Festplattenverschlüsselung: Truecrypt-Nachfolger aus Deutschland
Das deutsche IT-Unternehmen Sirrix will seine bislang als Closed-Source-Software zur Verfügung stehende Trusteddisk(öffnet im neuen Fenster) auch als quelloffene Variante veröffentlichen(öffnet im neuen Fenster) . Zunächst soll es eine Windows-Version geben, später auch eine für Linux. Erst soll aber rechtlich geprüft werden, welche Teile der Software aus lizenzrechtlichen Gründen möglicherweise noch umgeschrieben werden müssten.
Sirrix bietet seit geraumer Zeit mit Trusteddisk eine kommerzielle Festplattenverschlüsselung an, die zumindest in Teilen auf Truecrypt basiert. Das Unternehmen hatte vor drei Jahren zusammen mit der Firma Escrypt das BSI mit einer Überprüfung des Quellcodes von Truecrypt beauftragt.
Teils umgeschrieben und erweitert
Die aus dem Audit gewonnenen Erkenntnisse seien in die Entwicklung seiner Software Trusteddisk(öffnet im neuen Fenster) eingeflossen, sagte Sirrix-Chef Ammar Alkassar Heise(öffnet im neuen Fenster) . Sirrix habe daraufhin einige Truecrypt-Komponenten umgeschrieben und nach eigenen Angaben verbessert, darunter den Bootloader, die Zufallszahlenerzeugung (Random Number Generator, RNG) sowie den Schutz der Schlüssel selbst. Die Software bestehe aus selbstentwickelten Komponenten und verändertem Code von Truecrypt.
Sirrix' Trusteddisk wurde nur als kommerzielle Variante angeboten, da die Truecrypt-Lizenz nie als Open-Source-Lizenz vom Open Source Institute OSI anerkannt wurde, obwohl der Quellcode zur Verfügung stand. Das Unternehmen will mit Trusteddisk Enterprise weiterhin eine kostenpflichtige Version der Festplattenverschlüsselung mit erweitertem Funktionsumfang anbieten.
Quelloffene Variante
Die geplante quelloffene Version soll unter dem Namen Trusteddisk OSS erscheinen, dessen Quellcode dann unter einer anerkannten Open-Source-Lizenz stehen soll. Zunächst wird aber noch geprüft, welche Teile der Software dafür noch umgeschrieben werden müssten.
Völlig überraschend hatten die Truecrypt-Entwickler das Projekt vor wenigen Wochen eingestampft und die Lizenzbestimmungen dabei nur geringfügig verändert. Außerdem soll ein mutmaßlicher Truecrypt-Entwickler davor gewarnt haben , den Quellcode der Software für weitere Projekte zu nutzen, da nur die Truecrypt-Entwickler ihn verstünden.
Zweiter Audit läuft wie geplant
Der Kryptoexperte Matthew Green, der im vergangenen Jahr Geld für eine unabhängige Untersuchung des Truecrypt-Quellcodes gesammelte hatte, hat bereits bekanntgegeben, dass der zweite Teil des Audits trotzdem stattfinden wird. Die erste Überprüfung hatte keine Unregelmäßigkeiten ergeben . Green hatte gemahnt, einen möglichen Fork der Software erst nach der zweiten Überprüfung zu erwägen.
Green hatte mit dem gesammelten Geld unter anderem das Open Crypto Audit Project (OCAP) gegründet, das sich um die Überprüfung des Quellcodes kümmert. OCAP hat vor wenigen Tagen ein Repository auf Github(öffnet im neuen Fenster) eingerichtet, in dem sowohl der Quellcode als auch signierte Binärversionen von Truecrypt zur Verfügung stehen.