wissens bislang nicht gefunden worden.
Möglich scheint es, dass ein Rechner der Entwickler gekapert worden sein könnte, was für die validen Keys der veränderten Version 7.2 spricht, die allerdings nur in der Lage ist, Container und Co zu entschlüsseln. Weiterhin spricht sie die Warnung aus, dass TrueCrypt unsicher sei. Weiterhin wurde das Projekt bei Sourceforge auf inaktiv gestellt. Das als Hintergrund: Ich als Sourceforge-Nutzer wurde erst am 21. Mai aufgefordert, mein Passwort zu ändern. Die Mail sprach von keiner Sicherheitslücke, die im Vorfeld bestand, sondern nur davon, dass man die Art der Passwort-Speicherung ändere.
Was kann also geschehen sein? Einfachste Lösung: die anonymen TrueCrypt-Macher hören aus irgendwelchen Gründen auf, das ist ihre Antwort. Oder aber sie wurden enttarnt (vielleicht von Behörden) und sehen keine andere Möglichkeit, als so zu reagieren. Variante Nummer Drei: aus irgendwelchen Gründen wurde der Rechner eines Entwicklers übernommen.
Sollten die Entwickler von TrueCrypt von den Behörden enttarnt worden sein und einen National Security Letter bekommen haben, so dürften sie nicht darüber sprechen. Diese Webseite mit den validen Keys könnte die Antwort sein. So schlechte Empfehlungen, aber valide Keys könnten darauf hindeuten: „ja, wir sind es, wir meinen es Ernst – aber durch den National Security Letter dürfen wir nicht darüber sprechen“. „Unsicher“ könnte TrueCrypt in der Tat sein, wenn US-Behörden Zugriff auf die Keys haben, aber ich will jetzt auch nicht zu tief in der Vermutungs- und Verschwörungsecke wühlen (siehe mein Bild über diesem Absatz – not secure as) – hab früher zu viel Robert Anton Wilson gelesen und bin dafür eh etwas anfälliger.
Wie erwähnt – zum Zeitpunkt dieses Beitrages ist das Ganze undurchschaubar und super unschön für Nutzer der Sicherheitssoftware. Ich selber würde in der Tat vermuten, dass die US-Behörden den Macher auf die Schliche kamen. Behörden haben immer Mittel, um Menschen gefügig zu machen. Nur wenige sprechen die Wahrheit aus, weil sie vielleicht Leib und Leben fürchten.
Ich werde erst ein paar Tage abwarten und schauen, was in dieser Sache passiert. In Panik sollte derzeit keiner verfallen, auf keinen Fall sollte man die Version 7.2 installieren, die bereits von irgendwelchen SEO-Klitschen in den Downloadbereich aufgenommen wurde. Wer bereits jetzt auf die Suche nach Alternativen gehen will: DiskCryptor, dm-crypt, LUKS (Linux)….alternativ auch Kryptochef. (Für die, die alles Ernst nehmen: Kryptochef ist ein Joke).
Wer noch ein wenig in Vermutungen, Verschwörungen und Nachforschungen eintauchen möchte, der kann sich den passenden Reddit-Thread zum Thema anschauen.
Und nun kommst du!
Was denkst du, ist der Hintergrund dieser skurrilen TrueCrypt-Geschichte?
Es ist eine Sache das man aufgrund eines National Security Letter seine arbeit einstellen muss, aber eine andere gleichzeitig auf ein NSA unterwandertes Produkt als alternative zu verweisen. Als Lavabit vom Netzt gegangen ist haben sie auch nicht gesagt: Benutzt jetzt mal Google Mail.
Variante 3… da wurde einer gehackt oder man ist sonstwie an die Daten gekommen. Ein paar Tage warten und es wird (hoffentlich) alles wieder wie vorher.
Wäre sonst sehr schade drum…
Was soll so ein ketzerischer Beitrag? Aus den kommentaren im anderen Post geht doch inzwischen hervor, das es wohl ein deface war, und die Setup Dateien billig manipuliert und mit alten keys signiert wurden.
Dazu kommt: Wäre es eine Regierung, würden garantiert alle die klappe halten.
Hier mehr infos: http://www.theregister.co.uk/2014/05/28/truecrypt_hack/
Schöne Grüße von Skynet
Hmm, ich warte auch erstmal ein paar Tage ab.
Lasst doch einfach mal diese „hitgeile“ Panikmache. Das kotzt echt an bei diesem Blog. Ihr habt eine solche Reichweite, dass ihr dadurch auch gewisse Verpflichtungen habt. Eine davon ist in meinen Augen die Nutzer nicht durch unnütze Beiträge unnötigerweise zu verunsichern. Ein Beitrag als Info reicht aus. Den gab es bereits. Und so lange es keine handfesten Neuigkeiten gibt, solltet ihr einfach mal die Füße still halten, statt jetzt wieder einen Beitrag nach dem anderen zu bringen, der inhaltlich keinen weiter bringt.
Ich kann mir nicht vorstellen, dass es ein hack ist. Dafür ist die Seite zu lange verunstaltet, Anbieter und Inhaber, wer auch immer, hätte längst reagiert, wenn es nicht echt wäre.
@ein Nutzer: Ich habe seit gestern Stunden gelesen und neue Dinge hier zusammengefasst. Der Beitrag enthält also mehr als die Info gestern spät Abend (der fast schon wieder im Archiv verschwunden ist.
Dazu gibt es doch schon eine exakte Aussage in der ZDF-Dokumentation „Verschwörung gegen die Freiheit“ Teil 2. Am besten du guckst dir beide Teile an und machst dann ein Update zu deinem an und für sich guten Text.
Gerade weil es so ein Nonsens ist, was sie schreiben, müsste eigentlich klar sein, woher der Wind weht…
Ich sehe keine Alternativen zu TC – das ist wohl das Hauptproblem, sofern das Projekt wirklich gestorben ist…
Diskcryptor scheint mir eine ganz gute Alternative zu sein sollten sich die schlimmsten befürchtungen wirklich bestätigen.
@thomas …na dann lass mal hören
@ caschy…. Panik Mache oder wirklich erstmal OBACHT ??
@Name: Genau, aus Russland 🙂 Gute Alternative!! Ohne gescheite Doku etc 😀
Völlig egal wo das her kommt. GPLv3 und komplett offene Quellen machen das ganze sogar noch ein Stück vertrauenswürdiger als Truecrypt, dessen Urheber übrigens auch nicht bekannt ist.
Da habens die Linuxer ja einfach, wechseln zum 100%ig Truecrypt-kompatiblen tcplay bzw. zuluCrypt 🙂
https://www.privacy-handbuch.de/handbuch_38a.htm
Wenn sich das nicht klärt wird bestimmt bald ein TC7.1 fork außerhalb der USA aufmachen. Das ist doch das gute an opensource
Ich denke am wenigsten kann man abstreiten:
Wenn es wirklich ein „normales“ Projektende ist, würde der TrueCrypt Entwickler nicht Bitlocker als Alternative nennen – wenn er nach wie vor alle Tassen im Schrank hat.
Das _mindestens_ MS selber jede BL Verschlüsselung aushebeln kann, wird ja hoffentlich niemand abstreiten…
Bleibt abzuwarten was es stattdessen ist.
„WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues“
*Not Secure As* = NSA
Verschlüsselte Botschaft?
Das ist aber weit im Aluhut Territorium, Kurt.