TrueCrypt: Projektende, Hack oder ist die US-Regierung Schuld?
von caschy | 61 Kommentare
An tägliche Horrormeldungen bezüglich geknackter Dienste haben wir uns irgendwie gewöhnt. Heartbleed, ebay, Spotify und Co – sie bestimmten das News-Geschehen. Doch nun sorgt eine andere, mehr als skurrile Geschichte für Aufsehen. Bereits in diesem Beitrag berichteten wir über ominöse Änderungen auf der Seite des Verschlüsselungs-Tools TrueCrypt.
TrueCrypt begleitete viele von uns seit Jahren durch die Verschlüsselungswelt. Recht einfach zu nutzen, Open Source und im Notfall auch portabel. Zu haben für Windows, OS X und Linux ließ und das Tool Daten verschlüsseln – entweder auf Basis von Containern, Partitionen oder sogar Festplatten. In 450 Beiträgen in diesem Blog kommt TrueCrypt vor, doch in Sachen Entwicklung war es schon langer ruhiger geworden. TrueCrypt 7.1a ist die letzte Version, sie stammt aus dem Februar 2012.
Nun also die skurrile Nachricht auf der Homepage von TrueCrypt, beziehungsweise auf die Sourceforge-Weiterleitung. Das Projekt sei eingestellt, weil Microsoft den Support für Windows XP eingestellt habe. Alleine diese Aussage mag man kopfschüttelnd zur Kenntnis nehmen, doch die Empfehlungen wirken noch witziger. So empfiehlt man, von TrueCrypt auf das Microsoft-eigene Tool BitLocker umzusteigen, während man Linux-Nutzern rät: „suche dir irgendein Package mit den Worten Encryption und Crypt, installiere diese und lies die Dokumentation“.
Nach dieser Nachricht machten sich natürlich Kenner der Materie, Experten und Verschwörungstheoretiker ans Werk – und bis dato weiss man nicht wirklich, was genau passierte. TrueCrypt ist Open Source und wird gerade gründlich unter die Lupe genommen. Sicherheitslücken oder andere Mängel sind meines Wissens bislang nicht gefunden worden.
Möglich scheint es, dass ein Rechner der Entwickler gekapert worden sein könnte, was für die validen Keys der veränderten Version 7.2 spricht, die allerdings nur in der Lage ist, Container und Co zu entschlüsseln. Weiterhin spricht sie die Warnung aus, dass TrueCrypt unsicher sei. Weiterhin wurde das Projekt bei Sourceforge auf inaktiv gestellt. Das als Hintergrund: Ich als Sourceforge-Nutzer wurde erst am 21. Mai aufgefordert, mein Passwort zu ändern. Die Mail sprach von keiner Sicherheitslücke, die im Vorfeld bestand, sondern nur davon, dass man die Art der Passwort-Speicherung ändere.
Was kann also geschehen sein? Einfachste Lösung: die anonymen TrueCrypt-Macher hören aus irgendwelchen Gründen auf, das ist ihre Antwort. Oder aber sie wurden enttarnt (vielleicht von Behörden) und sehen keine andere Möglichkeit, als so zu reagieren. Variante Nummer Drei: aus irgendwelchen Gründen wurde der Rechner eines Entwicklers übernommen.
Sollten die Entwickler von TrueCrypt von den Behörden enttarnt worden sein und einen National Security Letter bekommen haben, so dürften sie nicht darüber sprechen. Diese Webseite mit den validen Keys könnte die Antwort sein. So schlechte Empfehlungen, aber valide Keys könnten darauf hindeuten: „ja, wir sind es, wir meinen es Ernst – aber durch den National Security Letter dürfen wir nicht darüber sprechen“. „Unsicher“ könnte TrueCrypt in der Tat sein, wenn US-Behörden Zugriff auf die Keys haben, aber ich will jetzt auch nicht zu tief in der Vermutungs- und Verschwörungsecke wühlen (siehe mein Bild über diesem Absatz – not secure as) – hab früher zu viel Robert Anton Wilson gelesen und bin dafür eh etwas anfälliger.
Wie erwähnt – zum Zeitpunkt dieses Beitrages ist das Ganze undurchschaubar und super unschön für Nutzer der Sicherheitssoftware. Ich selber würde in der Tat vermuten, dass die US-Behörden den Macher auf die Schliche kamen. Behörden haben immer Mittel, um Menschen gefügig zu machen. Nur wenige sprechen die Wahrheit aus, weil sie vielleicht Leib und Leben fürchten.
Ich werde erst ein paar Tage abwarten und schauen, was in dieser Sache passiert. In Panik sollte derzeit keiner verfallen, auf keinen Fall sollte man die Version 7.2 installieren, die bereits von irgendwelchen SEO-Klitschen in den Downloadbereich aufgenommen wurde. Wer bereits jetzt auf die Suche nach Alternativen gehen will: DiskCryptor, dm-crypt, LUKS (Linux)….alternativ auch Kryptochef. (Für die, die alles Ernst nehmen: Kryptochef ist ein Joke).
Wer noch ein wenig in Vermutungen, Verschwörungen und Nachforschungen eintauchen möchte, der kann sich den passenden Reddit-Thread zum Thema anschauen.
Und nun kommst du!
Was denkst du, ist der Hintergrund dieser skurrilen TrueCrypt-Geschichte?
Wird geladen ...
Mittlerweile tippe ich auch mal auf einen NatSecLetter, der dafür verantwortlich ist (und ich bin in der Regel sehr vorsichtig, bevor ich sowas rauslasse). Ob das nun von der NSA kam oder von einer anderen Bundesbehörde, ist dabei erstmal völlig Banane. Das große Problem ist die Frage, ob ein neuer Fork von TrueCrypt das Problem lösen könnte, immerhin basiert er dann zumindest zu Beginn der Entwicklung immer noch auf der gleichen Technologie.
Diskcryptor unterstützt offiziell nicht Win 8, was auf eine schlechte Pflege des Programms hindeutet. Portable Nutzung ist möglich?
Kryptochef ist auf jeden Fall schon mal ein geiler Name!
wieso schreibt ihr nicht selber so ein programm… oder ist das so schwer?
Sicherheit war eh nie gegeben. Denn Open Source ist TC ja nicht wirklich, oder täusche ich mich da?
@EbbeSand
Merkst du noch was?
Wie kann man Dummfug bloss durch ein „oder täusche ich mich da?“ entkräften?
Erstmal raushauen, statt 5 Sekunden zu „recherchieren“, zum kotzen sowas und absolut unnötig.
Der Quellcode ist offen. Zu dem Rest mit der Sicherheit: Denk nach, aber halt bevor du Aussagen triffst.
Immer schön faseln, wenns doch nicht stimmt, wird es schon wer sagen…
So Leute wie dich braucht das Netz nicht, ernsthaft, du bist Rückschritt, auf so vielen Ebenen.
Oft wird so eine Sache klarer, wenn man sich direkt fragt: Wem nützt diese Aktion?
Die NSA / US-Regierung versucht ja nicht erst seit gestern, das sichere Internet zu sabotieren. Man braucht sich nur mal die Geschichte von PGP (Phil Zimmermann) anzusehen, nachzulesen z. B. bei Wikipedia.
Es bleibt zu hoffen, dass sich aus den TrueCrypt-Sourcen ein unkompromittierter Fork außerhalb der USA weiterentwickeln wird.
deface
unbenannt
Wenn es sich nicht um ein defacement handelt, dann hat man die Botschaft, dass die Handlung auf einem NSL beruht, wirklich gut, aber für Experten halt auch eindeutig versteckt. Anders kann ich mir den Hinweis auf Bitlocker nicht erklären. Habe mir auch den Quellcode nach dem ersten Check heute Nacht in meinem Blog nochmal in Ruhe angesehen: Es wurde wirklich nur die Verschlüsselung sabotiert (aka entfernt).
//Edit: Wäre es nicht möglich, TC in Deutschland weiter zu entwickeln?
DNS-Attacke / Umleitung? Hat jemand zuverlässig geprüft ob das Projekt auf sourceforge inaktiv ist?
Ist 7.1a sicher?
Ich kann beim besten Willen nicht nachvollziehen, wie man davon ausgehen kann, dass OpenSource-Projekte grundsätzlich sicherer sind als andere. Letztlich ist wirklich jede Verschlüsselung irgendwie zu umgehen, wenn man breit und in der Lage ist, entsprechenden technischen und wirtschaftlichen Aufwand zu betreiben.
Hey scherno, was hast Du denn genommen. Entspanne Dich mal und recherchiere selbst: Laut der Definition ist TC nicht open source. http://opensource.org/docs/definition.php Ansonsten erwähnt auch Wikipedia und andere Open-Source-Hersteller diesen Punkt. Schönes WE und auf den Rückschritt :-). Der „Ton“ macht die Musik.
@BesucherPete:
Sie sind nicht grundsätzlich sicherer, wohl aber können Backdoors nicht so einfach eingebaut werden. In Closed Source ohne Probleme. Ob versehentliche Fehler schneller entdeckt werden steht auf einem anderen Blatt. Dies hängt vermutlich von der Verbreitung und der Codelänge zusammen. Je verbreiteter ein Code ist, desto größer ist auch das Interesse diesen zu überprüfen. Wobei es auch da Ausnahmen gibt (Heartbleed-Bug). Fakt ist aber, wenn die NSA z.B. mit NSL MS dazu verdonnert einen Backdoor in Bitlocker zu implementieren, dann wird dies keiner außer MS und NSA erkennen können. Und die wollen bzw. dürfen es nicht publik machen. Umgekehrt ist TC 7.1a sicher, der Audit hat gezeigt, daß der Quellcode sicher ist und aus diesem die Version 7.1a kompiliert wurde.
@EbbeSand:
Nach der 100%igen Definition ist es kein OpenSource, aber im weiteren Sinne. Es scheitert einzig daran, daß eventuell nicht erlaubt wird den Code zu ändern und weiterzugeben. Wohl aber kann man den Code einsehen und selber kompilieren, was in Bezug auf Überprüfen und Vertrauen die wichtigsten Punkte sind.
Hätten die Macher von TC das Ende noch auffälliger unseriöser gestalten können? Dass auf die Windows-Verschlüsselung verwiesen wird, ist der Brüller.
Da liegt es schon sehr sehr nahe, dass sie damit eine unübersehbare Warnung abgesetzt haben, weil sie zur Aufgabe des Projekts gezwungen wurden.
Ich habe folgende SHA1-Hashes anzubieten, kann die jemand bestätigen?
9384445e0225b2ac198b96114ae55e7109e3e5a3 *langpack-de-1.0.1-for-truecrypt-7.1a.zip
d43e0dbe05c04e316447d87413c4f74c68f5de24 *TrueCrypt 7.1a Source.tar.gz
4baa4660bf9369d6eeaeb63426768b74f77afdf2 *TrueCrypt 7.1a Source.zip
7689d038c76bd1df695d295c026961e50e4a62ea *TrueCrypt Setup 7.1a.exe
c2a8c78a23f97ffb17bf47448c9f2daa3c8f80cd *truecrypt-7.1a-linux-console-x64.tar.gz
a53a7a609a25d9a1e33f720ce5c0265ddd4e8b25 *truecrypt-7.1a-linux-console-x86.tar.gz
086cf24fad36c2c99a6ac32774833c74091acc4d *truecrypt-7.1a-linux-x64.tar.gz
0e77b220dbbc6f14101f3f913966f2c818b0f588 *truecrypt-7.1a-linux-x86.tar.gz
16e6d7675d63fba9bb75a9983397e3fb610459a1 *truecrypt-7.1a-mac-os-x.dmg
DiskCryptor ist offiziell nicht fuer Win 8 freigegeben, selbes gilt aber fuer TC. Bei mir laeuft DiskCryptor einwandfrei unter Windows 8.1 (und hat auch problemlos das Update auf 8.1 Update 1 mitgemacht). Ich habe aber auch nur Rechner, die noch das gute, alte BIOS einsetzen und nicht UEFI und Secure Boot.
„Und nun kommst du!
Was denkst du, ist der Hintergrund dieser skurrilen TrueCrypt-Geschichte?“
Scheint wohl die neue Masche sein. Ich finde Caschy’s Blog hat es nicht nötig, nach Kommentaren zu betteln. Macht doch nicht jeden Scheiß mit.
ich glaube, dass das eine masche ist, um „CryptBox“, das ja nicht betroffen sein soll, zu verkaufen. hannes weiss
Welche Alternativen gibt es den, die man als Nutzer nutzen könnte?