Truecrypt eingestellt: Sicherheitsexperten "völlig ratlos"

30. Mai 2014, 10:02
430 Postings

Update: Angeblicher Entwickler meldet sich zu Wort - kein Interesse mehr 

Die Meldung, dass Truecrypt unsicher sei, lässt Sicherheitsexperten ratlos zurück. Am Mittwoch hatten die Autoren bekanntgegeben, dass es ungelöste Sicherheitsprobleme mit dem Verschlüsselungswerkzeug gebe. Die Entwicklung sei eingestellt worden.

Kein Hack

Zunächst war angenommen worden, dass es sich um einen Hack handeln könnte. Von der offiziellen Website wird auf eine Sourceforge-Projektseite umgeleitet, auf der die Warnung zu lesen ist. Mittlerweile sind sich Sicherheitsexperten einig, dass es sich um eine offizielle Meldung der anonymen Entwickler handle.

Keine Hinweise auf gravierende Probleme

Nach den Veröffentlichungen durch Whistleblower Edward Snowden habe es Bestrebungen gegeben, Truecrypt sicherer zu gestalten. Snowden hatte Truecrypt als sinnvolle Maßnahme gegen Überwachung empfohlen. Daher wurde ein Projekt zur Überprüfung des Codes gestartet. Beim ersten Audit waren zwar kleinere Probleme, aber insgesamt keine Hinweise auf gravierende Sicherheitslecks gefunden worden. Die zweite Prüfung wurde noch nicht gestartet.

Abschiedsbrief

Auf der Sourceforge-Seite heißt es, dass die Entwicklung von Truecrypt im Mai eingestellt worden sei, nach dem Ende des Supports von Windows XP. Windows 8, 7 und Vista hätten wie auch andere Plattformen Festplattenverschlüsselung integriert. Matthew Green, der das Open Crypto Audit Project mit anderen ins Leben gerufen hat, glaubt, dass das eine Art Abschiedsbrief der Entwickler ist, wie er dem Blog Krebsonsecurity sagte.

Green und andere Entwickler überlegen nun, ob die Lizenz von Truecrypt eine Abspaltung zulasse.

Erzwungenes Aus?

Bei Heise spekuliert man, dass die Autoren von US-Behörden gezwungen worden sein könnten, die Entwicklung einzustellen. Ähnlich war die US-Regierung auch bei Lavabit vorgegangen, einem E-Mail-Provider, den Snowden genutzt hatte.

Lieber abwarten

Auch beim Computer Emergency Response Team Austria (Cert.at) herrscht zurzeit großes Rätselraten. Auf truecrypt.sourceforge.net wird Nutzern der Umstieg zum Konkurrenten Bitlocker empfohlen. Otmar Lendl von Cert.at hält eine Migration derzeit noch für verfrüht. Er würde noch drei bis vier Tage abwarten. Eine überstürzte Reaktion könne mehr schaden, so der Sicherheitsexperte.

Update: 13:00

Mittlerweile soll sich ein Entwickler per E-Mail dazu geäußert haben. Gegenüber Steven Barnart habe eine Person mit Namen "David" erklärt, dass er kein Interesse mehr an der Weiterentwicklung habe. Der Audit habe nichts damit zu tun. Auch gebe es keinen Kontakt zu Behörden. Bitlocker sei gut genug. Ob es sich bei "David" tatsächlich um einen TrueCrypt-Entwickler handle, ist zum jetzigen Zeitpunkt noch unklar. (Birgit Riegler, derStandard.at, 30.5.2014)

  • Was steckt hinter dem Aus der Verschlüsselungssoftware Truecrypt? Experten rätseln.
    foto: reuters/kacper pempel

    Was steckt hinter dem Aus der Verschlüsselungssoftware Truecrypt? Experten rätseln.

Share if you care.