TrueCrypt: Webseite spricht von Ende der Entwicklung und warnt vor Einsatz des Tools

Interessante Geschichte, die sich gerade bei TrueCrypt abspielt. Die Standard-Webseite Truecrypt.org verweist derzeit auf truecrypt.sourceforge.net. Hier wird vor dem Einsatz des beliebten Verschlüsselungstools gewarnt. So heißt es, dass die Entwicklung von TrueCrypt im Mai 2014, pünktlich zum Support-Ende von Windows XP eingestellt wurde. Die Webseite spricht davon, dass die Nutzung von TrueCrypt unsicher sei und dass man andere Lösungen nutzen soll. Ob Angreifer Zugriff auf die TrueCrypt-Server haben und die Webseite verändert haben, ist bislang nicht bekannt. Momentan solltet ihr besser Abstand von Downloads nehmen, die von dieser Seite kommen. (thx Global Limits!) (Update 29. Mai: ich habe weitere Links und Vermutungen zusammengefasst)Bildschirmfoto 2014-05-28 um 21.21.40

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

69 Kommentare

  1. Danke für die Warnung. Wenn, dann wurde aber SourceForge gehackt und nicht nur Truecrypt an sich. Wird für den einen oder anderen interessant, der sich auch andere Tools wie TV-Browser, Greenshot oder Audacity von da holt (ich hab alleine 6 Tools von da im Einsatz… :/ ).

  2. Der Support für XP wurde im April eingestellt, nicht im Mai.

  3. DJ Speedy says:

    is des nun echt oder hacked oder was anderes ? ich nutze das programm nämlich

  4. Und jetzt? Hat jemand einen Tipp als Alternative für Mac OSX? Bin da neu. Danke im Voraus.

  5. Das macht keinen Sinn. Security Audit bestanden. Truecrypt ist doch Opensource… warum einfach sagen es ist unsicher? Und wenn ja… warum nicht fixen? Keine Hintergrundinfos. Alles sehr mysteriös!

  6. Thomas Baumann says:

    WTF??!!
    Verspäteter Aprilscherz?
    Und denn den Wechsel auf Microsofts BitLocker anbieten?
    Ich bin zwar nicht für Verschwörungstheorien, aber das klingt mir eher nach einer erzwungenen Bereitstellung einer Hintertür, wo sich die Entwickler gegen wehren. Also wird auf die „Lösung“ eines großen US Konzerns verwiesen was ganz bestimmt nix mit der NSA zu tun hat.
    Äääähm…
    Ja…
    Ne…
    Is klar.

  7. Heißt das, dass alte Versionen unkritisch sind? Lese das so.

  8. Was sagen Security-Experten dazu? Ladar Lavison, Bruce Sneider?

  9. Spekulant says:

    Da ist vielleicht doch jemand der NSA masterkey aufgefallen inkl. Knebelvertrag ala lavabit 😉 oder einfach nur die Hauptseite gehacked, beides würde mich nicht wundern…

  10. Wie war das? 200.000 FTP-Zugangsdaten gestohlen? 😉

  11. Name (erforderlich) says:

    Das ist einfach. TrueCrypt IST unknackbar. Deshalb wurde es von der NSA übernommen.
    Schließlich kann man so was nicht auf sich sitzen lassen. Ihr wisst schon, wegen den Terroristen und so. Die Entwickler wurden bereits festgesetzt und befinden sich auf dem Weg nach Guantanamo, weil sie die Zusammenarbeit mit dem Geheimdiensten und Homeland Security verweigerten..

  12. Mithrandir says:

    Möglicherweise hängt das mit dem FTP-Datenklau zusammen. Auf der anderen Seite – computerbase meldet eine „neue“ Version 7.2, und im selben Atemzug ist die Seite nicht mehr erreichbar?

  13. Da ist doch schon seit vielen Monaten tote Hose. Ganz unglaubwürdig ist die „Meldung“ deswegen nicht.

  14. Sehr mysteriös, hoffentlich doch nur eine kompromittierte Website, wobei die „Hacker“ dann auch noch an die SourceForge Zugangsdaten gekommen sein müssten…

    Aber der Tipp zum Wechsel zu BitLocker kling einfach nicht schlüssig.

    Auch ist die jetzt dort zu findende Version 7.2 bisher noch nie erwähnt worden (aktuell war/ist 7.1a).

  15. Was sehr komisch ist, ist dass die Version 7.2 wohl gültig signiert ist. D.h. drei Sachen wurden verändert: 1. Die Truecrypt Dateien mit richtigen Private Key 2. Die Truecrypt Webseite 3. Die Truecrypt Sourceforge Webseite. Es gibt Mirrors zu den alten Versionen https://github.com/syglug/truecrypt https://github.com/DrWhax/truecrypt-archive aber Version 7.2 würde ich nicht anfassen. Es riecht alles komisch….

  16. Da haben sich wohl ein paar Skript-Kiddies einen Scherz erlaubt. Wer eine alte Version nutzt sollte beruhigt sein und nicht updaten. Erstmal abwarten was los ist.

  17. Die 7.2.exe ist mit dem korrekten GPG Schlüssel der TrueCrypt Foundation signiert. (KeyID: E3BA73CAF0D6B1E0 FingerPrint: C5F4 BAC4 A7B2 2DB8 B8F8 5538 E3BA 73CA F0D6 B1E0). Also entweder „die“ haben auch den priv. Key oder 7.2, und damit ggf. die ganze Seite, kann valide sein.

  18. Für das was aktuell auf der Seite propagiert wird, würde 7.1 ausreichen … 1+1 ist manchmal 2, also Finger weg und Tee trinken.

  19. Ein weiterer Hinweis darauf, das was nicht stimmt: Auf Wikipedia wird die aktuelle Version mit 7.2 angegeben mit einer ausstehenden Änderung zurück auf Version 7.1a. Also Finger weg von 7.2 und einfach mal abwarten.

  20. Könnte das ein Grund sein: http://www.elcomsoft.com/efdd.html

  21. @Berndd – Die NSA wird doch wohl auch GPG-private-keys gestohlen haben – wenn die schon mal dabei sind lassen die sowas ja auch nicht aus. So blöd sind die ja nun auch nicht. Und wenn man die hat kannste ja so ziemlich alles „valide“ signieren…

  22. Ein bisschen zu unprofessionell sieht mir das schon aus für ne Behörde, die iranische Zentrifugen zerlegte, ohne dass es jemand mitbekommen hat. Nach Stand der Dinge ist es wohl das realistischste, dass ein Entwickler gehackt wurde, der die Signierschlüssel online hatte.

  23. Es gibt viele Theorien zu TrueCrypt und es wurde schon länger von vielen Seiten davon abgeraten es zu benutzen, weil es im Verdacht stand Hintertüren zu haben.

    Ob es nun Verschwörungstheorien sind oder da doch was wahres dran ist, muss jeder für sich selbst entscheiden. Jedoch ist TrueCrypt sehr untransparent und hat eine sehr restriktive lizenz, auch wenn es open source ist.

    Es soll auch unglaublich schwer sein, true crypt aus den quellcodes heraus zu komplilieren und nur weil etwas Open Source ist, heißt es nicht, dass es sicher ist. Bester Beispiel dürfte doch wohl OpenSSL gewesen sein 😉

  24. Nur nebenbei Info, BitLocker (was bei Win dabei ist) ist definitiv unsicher !

  25. Ich habe mal eben einen Diff über den „mutmaßlichen“ SourceCode von Version 7.2 vs. 7.1a laufen lassen. Folgendes ist dabei herausgekommen:

    * Funktionen, um BootEncryption zu starten, enthalten folgende Zeile am Anfang: AbortProcess („INSECURE_APP“);

    * Hinweise wurden entfernt (Donate, Keyfiles, etc)
    * Release Date wurde von „February 7, 2012“ auf „5/2014“ geändert.
    * Funktionen zum Verschlüsseln eines Laufwerks wurden entfernt.
    * Offensichtlich wurden allen Funktionen zum Verschlüsseln so modifiziert, dass sie fehlschlagen.
    * Das Menü wurde um alle Hilfeeinträge reduziert.
    * Das Setup löscht offensichtlich alle URL- und Hilfeeinträge im Menüzweig des TrueCrypt-Ordners.
    * Lizenz wurde um den Hinweis bereinigt, dass auf TrueCrypt verwiesen werden muss, wenn die Technik in einem anderen Produkt genutzt werden soll.
    * Aus der Readme-Text wurden folgende Punkte entfernt:

    III. FreeBSD and OpenSolaris

    IV. Third-Party Developers (Contributors)

    V. Legal Information

    VI. Further Information

    Offensichtlich wurden sonst aber keine Funktionalitäten verändert, also Hintertürchen eingebaut, etc. Kann aber auch sein, dass ich die beim Überfliegen nicht gefunden habe, bzw. es sich nicht um den „echten“ Source handelt.

  26. Ich stimme Mithrandir zu. Habe auch kurz den (mutmaßlichen!!!) Code verglichen, Da werden außerdem noch ein paar eigene Registry-Einträge gelöscht. Irgendwas kritisches habe ich spontan auch nicht gesehen. Also erst mal: funktionslos, aber nicht schädlich … wenn der Code zu der exe gehört.

  27. vor 6Std. „TrueCrypt-key.asc“ geändert, 3Std. später 7.2 binaries … Und dann noch der Generabundesanwalt heute … Das kann doch kein Zufall sein!!! … ERR, SourceForge password reset …

  28. Funktionslos? Also die User in vermeintlicher Sicherheit wiegen, aber nicht richtig verschlüsseln? Oder bekommt der User dann eine Fehlermeldung?

  29. @Jo: Nein, offensichtlich bricht der Prozess mit Fehlermeldung einfach ab. Habe mir die Binaries nicht gezogen, weil ich momentan keine VM zur Hand hab… D.h., vielleicht hab ich doch eine…

  30. Eine Fehlermeldung so wie es ausschaut. Und zwar z.B. schon beim Formatieren des Volumes. Die Funktion dafür sieht nämlich jetzt genau so aus:

    int TCFormatVolume (volatile FORMAT_VOL_PARAMETERS *volParams)
    {
    AbortProcess („INSECURE_APP“);
    return 0;
    }

    🙂

  31. Nachtrag: Gerade mal in die VM geladen. Wenn ich ein neues Volume erstellen möchte, dann kommt eine ellenlange Messagebox, die mir erklärt, dass TC unsicher ist, und wie ich BitLocker stattdessen nutzen kann. Dann passiert nix mehr. Auf dem Hauptfenster von TrueCrypt, direkt neben dem Button „Wipe Cache“, ist ein Link mit dem Text „WARNING: Using TrueCrypt is not secure“. Klickt man darauf, öffnet sich die o.g. Messagebox.

  32. Selbst die Leute, die am Audit von TrueCrypt beteiligt waren, sind anscheinend ziemlich ratlos.

    http://www.idigitaltimes.com/articles/23222/20140528/what-happened-truecrypt-encryption-software-development-ends-hacked-defaced.htm

    Und auf Twitter brennt gerade der Baum…

  33. Mein Kollege hat ein Diff auf den Code gemacht. Sehr interessant:
    http://blog.danielgilbert.de/2014/05/28/truecrypt-seems-hacked-dont-download-version-7-2/

    Viele Grüße,

    Sven Abels

  34. Ich frage mich, was bezweckt der diejenige mit diesem aufruf zu bitlocker zu wechseln?
    Vielleicht steckt ja die NSA dahinter.

  35. Warum packt ihr eigentlich immer wieder die NSA-Keule aus? Ja, kann sein, muss aber nicht. Das kann genauso irgendein hobbyloser Trottel gewesen sein, der mit seiner Freizeit nix anfangen konnte, oder die Leute bei TrueCrypt legen einen ähnlichen Sinneswandel hin wie Innoshock mit ihrem Orbit Downloader damals, der mitmal für DDos-Attacken verwendet wurde. Man weiss es einfach nicht. Und selbst wenn es ein Geheimdienst war, ich wills ja nicht ausschließen, dann muss es nicht die NSA sein, andere Geheimdienste haben auch was aufm Kasten.

  36. Keine Ahnung @Antares vielleicht bin ich auch gerade zu sehr von Watch Dogs gehyped.^^

  37. Stuhlgang says:

    warum wird die Seite nicht von netz genommen wen sie gehackt wurden

  38. Mithrandir says:

    @Antares: Sehe ich auch so. Da steckt sicherlich kein Geheimdienst hinter. Viel zu offensichtlich. Keine Ahnung, was genau da abgeht. Aber is gerade spannender als Watch Dogs.^^

  39. Nabend,
    Der Reddit Thread ist ganz interessant:
    http://www.reddit.com/r/sysadmin/comments/26pxol/truecrypt_is_dead/

    Und daraus auch der komplette Diff zwischen 7.1a und 7.2:
    https://github.com/warewolf/truecrypt/compare/master…7.2

  40. 2004 Dual_EC_DRBG veröffentlicht,
    2004 TrueCrypt-key.asc, mit dem 7.2 signiert ist, erstellt

  41. Diese Seite scheint noch die originale zu sein: http://truecrypt.sourceforge.net/index.php

  42. MeinerEiner says:

    Hat jemand hier noch 7.1a Windows Version wo rumliegen, die er selbst vor mehr als 2-3 Tagen geladen hat, und würde den SHA1 hier posten?

    Vielen Dank

  43. Pseudonym says:

    Heruntergeladen am 22.03.2012

    TrueCrypt Setup 7.1a.exe

    MD5: 7A23AC83A0856C352025A6F7C9CC1526
    SHA1: 7689D038C76BD1DF695D295C026961E50E4A62EA

  44. Kongo Mueller says:

    Komische Geschichte. Man wird in den nächsten Tagen sehen, was das zu bedeuten hat.

    Falls das – durch was auch immer – das Ende von Truecrypt ist: Kennt sich jemand mit DiskCryptor aus? Ist soweit alles eigtl. selbsterklärend. Man kann die Systemplatte verschlüsseln, Partionen und halt Datenträger an sich (externe Platten, Sticks usw.). Was aus den Beschreibungen aber nicht hervorgeht ist, ob man damit auch Container (also ein normaler Container, nicht versteckt/hidden) wie bei TC erstellen kann. Kann da jemand was zu sagen?

    Wikipedia
    https://de.wikipedia.org/wiki/DiskCryptor

    DC Homepage
    https://diskcryptor.net/wiki/Main_Page/de

    Prism break
    http://prism-break.org/de/subcategories/windows-disk-encryption/

  45. Ladar ist kein security Experte! Er ist ein Geschäftemacher. Das voraus bezahlte Geld für lavabit mailaccounts wurde nie an die user zurück überwiesen.

  46. Oder hat http://hashcat.net/hashcat/ wieder zugeschlagen und das dechiffrieren nun komplett für alle Verschlüsselungsmethoden ermöglicht …. sicher war es ja gewissermaßen dadurch eh schon nicht mehr

  47. @MeinerEiner: Hab meine 7.1a Version am 10.12.13 heruntergeladen. SHA1 ist:
    7689D038C76BD1DF695D295C026961E50E4A62EA

  48. @MeinerEiner

    Geladen am 09.11.2013:

    TrueCrypt Setup 7.1a.exe

    SHA-1: 7689D038C76BD1DF695D295C026961E50E4A62EA

    LG Gandalf

    PS: Ich werde mir die Datei gut sichern. Das stinkt gewaltig. Habe TrueCrypt in Gebrauch.

  49. SHA-1: 7689D038C76BD1DF695D295C026961E50E4A62EA

    TrueCrypt Setup 7.1a, geladen am 06.11.2013

  50. DeinerEiner says:

    Hier liegt noch was im Netz:

    http://cyberside.planet.ee/truecrypt/

    http://cyberside.planet.ee/truecrypt/Origin.txt
    Im Text:–>https://github.com/DrWhax/truecrypt-archive

    Sieht sauber aus!…sichern solange es noch geht.

  51. Ich habe für mich jetzt erstmal Konsequenzen gezogen und alle Programme, die ich seitens SF eingesetzt habe, von meiner Platte verbannt. Für gut 2/3 von denen hatte ich glücklicherweise sofort Ersatz parat. TrueCrypt hatte ich schon lange nicht mehr benutzt, das war wohl offensichtlich mein Glück. Mal sehen, was es da für ne Alternative wird, DiskCryptor ist mir aus russisches Projekt momentan zu unsicher und AxCrypt aus Schweden wäre zwar mein Fav, aber liefert auch OpenCandy-Werbung mit. Von daher, mal schauen… Auf jeden Fall nie wieder SF…

  52. Heruntergeladen am 08.12.2013, SHA1

    7689d038c76bd1df695d295c026961e50e4a62ea *TrueCrypt Setup 7.1a.exe
    e1e3efaeac2fbcdbff0c2c62ac33233bd356edfa *TrueCrypt Setup 7.1a.exe.sig

    Grüße

  53. Im Heise Download Archiv gibt es TrueCrypt 7.1a noch.

  54. MeinerEiner says:

    Danke an alle für den SHA1, damit ist zumindest die alte/aktuelle Version sicher nachprüfbar.

  55. @MeinerEiner
    SHA1 und MD5 von meinem TC 7.1a Installer, geladen am 16.11.2013

    SHA1: 7689d038c76bd1df695d295c026961e50e4a62ea
    MD5: 7a23ac83a0856c352025a6f7c9cc1526

  56. Stuhlgang says:

    MeinerEiner hier ist die Version ist schon 4monate alt http://filehorst.de/d/bHccgvHF

  57. SHA-1
    7689D038C76BD1DF695D295C026961E50E4A62EA

    SHA3-512
    2FA98F4E632CD968B943AA387DD88F711D2034C5717629590916BFE511AB88358C6ED7433A550141F18AEFA1147AEC874E9903604D319A94FAAED1F58528153C

    ^ Vom 08.02.2012. Wurde also nie was geändert dran.

  58. @MeinerEIner

    http://www.reddit.com/r/sysadmin/comments/26pxol/truecrypt_is_dead/chtexzg
    Da stehen alle SHA1 & MD5 für TrueCrypt 7.1a auf Win/OS X/Linux.

  59. @MeinerEiner, hilft Dir sha1sum auf die TrueCrypt.exe aus hier bei Caschy vor zwei Jahren mal im Downloadverzeichnis befindlichen portablen Version (sollte eigentlich die gleiche exe verwenden wie die Installation):

    4c4891f5eafcf9b96be01e31031992d9e98d39c3

    file TrueCrypt.exe :
    PE32 executable (GUI) Intel 80386, for MS Windows

  60. @MeinerEiner
    Habe „Truecrypt 7.1a“ (Download vom 05.08.2013) auf meiner Festplatte:
    SHA1: 7689D038C76BD1DF695D295C026961E50E4A62EA
    SSDeep: 98304:cYoVF1jLBam4KBcDxJhL2+fZAwwjaJ2mLsn:IRLIgwxzLRfOoJ2mQ

  61. Using
    TrueCrypt
    is
    N.ot
    S.ecure
    A.s

  62. Zuerst wurde Kerio Personal Firewall eingestellt nachdem er von Sunbelt übernommen worden war.

    Dann Project von Phil Zimmermann Zfone – ZRTP Secure Phone
    http://zfoneproject.com/server_problems.html

    Dann Skype (ist nicht mehr sicher, nachdem von Microsoft gekauft wurde)

    Dann Lavabit
    http://lavabit.com/

    Jetzt Truecrypt.
    Was noch?
    Vielleicht will NSA, dass wir nackt durch die Stadt gehen

  63. Stuhlgang says:

    hey hier steht was ganz anderes http://truecrypt.ch/

  64. nothing impossible. die älteren unter euch kennen vemutlich noch blackberry. das war der handyspezialist für verschlüsselte textnachrichten. den nutzten vor allem geschäftsleute, dank der verschlüsselung. nur leider gehörte den canadiern die blackberry betrieben nicht der dazu gehörige kommunikationssatelit über den das lief, der gehörte nämlich den amis

    fazit, sie erpressten blackberry damit, das sie drohten keinen datenverkehr mehr darüber laufen zu lassen, wenn ja wenn sie nicht den crypto-code mit denen sie ihre nachrichten verschlüsselten, heraus gäben.

    was denkt ihr wie ist das wohl ausgegangen? seither krepelt blackberry nur noch so herum und ist vom einstigen verschlüssellungsspezialist zum no-name-produkt verkommen.

    wir haben zu viel ungefragt hingenommen und uns immer darauf verlassen dass, das schon so passt uns aber nie gefragt weshalb es eigentlich opensource gibt! keine klangvollen namen, kein angebissenes obst dafür aber jede menge spielraum sein programm so zu gestalten wie man es braucht. sicher, flexibel und sehr sehr individuell.

    damit wirds dann auch wieder sicher! weg von der commerz-scheiße!

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.