Verschlüsselung Experten rätseln über plötzliches Aus von Truecrypt

Die Entwickler von Truecrypt haben das Projekt offenbar eingestellt: Nutzer werden vor möglichen Sicherheitslücken gewarnt, die aktuelle Version des Programms beschränkt sich auf eine Funktion.

Truecrypt: Von Snowden empfohlen, von Entwicklern zurückgezogen
TrueCrypt

Truecrypt: Von Snowden empfohlen, von Entwicklern zurückgezogen


Die Fachwelt rätselt über die Sicherheitswarnungen auf der offiziellen Download-Seite des Verschlüsselungsprogramms Truecrypt. Sämtliche Links sind mit einem Warnhinweis in roter Schrift gekennzeichnet, der besagt: "Es ist nicht sicher, Truecrypt zu benutzen." Es könnten Sicherheitsprobleme auftreten, die bisher nicht behoben seien. Betroffen sind offenbar alle Versionen, sowohl für Windows-, Linux- und Mac-OS-Nutzer. Mit Truecrypt lassen sich Dateien oder ganze Festplatten verschlüsseln - bisher galt das Verfahren als sicher.

Wer hinter der Software steckt, ist nicht bekannt, die Entwickler bleiben anonym. Jetzt heißt es auf der Website: "Die Entwicklung von Truecrypt wurde im Mai 2014 beendet, nachdem Microsoft den Support für Windows XP eingestellt hat." Stattdessen sollen die Nutzer auf alternative Verschlüsselungs-Software zurückgreifen, beispielsweise auf Bitlocker, das bei neueren Windows-Versionen mitgeliefert wird. Die Entwickler empfehlen, alle mit Truecrypt verschlüsselten Daten auf Laufwerken zu speichern, die mit einem anderen Programm kodiert sind.

Stehen die Macher unter Druck von Behörden?

Das plötzliche Aus von Truecrypt überrascht die Fachwelt. Die Software ist eines der beliebtesten Verschlüsselungs-Tools im Netz: Sie ist gratis, der Quellcode ist für alle einsehbar. Im Netz kursieren mittlerweile Gerüchte, dass es sich bei der Warnung um eine Falschmeldung handeln könnte und möglicherweise Hacker die neue Version ins Netz gestellt haben könnten. Dagegen spricht jedoch, dass die aktuelle Version 7.2 mit dem privaten Schlüssel der Entwickler zertifiziert ist.

Eine andere Theorie besagt, dass Forderungen von US-Behörden hinter dem Entwicklungsstopp stecken könnten, Zugriff auf Daten zu erlangen, die mit Truecrypt verschlüsselt sind. Von einem "Lavabit 2" ist in einigen Foren die Rede. Der E-Mail-Dienst Lavabit ist im August vergangenen Jahres eingestellt worden. Der Betreiber war von der Regierung gezwungen worden, bei der Entschlüsselung von Daten zu helfen - und schloss daraufhin lieber den ganzen Dienst. Auch Edward Snowden soll Lavabit genutzt haben.

Suche nach Schwachstellen

Der Verschlüsselungsexperte Matthew Green geht davon aus, dass die Truecrypt-Entwickler tatsächlich den Betrieb eingestellt haben. Green ist verantwortlich für das Crowdfunding-Projekt "The Truecrypt Audit", das mehr als 46.000 Dollar an Spenden eingesammelt hat. Das Ziel: den Programmcode auf Fehler und Schwachstellen zu testen. Im April verkündete das Team, dass die erste Phase des Projekts beendet sei. Die Tester haben bisher keine Hintertüren entdeckt und insgesamt elf Schwachstellen, die aber nur als schwach bis mittelschwer eingestuft wurden.

Green habe keine Ahnung, von welchen Sicherheitsproblemen auf der Website die Rede sei, teilte er über Twitter mit. Dennoch glaube er, dass das Truecrypt-Team dahintersteckt. "Sie haben sich entschieden aufzuhören, und das ist ihre unverkennbare Art, das zu machen", sagt Matthew Green gegenüber dem Tech-Blog "Krebs on Security".

Aktuelle Version nicht nutzen

Die Download-Links auf Truecrypt verweisen auf die aktuelle Version 7.2, deren Funktionsumfang darauf beschränkt ist, Daten zu entschlüsseln. Links auf ältere Versionen haben die Entwickler entfernt. Sicherheitsexperten bei "Heise" raten allerdings davon ab, die aktuelle Version zu benutzen. "Es empfiehlt sich, diese zunächst mal nicht zu installieren und abzuwarten, bis sich die Situation etwas geklärt hat", heißt es dort.

jbr/ore/juh



insgesamt 34 Beiträge
Alle Kommentare öffnen
Seite 1
Dyl Ulenspegel 30.05.2014
1. x
Truecrypt ist einfach zu gut, als dass die US-Regierung damit leben könnte. Ich deute Hinweis der Programmier auf Microsofts Bitlocker als Warnung davor, dass dort etwas nicht mit rechten Dingen zugeht. Es passt nämlich so überhaupt gar nicht zum Ethos von Open-Source-Programmierern, kommerzielle Software zu empfehlen...
shr00m 30.05.2014
2. Schwachsinn.
Von "offenbar eingestellt", kann keine Rede sein, das sieht eher danach aus, dass die Webseite gehackt wurde. Die neu hochgeladene True Crypt Version 7.2 sollte nicht heruntergeladen werden - Virengefahr! Der Text liest sich wie ein April Scherz, denn kein Crypto Entwickler würde freiwillig so einen Blödsinn schreiben. Schon garnicht die Empfehlung auf das proprietäre Bitlocker zu setzen. Im übrigen wurde der Quellcode gerade erst überprüft und für unbedenklich befunden. Dieser Vorfall stinkt zum Himmel.
schmusel 30.05.2014
3. Lavabit 2? Quatsch!
Parallelen zu Lavabit gibt es keine. Keine US-Behörde hätte eine Handhabe gegen die Leute hinter TrueCrypt, die einer rechtlichen Prüfung stamdhalten würde - schliesslich bietet TC keinen Dienst an, auf den es sich zuzugreifen lohnen würde. Es findet alles beim Nutzer statt. Das ganze ist OpenSource, womit klar wäre, dass es auf die eine oder andere Art ohnehin weiter geht. Natürlich würden die Spione solche Hindernisse nur zu gerne aus dem Weg geräumt sehen, aber wie sollten sie das anstellen ohne geltendes Recht, inklusive der weitreichenden Befugnisse, zu verletzen, worüber die TC Entwickler ohne Furcht vor rechtlichen Konsequenzen die Öffentlichkeit informieren könnten. In diesem Zammenhang könnte ich mir nur vorstellen, dass da ein paar leere Drohungen ausgesprochen wurden und die TC Entwickler es (unbegründet) mit der Angst zu tun bekommen haben. Vermutlich liegen die Gründe aber ganz woanders. Womöglich arbeiten die jetzt für Microsoft und eine Bedingung war die Einstellung der TC Entwicklung ihrerseits... Wie dem auch sei, ich hab ja noch eine brauchbare Installation davon. :-)
shr00m 30.05.2014
4. Ok, was wäre wenn...
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues. Dieser Satz auf deren Seite macht keinen Sinn. Jede Software kann immer Sicherheitsprobleme beinhalten und es ist sicher kein Grund das Projekt zu beenden. Es sei denn: WARNING: Using TrueCrypt is (n)ot (s)ecure (a)s it may contain unfixed security issues. Vielleicht hat die NSA die anonymen Entwickler aufgespürt und ihnen eine gerichtliche Anordnung auferlegt, eine neue Version mit einem Backdoor herauszubringen. Das würde diese komische Version 7.2 erklären, die man keinesfalls benutzen sollte.
citizengun 30.05.2014
5.
Truecrypt war nie sicher, da es auf einem System läuft welches sich jederzeit latent kompromittieren lässt. Das haben die Entwickler auch früher schon gewusst, nur zugeben wollten sie es eben nicht da es eine gute Werbequelle war. Truecrypt stammt noch aus der Zeit wo die grossen deutschen Zeitschriften mit privater Softwareverschlüsselung geworben haben und zwar wohlgemerkt jede mit ihrem eigenen Programm. Truecrypt ist zu Teilen zusammengeklauter (aber freigegebener) Code bei dem die Vermarktung sich letzten Endes auf die Integration der Systemverschlüsselung bezieht. Dies ist bei Manipulation von undokumentiertem Windowscode immer eine Gradwanderung gewesen und hier liegt auch die Krux. In Zeiten von Signaturen und immer grösserer Abhängigkeit von Monopolisten wie Microsoft (Secure Boot), Intel (AMT) und Apple ((U)EFI) wird es immer schwieriger kompatiblen Code und zufriedene Kundschaft zu generieren. Darum haben sie (oder Er) aufgegeben.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.