Posse um Verschlüsselungssoftware TrueCrypt verunsichert die Anwender

Die Ver­schlüs­se­lungs­soft­ware True­Crypt ist seit Jah­ren ein belieb­tes Tool in der IT-Welt, gera­de bei Anwen­dern, die gro­ßen kom­mer­zi­el­len Anbie­tern im Zwei­fel erst ein­mal miss­trau­en. Mit True­Crypt lie­ßen sich ver­schlüs­sel­te Con­tai­ner erstel­len, die dann als Lauf­wer­ke ein­ge­bun­den wer­den konn­ten. Ohne den pas­sen­den Schlüs­sel war der Con­tai­ner nur eine Datei voll mit Daten­müll, für Angrei­fer oder Daten­die­be unbrauch­bar. Selbst gan­ze Par­ti­tio­nen lie­ßen sich mit­tels True­Crypt ver­schlüs­seln, ide­al für Außen­dienst-Mit­ar­bei­ter, die sen­si­ble Daten, z.B. von Patienten/Klienten auf ihren Lap­tops mit sich füh­ren. Auch hier galt: ohne Schlüs­sel kein Zugriff auf die ver­schlüs­sel­te Par­ti­ti­on. Die Art der Ver­schlüs­se­lung konn­te vom Anwen­der vor­ab fest­ge­legt wer­den, je nach zur Ver­fü­gung ste­hen­der Hard­ware-Leis­tung. Das Bes­te an True­Crypt war jedoch: es kos­te­te nichts und wur­de nicht von gro­ßen US-Soft­ware-Häu­sern ent­wi­ckelt, wo man nach den jüngs­ten Ent­hül­lun­gen bei­na­he schon vor­aus­set­zen kann, dass für die ein­hei­mi­schen Geheim­diens­te pas­sen­de Hin­ter­tür­chen offen­ge­las­sen wurden.

In letz­ter Zeit jedoch war es bei der Ent­wick­lung erstaun­lich still gewor­den um True­Crypt. Die letz­te Ver­si­on 7.1a war bei­na­he 2 Jah­re alt. Die Ent­wick­ler selbst blie­ben bis dato anonym, ver­mut­lich auch, um sich nicht angreif­bar zu machen.

Gestern, am 29.05.2014, jedoch wur­de die offi­zi­el­le Web­sei­te truecrypt.org auf ein­mal auf truecrypt.sourceforge.net wei­ter­ge­lei­tet. Dort fand der erstaun­te Besu­cher die Mitteilung:

WARNING: Using True­Crypt is not secu­re as it may con­tain unfi­xed secu­ri­ty issues

Also sinn­ge­mäß über­setzt: “True­Crypt ist nicht sicher, da es mög­li­cher­wei­se nicht beho­be­ne Sicher­heits­lecks ent­hält”. Zeit­gleich wur­de die bis­her aktu­el­le Ver­si­on 7.1a off­line genom­men und durch die Ver­si­on 7.2 ersetzt, die jedoch nur noch das Lesen bereits erstell­ter Con­tai­ner ermög­licht, jedoch nicht mehr das Erstel­len neu­er. Zudem wird auf der Web­sei­te der Umstieg auf die Micro­soft-Ver­schlüs­se­lungs­soft­ware Bit­lo­cker beschrie­ben, die in man­chen Ver­sio­nen von Win­dows Vista/7/8 ent­hal­ten ist.

Was sich zunächst nach einem April­scherz anhört, höchs­tens jedoch nach einer gehack­ten Web­sei­te, scheint sich lang­sam als ernst gemeint her­aus­zu­kris­tal­li­sie­ren. Die neue Nur-Lese-Ver­si­on 7.2 scheint mit einem gül­ti­gen Key der True­Crypt-Ent­wick­ler signiert zu sein. Die Akti­on kommt zudem zu einem Zeit­punkt, an dem True­Crypt durch ver­schie­de­ne unab­hän­gi­ge Stel­len unter­sucht wor­den war, die zwar eini­ge (nicht unge­wöhn­li­che) Schlam­pe­rei­en im Quell­code ent­deck­ten, jedoch kei­ne Sicher­heits­lü­cke an sich fanden.

Spe­ku­la­tio­nen
Seit­her rät­selt die IT-Welt was es mit die­ser vir­tu­el­len Voll­brem­sung auf sich hat. Wir haben die gän­gigs­ten Spe­ku­la­tio­nen zusammengetragen:

1. Dro­hung durch Geheimdienste
Am häu­figs­ten wird der­zeit der Prä­zen­denz­fall Lav­a­bit genannt. Lav­a­bit war ein US-ame­ri­ka­ni­sches Unter­neh­men, das ver­schlüs­sel­te E‑Mail-Diens­te anbot. Es wur­de nach 9 Jah­ren Betrieb im Jahr 2013 kur­zer­hand ein­ge­stellt, da man die For­de­run­gen der US-Behör­den nicht erfül­len woll­te, die eine Her­aus­ga­be von SSL-Schlüs­seln gefor­dert haben soll, womit die Behör­den die gesam­te Kom­mu­ni­ka­ti­on der Lav­a­bit-Nut­zer hät­ten lesen kön­nen. Offi­zi­ell durf­te Lav­a­bit dies jedoch nicht als Grund für die Schlie­ßung nen­nen, da bereits dies zu juris­ti­schen Pro­ble­men für die Betrei­ber hät­te füh­ren können.
Vie­le Beob­ach­ter sehen hier die Par­al­le­le zu True­Crypt. Eben­so wie die Lav­a­bit-E-Mails sind auch True­Crypt-Lauf­wer­ke nach heu­ti­gen Maß­stä­ben nicht mit ver­tret­ba­ren Mit­teln zu kna­cken; für Geheim­diens­te natür­lich unbe­quem. Die Spe­ku­la­tio­nen gehen nun dahin, dass die True­Crypt-Ent­wick­ler eine neue Ver­si­on mit Hin­ter­tür für die Geheim­diens­te hät­ten ent­wi­ckeln sol­len. Um das nicht tun zu müs­sen, wur­de die Ent­wick­lung mit dem Ver­weis auf die Unsi­cher­heit der Soft­ware (den wah­ren Grund dürf­ten sie nicht nen­nen, falls es sich bei den Ent­wick­lern um US-Bür­ger han­delt) eingestellt.

2. Das Wis­sen um Sicherheitslücken
Wie erwähnt hat True­Crypt bereits eini­ge Quell­code-Ana­ly­sen ohne grö­ße­re Bean­stan­dun­gen über­stan­den. Im Sep­tem­ber jedoch soll ein zwei­tes Audit ver­öf­fent­licht wer­den. Eini­ge Spe­ku­la­tio­nen gehen in die Rich­tung, dass die Ent­wick­ler selbst um Sicher­heits­lü­cken oder gar eine selbst ein­ge­bau­te Back­door wuss­ten und mit der Ein­stel­lung des Pro­jekts einer mög­li­chen Ent­tar­nung zuvor kom­men woll­ten. Wie das mög­lich sein soll­te? Zwar ist True­Crypt prin­zi­pi­ell quell­of­fen, jedoch anders als vie­le Open­so­ur­ce-Soft­ware nicht nach GPL-Lizenz ver­öf­fent­licht. Zudem wur­den immer wie­der Zwei­fel geäu­ßert, ob die ange­bo­te­nen Bina­ries auch wirk­lich aus den ver­öf­fent­lich­ten Quell­codes kom­pi­liert wurden.

3. Gekränk­ter Stolz
Wie erwähnt war True­Crypt von den anony­men Ent­wick­lern zwar eigent­lich quell­of­fen kon­zi­piert, lief jedoch nie unter gän­gi­gen Open­so­ur­ce-Lizen­zen wie GPL. Das macht es auch schwie­rig, das Pro­jekt nach der Ein­stel­lung durch ande­re Frei­wil­li­ge wei­ter­füh­ren zu las­sen (Fork), wie es z.B mit Libre­Of­fice gesche­hen ist nach der Über­nah­me von Open­Of­fice durch Ora­cle. Wes­halb die Ent­wick­ler sich bei der Open­so­ur­ce-Lizenz der­art zier­ten, kann nur spe­ku­liert wer­den. Womög­lich hat­ten die Ent­wick­ler vor, mit­tel­fris­tig doch mal Geld zu ver­die­nen mit ihrer Ent­wick­lungs­ar­beit. Da wäre eine GPL-Lizenz hin­der­lich gewesen.
Doch statt ihre Ent­wick­lungs­ar­beit finan­zi­ell hono­riert zu bekom­men, muss­ten die Ent­wick­ler mit anse­hen, wie die Leu­te lie­ber 46.000 US-Dol­lar in den erwähn­ten Audit steck­ten, also in die Suche nach Sicher­heits­lü­cken in einer Soft­ware, die Frei­wil­li­ge unent­gelt­lich ent­wi­ckelt hat­ten. Auf den ers­ten Blick mag es kin­disch klin­gen, wenn man jedoch ein klein wenig Gespür dafür hat, wie die Welt der frei­en Soft­ware tickt, ist es kei­nes­wegs abwe­gig anzu­neh­men, dass der True­Crypt-Ent­wick­lungs­stopp eine Trotz-Reak­ti­on der Pro­gram­mie­rer auf die bei­den Audits dar­stellt. Dar­in ste­hen auf zig Sei­ten aus­ge­brei­tet die Ver­säum­nis­se der Coder, da wer­den feh­len­de Kom­men­ta­re ange­pran­gert, ver­misch­te Daten­ty­pen, und so wei­ter. Jemand, der das alles unent­gelt­lich in sei­ner Frei­zeit pro­gram­miert hat, mag sich das aber womög­lich nicht unter die Nase rei­ben las­sen von einer Orga­ni­sa­ti­on, die allein 46.000 US-Dol­lar für die Ana­ly­se des fer­ti­gen Codes ein­ge­stri­chen hat. Der Satz “True­Crypt ist nicht sicher, da es mög­li­cher­wei­se nicht beho­be­ne Sicher­heits­lecks ent­hält” lässt sich mit auf­ge­setz­ter Trotz-Bril­le durch­aus so interpretieren…

…und das sind nur die gän­gis­ten der der­zeit kur­sie­ren­den Theo­rien über das plötz­li­che Able­ben des True­Crypt-Pro­jekts. In unse­rem Forum wird bereits eif­rig dis­ku­tiert, wes­we­gen wir auf den bereits gut besuch­ten Dis­kus­si­ons­th­read im Forum ver­wei­sen.

Abge­se­hen davon lie­gen die älte­ren True­Crypt-Ver­sio­nen bereits seit 2 bzw. 4 Jah­ren auf unse­rem Down­load-Ser­ver her­um. Wer also auf Num­mer Sicher gehen will, im Zuge der aktu­el­len Irri­ta­tio­nen kei­ne nach­träg­lich mit Tro­ja­nern ver­seuch­te Ver­si­on unter­ge­scho­ben zu bekom­men, kann sich die letz­ten bei­den Ver­sio­nen hier bei uns herunterladen:

Down­load: