TrueCrypt-Entwickler erteilt Lizenzänderung eine Absage
Matthew Green, Koordinator der TrueCrypt-Audits und Professor für Kryptographie, informierte jetzt über einen Schriftverkehr mit einem der TrueCrypt-Entwickler. Es ging dabei um die Frage, ob die weitgehend anonym gebliebenen Entwickler einer Lizenzänderung für eine Fortführung des Projekts zustimmen. Dies wurde nun abgelehnt.
Das Interesse an einer Weiterführung von TrueCrypt ist groß. Das liegt daran, dass es keine proprietäre plattformübergreifende Software zur Verschlüsselung von Dateien und Festplatten gibt, die zudem noch die Möglichkeiten von TrueCrypt bietet. So formulierte es Green in seiner Anfrage an einen der unbekannten Entwickler, mit dem er bereits kurz nach dem abrupten Ende des Projekts vor etwas über zwei Wochen über Dritte Kontakt hatte.
Er äußert die Besorgnis, dass aus diesen Gründen ein Fork von TrueCrypt kaum zu verhindern sei. Aufgrund der derzeit sehr prekären Sicherheitsthematik beim Thema Kryptographie sei es imminent wichtig, dass ein eventueller Fork verantwortungsvoll und lizenzrechtlich sauber gehandhabt wird.
Selbst wenn nach dem Abschluss des kompletten Audits vermutlich Teile des Codes neu implementiert werden müssten, sei dies weit weniger Aufwand als ein kompletter Neubeginn. Green betont, dass derzeit beim Open Crypto Audit Project (OCAP) eine Gruppe sehr fähiger Kryptologen versammelt sei, die an einer Fortführung von TrueCrypt interessiert sind, aber vor dem Aufwand eines Neubeginns zurückschrecken.
Das Hauptaugenmerk in dieser Gruppe liegt demnach derzeit bei der Lizenzsituation und dem markenrechtlichen Schutz von TrueCrypt. Zweifellos würden andere Interessierte einen Fork auch ohne geklärte Lizenzfragen angehen, was die Mannen um Green aber nicht als verantwortungsvolles Verhalten ansehen. Deshalb erbat Green die Erlaubnis, zumindest Teile der Codebasis benutzen und unter einer Standard-Open-Source-Lizenz wie etwa der GPL oder einer MIT- oder BSD-Lizenz veröffentlichen zu dürfen.
Diesem Ansinnen erteilte einer der unbekannten Entwickler nun eine Absage und bezeichnete es als „unmöglich“. Dieses Bild hatte sich bereits aus dem ersten knappen Mailverkehr über eine dritte Person angedeutet. Weiter heißt es, er halte einen Fork für eine schlechte Idee, die Entwickler selbst hätten vor der Einstellung des Projekts bereits seit Längerem mit einer kompletten Umarbeitung des Codes geliebäugelt. Eine Neufassung sei auch für Außenstehende nach seiner Einschätzung kaum aufwendiger als die Einarbeitung in und das Verständnis für den Quellcode. Lediglich gegen eine Verwendung als Referenz hat der Entwickler keine Einwände.
Wie jetzt sowohl OCAP als auch das deutsche Sicherheitsunternehmen Sirrix mit TrustedDisk sowie das Projekt TCnext aus der Schweiz weiter verfahren wollen ist noch unklar. Unsere Anfrage bei Sirrix diesbezüglich wurde bisher noch nicht beantwortet.