TrueCrypt: Projektende, Hack oder ist die US-Regierung Schuld?
An tägliche Horrormeldungen bezüglich geknackter Dienste haben wir uns irgendwie gewöhnt. Heartbleed, ebay, Spotify und Co – sie bestimmten das News-Geschehen. Doch nun sorgt eine andere, mehr als skurrile Geschichte für Aufsehen. Bereits in diesem Beitrag berichteten wir über ominöse Änderungen auf der Seite des Verschlüsselungs-Tools TrueCrypt.
TrueCrypt begleitete viele von uns seit Jahren durch die Verschlüsselungswelt. Recht einfach zu nutzen, Open Source und im Notfall auch portabel. Zu haben für Windows, OS X und Linux ließ und das Tool Daten verschlüsseln – entweder auf Basis von Containern, Partitionen oder sogar Festplatten. In 450 Beiträgen in diesem Blog kommt TrueCrypt vor, doch in Sachen Entwicklung war es schon langer ruhiger geworden. TrueCrypt 7.1a ist die letzte Version, sie stammt aus dem Februar 2012.
Nun also die skurrile Nachricht auf der Homepage von TrueCrypt, beziehungsweise auf die Sourceforge-Weiterleitung. Das Projekt sei eingestellt, weil Microsoft den Support für Windows XP eingestellt habe. Alleine diese Aussage mag man kopfschüttelnd zur Kenntnis nehmen, doch die Empfehlungen wirken noch witziger. So empfiehlt man, von TrueCrypt auf das Microsoft-eigene Tool BitLocker umzusteigen, während man Linux-Nutzern rät: „suche dir irgendein Package mit den Worten Encryption und Crypt, installiere diese und lies die Dokumentation“.
Nach dieser Nachricht machten sich natürlich Kenner der Materie, Experten und Verschwörungstheoretiker ans Werk – und bis dato weiss man nicht wirklich, was genau passierte. TrueCrypt ist Open Source und wird gerade gründlich unter die Lupe genommen. Sicherheitslücken oder andere Mängel sind meines Wissens bislang nicht gefunden worden.
Möglich scheint es, dass ein Rechner der Entwickler gekapert worden sein könnte, was für die validen Keys der veränderten Version 7.2 spricht, die allerdings nur in der Lage ist, Container und Co zu entschlüsseln. Weiterhin spricht sie die Warnung aus, dass TrueCrypt unsicher sei. Weiterhin wurde das Projekt bei Sourceforge auf inaktiv gestellt. Das als Hintergrund: Ich als Sourceforge-Nutzer wurde erst am 21. Mai aufgefordert, mein Passwort zu ändern. Die Mail sprach von keiner Sicherheitslücke, die im Vorfeld bestand, sondern nur davon, dass man die Art der Passwort-Speicherung ändere.
Was kann also geschehen sein? Einfachste Lösung: die anonymen TrueCrypt-Macher hören aus irgendwelchen Gründen auf, das ist ihre Antwort. Oder aber sie wurden enttarnt (vielleicht von Behörden) und sehen keine andere Möglichkeit, als so zu reagieren. Variante Nummer Drei: aus irgendwelchen Gründen wurde der Rechner eines Entwicklers übernommen.
Sollten die Entwickler von TrueCrypt von den Behörden enttarnt worden sein und einen National Security Letter bekommen haben, so dürften sie nicht darüber sprechen. Diese Webseite mit den validen Keys könnte die Antwort sein. So schlechte Empfehlungen, aber valide Keys könnten darauf hindeuten: „ja, wir sind es, wir meinen es Ernst – aber durch den National Security Letter dürfen wir nicht darüber sprechen“. „Unsicher“ könnte TrueCrypt in der Tat sein, wenn US-Behörden Zugriff auf die Keys haben, aber ich will jetzt auch nicht zu tief in der Vermutungs- und Verschwörungsecke wühlen (siehe mein Bild über diesem Absatz – not secure as) – hab früher zu viel Robert Anton Wilson gelesen und bin dafür eh etwas anfälliger.
Wie erwähnt – zum Zeitpunkt dieses Beitrages ist das Ganze undurchschaubar und super unschön für Nutzer der Sicherheitssoftware. Ich selber würde in der Tat vermuten, dass die US-Behörden den Macher auf die Schliche kamen. Behörden haben immer Mittel, um Menschen gefügig zu machen. Nur wenige sprechen die Wahrheit aus, weil sie vielleicht Leib und Leben fürchten.
Ich werde erst ein paar Tage abwarten und schauen, was in dieser Sache passiert. In Panik sollte derzeit keiner verfallen, auf keinen Fall sollte man die Version 7.2 installieren, die bereits von irgendwelchen SEO-Klitschen in den Downloadbereich aufgenommen wurde. Wer bereits jetzt auf die Suche nach Alternativen gehen will: DiskCryptor, dm-crypt, LUKS (Linux)….alternativ auch Kryptochef. (Für die, die alles Ernst nehmen: Kryptochef ist ein Joke).
Wer noch ein wenig in Vermutungen, Verschwörungen und Nachforschungen eintauchen möchte, der kann sich den passenden Reddit-Thread zum Thema anschauen.
Und nun kommst du!
Was denkst du, ist der Hintergrund dieser skurrilen TrueCrypt-Geschichte?
@ wegddghf:
AutoCompress, AxCrypt, EasyCrypt, Enveloppe, FilerFrog, FreeOTFE, LockNote, OpenStego, SteganoG, Steghide, TheLetterEncrypter, TruPax
(Je mehr oder weniger, je nach konkretem Bedürfnis)
@hannes weiss
Was soll uns dieses zusammenhangslose Gebrabbel nun sagen?
@BrollyLSSJ: Hast du DC auch als Vollverschlüsselung laufen, d.h. mit PW Eingabe vor dem Booten? Damit ging das Update von W8 auf 8.1?
Ich denke, die Seite wurde einfach gehackt um das Vertrauen in die Software (und evtl. allgemein Verschlüsselungssoftware) zu untergraben.
Gutes Image zerstört – Ziel erreicht.
Gruß, dein Staat.
Ich werde bei der 71a bleiben und tippe dir ist sicher bzw. sehe ich in meiner Person keinen Nutzen Viel Aufwand in das abschnorcheln und knacken meiner Daten zu setzen.
Als Alternative für einzelne Dateien lohnt sich ein Blick auf PGP zu werfen oder eben bei den alten tc stables zu bleiben, habe zu mindestens in Erinnerung das eine ältere tc Version schon ein audit überstanden hat
Hier noch ein paar aktuelle Infos:
http://www.computerbase.de/2014-05/truecrypt-projekt-abrupt-eingestellt/
Interessant auch der dort verlinkte Tweet
http://truecrypt.ch/ nicht mal die NSA kann in der Schweitz gehostete Webseiten abschalten =)
Schaut mal was ich gefunden habe: http://truecrypt.ch/ Scheint ein Entwickler-Team aus der Schweiz zu sein, das TrueCrypt weiter am Leben erhalten will und die saubere Version 7.1a (und älter) anbietet. Da steht auch, dass sie auch zukünftige Initiativen von anderen Entwicklern unterstützen wollen. EDIT: Sind wohl schweizer Piraten. Es gibt Hoffnung.
Die genauen Gründe für die Einstellung von Truecrypt sind eigentlich nur politisch interessant. Es spricht einiges für eine entsprechende Anweisung der amerikanischen Sicherheitsorgane, aber genau werden wir es nie erfahren.
Das bedeutet aber das diese Software nicht mehr gepflegt wird. Fehlerfreie Software gibt es nicht und eine nicht mehr gepflegte Verschlüsselungssoftware wird tatsächlich mit jedem Tag unsicherer. Schon unter diesem Aspekt betrachtet sollte man sich auf die Suche nach einer Alternative zu Truecrypt machen. Das hat sicher keine Eile, sollte aber bei jedem Truecryptnutzer auf der Agenda stehen.
Die Empfehlung von Bitlocker ist natürlich lächerlich.
Gibt es hier etwas neues zu Truecrypt oder geeigneten Alternativen? Habe nichts mehr davon gehört. Auch hier im Blog ist das, wenn ich die Googlesuche richtig bemüht habe, der letzte Artikel zu dem Thema. Seltsam.