Verschlüsselung: Rätsel um das Ende von Truecrypt
Was ist mit Truecrypt passiert? Plötzlich hat die offizielle Webseite auf die Projektseite bei Sourceforge(öffnet im neuen Fenster) umgeleitet. Truecrypt sei nicht mehr sicher, heißt es dort, neben einer Anleitung zum Umstieg auf Bitlocker unter Windows. Der Code von Truecrypt auf Github(öffnet im neuen Fenster) wurde ebenfalls massiv verändert. Die davon mutmaßlich erstellte aktuelle Binärdatei in Version 7.2 vom 27. Mai 2014 gibt dieselbe Warnung aus, Truecrypt sei unsicher(öffnet im neuen Fenster) . Damit lassen sich Daten nur noch entschlüsseln, eine Verschlüsselung ist nicht mehr möglich.
Zunächst sah alles nach einem Hack aus. Auf Hacker News(öffnet im neuen Fenster) und Reddit(öffnet im neuen Fenster) diskutierten Anwender darüber. Felix von Leitner alias Fefe schreibt(öffnet im neuen Fenster) : "Ich halte das im Moment für nicht glaubwürdig. Der Audit hat Phase 1 abgeschlossen, mit recht positiven Ergebnissen, und Phase 2 hat noch nicht angefangen. Es gibt keinen Grund für "ist unsicher", der mir bekannt wäre."
Bislang keine Fehler gefunden
Die anonymen Entwickler hatten einer Untersuchung des Codes durch den unabhängigen Experten Matthew Green zugestimmt. In einem ersten Durchgang wurde aber kein verdächtiger Code gefunden .
"Bei der Gelegenheit haben sie auch ein neues Binary von "Version 7.2" hochgeladen. Das riecht alles gewaltig aus dem Mund. Das ist pikanterweise mit dem alten Key signiert" , schreibt Fefe weiter. Er rate bis zur Klärung der Situation von einer Installation ab.
Abschied des Entwicklerteams?
Dass die aktuelle Version mit dem offiziellen Schlüssel des anonymen Entwicklerteams signiert ist, sorgt für zusätzliche Diskussion darüber, ob es sich tatsächlich um einen Hack handelt. Denn der müsste gut vorbereitet gewesen sein. Sowohl der PGP-Schlüssel(öffnet im neuen Fenster) als auch der Authenticode seien legitim, schreibt der Benutzer Ultramancool bei Hacker News(öffnet im neuen Fenster) . Außerdem sei die Umleitung von Truecrypt.org auf die Sourceforge-Seite eingerichtet und dort die gesamte Webseite verändert worden, was mutmaßlich nur die Entwickler organisieren könnten.
Matthew Green habe bereits vor mehreren Stunden versucht, die Entwickler per E-Mail zu kontaktieren, schreibt er über Twitter(öffnet im neuen Fenster) – bislang ohne Erfolg. Zum Sicherheitsexperten und Blogger Brian Krebs sagte Green(öffnet im neuen Fenster) in einem Interview: "Ich glaube, das Truecrypt-Team hat das getan. Es ist ihr Abschiedsgruß."
Fork wird bereits diskutiert
"Die Entwicklung von Truecrypt ist mit Microsofts Unterstützung für Windows XP beendet worden. Windows 8, 7 und Vista haben Festplattenverschlüsselung ebenso integriert wie auch andere Plattformen(öffnet im neuen Fenster) " , heißt es auf der veränderten Sourceforge-Webseite.
Green sowie andere Entwickler diskutieren bereits, ob die aktuelle Truecrypt-Lizenz möglicherweise einen Fork des Codes erlaubt.
Nachtrag vom 29. Mai 2014, 12 Uhr
Inzwischen ist die funktionale Vorgängerversion Truecrypt 7.1a von der offiziellen Webseite nicht mehr erhältlich. Wir stellen sie deshalb zum Download bereit. Sie gibt es in einer Version für Windows , Mac OS X und für Linux 32-Bit sowie Linux 64-Bit . Die Hashwerte haben wir in einer Textdatei gesammelt .
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.