Posse um Verschlüsselungssoftware TrueCrypt verunsichert die Anwender
Die Verschlüsselungssoftware TrueCrypt ist seit Jahren ein beliebtes Tool in der IT-Welt, gerade bei Anwendern, die großen kommerziellen Anbietern im Zweifel erst einmal misstrauen. Mit TrueCrypt ließen sich verschlüsselte Container erstellen, die dann als Laufwerke eingebunden werden konnten. Ohne den passenden Schlüssel war der Container nur eine Datei voll mit Datenmüll, für Angreifer oder Datendiebe unbrauchbar. Selbst ganze Partitionen ließen sich mittels TrueCrypt verschlüsseln, ideal für Außendienst-Mitarbeiter, die sensible Daten, z.B. von Patienten/Klienten auf ihren Laptops mit sich führen. Auch hier galt: ohne Schlüssel kein Zugriff auf die verschlüsselte Partition. Die Art der Verschlüsselung konnte vom Anwender vorab festgelegt werden, je nach zur Verfügung stehender Hardware-Leistung. Das Beste an TrueCrypt war jedoch: es kostete nichts und wurde nicht von großen US-Software-Häusern entwickelt, wo man nach den jüngsten Enthüllungen beinahe schon voraussetzen kann, dass für die einheimischen Geheimdienste passende Hintertürchen offengelassen wurden.
In letzter Zeit jedoch war es bei der Entwicklung erstaunlich still geworden um TrueCrypt. Die letzte Version 7.1a war beinahe 2 Jahre alt. Die Entwickler selbst blieben bis dato anonym, vermutlich auch, um sich nicht angreifbar zu machen.
Gestern, am 29.05.2014, jedoch wurde die offizielle Webseite truecrypt.org auf einmal auf truecrypt.sourceforge.net weitergeleitet. Dort fand der erstaunte Besucher die Mitteilung:
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
Also sinngemäß übersetzt: “TrueCrypt ist nicht sicher, da es möglicherweise nicht behobene Sicherheitslecks enthält”. Zeitgleich wurde die bisher aktuelle Version 7.1a offline genommen und durch die Version 7.2 ersetzt, die jedoch nur noch das Lesen bereits erstellter Container ermöglicht, jedoch nicht mehr das Erstellen neuer. Zudem wird auf der Webseite der Umstieg auf die Microsoft-Verschlüsselungssoftware Bitlocker beschrieben, die in manchen Versionen von Windows Vista/7/8 enthalten ist.
Was sich zunächst nach einem Aprilscherz anhört, höchstens jedoch nach einer gehackten Webseite, scheint sich langsam als ernst gemeint herauszukristallisieren. Die neue Nur-Lese-Version 7.2 scheint mit einem gültigen Key der TrueCrypt-Entwickler signiert zu sein. Die Aktion kommt zudem zu einem Zeitpunkt, an dem TrueCrypt durch verschiedene unabhängige Stellen untersucht worden war, die zwar einige (nicht ungewöhnliche) Schlampereien im Quellcode entdeckten, jedoch keine Sicherheitslücke an sich fanden.
Spekulationen
Seither rätselt die IT-Welt was es mit dieser virtuellen Vollbremsung auf sich hat. Wir haben die gängigsten Spekulationen zusammengetragen:
1. Drohung durch Geheimdienste
Am häufigsten wird derzeit der Präzendenzfall Lavabit genannt. Lavabit war ein US-amerikanisches Unternehmen, das verschlüsselte E‑Mail-Dienste anbot. Es wurde nach 9 Jahren Betrieb im Jahr 2013 kurzerhand eingestellt, da man die Forderungen der US-Behörden nicht erfüllen wollte, die eine Herausgabe von SSL-Schlüsseln gefordert haben soll, womit die Behörden die gesamte Kommunikation der Lavabit-Nutzer hätten lesen können. Offiziell durfte Lavabit dies jedoch nicht als Grund für die Schließung nennen, da bereits dies zu juristischen Problemen für die Betreiber hätte führen können.
Viele Beobachter sehen hier die Parallele zu TrueCrypt. Ebenso wie die Lavabit-E-Mails sind auch TrueCrypt-Laufwerke nach heutigen Maßstäben nicht mit vertretbaren Mitteln zu knacken; für Geheimdienste natürlich unbequem. Die Spekulationen gehen nun dahin, dass die TrueCrypt-Entwickler eine neue Version mit Hintertür für die Geheimdienste hätten entwickeln sollen. Um das nicht tun zu müssen, wurde die Entwicklung mit dem Verweis auf die Unsicherheit der Software (den wahren Grund dürften sie nicht nennen, falls es sich bei den Entwicklern um US-Bürger handelt) eingestellt.
2. Das Wissen um Sicherheitslücken
Wie erwähnt hat TrueCrypt bereits einige Quellcode-Analysen ohne größere Beanstandungen überstanden. Im September jedoch soll ein zweites Audit veröffentlicht werden. Einige Spekulationen gehen in die Richtung, dass die Entwickler selbst um Sicherheitslücken oder gar eine selbst eingebaute Backdoor wussten und mit der Einstellung des Projekts einer möglichen Enttarnung zuvor kommen wollten. Wie das möglich sein sollte? Zwar ist TrueCrypt prinzipiell quelloffen, jedoch anders als viele Opensource-Software nicht nach GPL-Lizenz veröffentlicht. Zudem wurden immer wieder Zweifel geäußert, ob die angebotenen Binaries auch wirklich aus den veröffentlichten Quellcodes kompiliert wurden.
3. Gekränkter Stolz
Wie erwähnt war TrueCrypt von den anonymen Entwicklern zwar eigentlich quelloffen konzipiert, lief jedoch nie unter gängigen Opensource-Lizenzen wie GPL. Das macht es auch schwierig, das Projekt nach der Einstellung durch andere Freiwillige weiterführen zu lassen (Fork), wie es z.B mit LibreOffice geschehen ist nach der Übernahme von OpenOffice durch Oracle. Weshalb die Entwickler sich bei der Opensource-Lizenz derart zierten, kann nur spekuliert werden. Womöglich hatten die Entwickler vor, mittelfristig doch mal Geld zu verdienen mit ihrer Entwicklungsarbeit. Da wäre eine GPL-Lizenz hinderlich gewesen.
Doch statt ihre Entwicklungsarbeit finanziell honoriert zu bekommen, mussten die Entwickler mit ansehen, wie die Leute lieber 46.000 US-Dollar in den erwähnten Audit steckten, also in die Suche nach Sicherheitslücken in einer Software, die Freiwillige unentgeltlich entwickelt hatten. Auf den ersten Blick mag es kindisch klingen, wenn man jedoch ein klein wenig Gespür dafür hat, wie die Welt der freien Software tickt, ist es keineswegs abwegig anzunehmen, dass der TrueCrypt-Entwicklungsstopp eine Trotz-Reaktion der Programmierer auf die beiden Audits darstellt. Darin stehen auf zig Seiten ausgebreitet die Versäumnisse der Coder, da werden fehlende Kommentare angeprangert, vermischte Datentypen, und so weiter. Jemand, der das alles unentgeltlich in seiner Freizeit programmiert hat, mag sich das aber womöglich nicht unter die Nase reiben lassen von einer Organisation, die allein 46.000 US-Dollar für die Analyse des fertigen Codes eingestrichen hat. Der Satz “TrueCrypt ist nicht sicher, da es möglicherweise nicht behobene Sicherheitslecks enthält” lässt sich mit aufgesetzter Trotz-Brille durchaus so interpretieren…
…und das sind nur die gängisten der derzeit kursierenden Theorien über das plötzliche Ableben des TrueCrypt-Projekts. In unserem Forum wird bereits eifrig diskutiert, weswegen wir auf den bereits gut besuchten Diskussionsthread im Forum verweisen.
Abgesehen davon liegen die älteren TrueCrypt-Versionen bereits seit 2 bzw. 4 Jahren auf unserem Download-Server herum. Wer also auf Nummer Sicher gehen will, im Zuge der aktuellen Irritationen keine nachträglich mit Trojanern verseuchte Version untergeschoben zu bekommen, kann sich die letzten beiden Versionen hier bei uns herunterladen:
Download: