Technologie

Fiasko um Einstellung der Software Truecrypt

TrueCrypt

Am 28. Mai 2014 wurde die bisherige Internetseite des Projekts durch eine Warnung ersetzt, dass die Entwicklung von TrueCrypt eingestellt worden sei. TrueCrypt sei nicht sicher, da es nicht behobene Sicherheitslücken enthalten könne. Weiterhin wurde eine Empfehlung veröffentlicht, als Alternative BitLocker zu verwenden, sowie Anleitungen, wie mit TrueCrypt verschlüsselte Daten nach BitLocker migriert werden könnten.

Informationen zu TrueCrypt wurden dabei nicht mehr auf einer eigenen Domain, sondern bei SourceForge angeboten. Zugänglich war dort ausschließlich eine neue Version 7.2, die in den Funktionen eingeschränkt ist und vor Sicherheitslücken warnt. Diese Version dient zur Entschlüsselung von mit TrueCrypt verschlüsselte Daten, um diese auf andere Verschlüsselungslösungen zu migrieren. Die in der vorhergehenden Begutachtung gefundenen Fehler waren dagegen nicht behoben. Die letzte TrueCrypt-Version mit vollem Funktionsumfang ist somit die Version 7.1a.

Obwohl die neuen Programm-Downloads die offizielle elektronische Signatur des Herstellers tragen, empfehlen manche Medien vorerst auf den Download der neuen Version zu verzichten und weitere Meldungen abzuwarten, da die Authentizität der neuen Version nicht eindeutig geklärt sei.

Ein längst überfällige, unabhängige Prüfung des weltweit populären Verschlüsselungsprogramms TrueCrypt ergab ein fragwürdiges Ergebnis:

“Insgesamt erfüllt der Quellcode sowohl für den Bootloader als auch für den Windows Kernel-Treiber nicht die erwarteten Standards für sicheren Code. […] Die weiter hinten in diesem Dokument beschriebenen Schwachstellen scheinen alle unbeabsichtigt zu sein, das Resultat von Fehlern anstelle von bösen Absichten.”

Der verheerende Heartbleed-Bug bei OpenSSL war anscheinend jahrelang von Geheimdiensten ausgenutzt worden bevor der “Fehler” öffentlich entdeckt wurde.

Seit fast zehn Jahren erfreut sich Truecrypt weltweit großer Beliebtheit. Immer wieder taucht es in Ermittlungsunterlagen auf, wenn beispielsweise Nutzer von Tauschbörsen ihre Dateien vor den Fahndern schützen wollen, oder wenn Dissidenten und Whistleblower geheimes Material bunkern. Insgesamt wurde es 28 Millionen mal heruntergeladen.

Frappierenderweise weiß eigentlich niemand, wer Truecrypt geschaffen hat und niemand hatte bislang den Code auf Hintertüren und ausnutzbare Schwachstellen untersucht. Vor wenigen Monaten tat sich eine Gruppe professioneller Kryptographen zusammen und sammelten Spenden, um die Arbeitsleistung einer Prüfung stemmen zu können. Matthew Green, ein Kryptograph und Professor für Forschung an der Johns Hopkins University, schrieb auf seinem Blog:

“Das Problem mit Truecrypt ist das gleiche Problem, das ich mit jeder populären Sicherheits-Software in der Ära nach dem 5. Sptember habe: Wir wissen nicht mehr wem wir trauen können. Wir haben erfahren, dass die NSA Verschlüsselungssoftware und -Hardware manipuliert und der gesunde Menschenverstand sagt uns, dass die NSA wohl dabei nicht die einzigen sind. Truecrypt ist wegen seiner Popularität und dem Vertrauen, das ihm entgegen gebracht wird, ein fantastisches Ziel für Subversion.

Auf Privacylover.com wurde bereits 2010 angesprochen, wie seltsam es ist, dass zwei unbezahlte mysteriöse Programmierer soviel Arbeit leisten können:

“Konkurrenzprodukte ohne offenen Quellcode wie WinMagic, DriveCrypt (Securstar) oder die PGP Corporation haben Teams von Software-Entwicklern, die vollzeit an den Produkten arbeiten. Ein solches Produkt zu schaffen, ist keine leichte Sache.

Währenddessen gelingt es zwei unbezahlten Truecrypt-Entwicklern, an Versionen für Linux, Mac und Windows in 32 und 64 Bit zu arbeiten. Sie unterstützen das neue Windows 7 gleich nachdem es veröffentlicht wurde. Und diese beiden Truecrypt-Entwickler sollen nebenher noch noch Vollzeit-Jobs haben mit denen sie ein Gehalt bekommen um ihre Familien zu ernähren und ihre Kredite abzuzahlen?”

wikipedia-Zitat unter der Lizenz „Creative Commons Attribution/Share Alike“

Liked it? Take a second to support AlexBenesch on Patreon!

Related posts

Psychometrie hat Politik, Medien und Verschwörungsszene in der Hand

AlexBenesch

“Smart-Grid” lässt Hacker Stromversorgung lahmlegen

AlexBenesch

Die massiven Tücken der Hackerszene

SonjaBenesch

3 comments

Avatar
testbert 7. Juni 2014 at 3:42

Hier mal ein 2 std PodCast von paar Leuten aus dem CCC:

http://chaosradio.ccc.de/cr201.html

es wird auch die Problematik um TrueCrypt angesprochen..

Reply
Avatar
testbert 2. Juni 2014 at 3:28

‘Ernstzunehmen’ ist seit Herrn Snowden wohl einiges im Internetverkehr.
Aber bisher ist noch nicht geklärt, ob TC nun sicher ist oder nicht..
spannendes Thema.

Reply
Avatar
Thomas 30. Mai 2014 at 17:02

Das erste Audit lief gut, das zweite ist imo noch nicht losgegangen… alleine die Empfehlung die dort in Sachen Alternative ausgesprochen wird zeigt doch, wie ernst zu nehmen diese Meldung erstmal ist.

Reply

Leave a Comment

Diese Webseite verwendet Cookies. Wenn Sie einverstanden sind, benutzen Sie die Seite weiter und klicken auf „OK“. Erfahren Sie mehr in unserer Datenschutzerklärung. OK Datenschutz

Recentr Shop15% Rabatt auf fast alles bis 29. November plus Recentr-Bücher und RTV-Abos

Der Rabatt wird im Warenkorb automatisch abgezogen.