TrueCrypt: Projekt abrupt eingestellt

Update 3 Ferdinand Thommes
351 Kommentare

Nach zehn Jahren Entwicklung ist laut der Webseite des Projekts die Verschlüsselungssoftware TrueCrypt eingestellt worden. Die Entwickler, die bisher anonym geblieben sind, warnen sogar vor ihrem eigenen Produkt, da es offene Sicherheitslücken enthalten könne.

Es ist ein wahrhaft seltsamer Abschied, den die Macher von TrueCrypt seit gestern auf ihrer Webseite zelebrieren. Die bisherige Anlauf-Seite truecrypt.org wurde auf die Sourceforge-Seite des Projekts umgelenkt und enthält an Kopf und Fuß eine Warnung in roter Schrift, TrueCrypt sei unsicher. Weiterhin wird dem Besucher mitgeteilt, TrueCrypt sei im Mai 2014 eingestellt worden, nachdem Microsoft die Unterstützung für Windows XP beendet habe. Weiter heißt es, Windows Vista, 7 und 8 verfügten über eingebaute Unterstützung für Verschlüsselung und virtuelle Disk-Images, gleiches gelte für andere Plattformen. Dann folgt eine illustrierte Anleitung, wie Anwender ihre Daten von TrueCrypt nach BitLocker von Microsoft migrieren können.

TrueCrypt Webseite
TrueCrypt Webseite

Erste Spekulationen nahmen an, die Seite sei von Hackern übernommen worden. Das stellte sich jedoch als unwahrscheinlich heraus, nachdem sowohl das Domainabfragewerkzeug WHOIS als auch die DNS-Records der Seite keinerlei Änderungen in letzter Zeit aufwiesen, die diese These stützen. Zudem ist die letzte Version der Software, die am 27. Mai hochgeladen wurde, mit dem gleichen digitalen Schlüssel signiert, der am 16. Januar eingeführt und benutzt wurde. Somit scheint sicher, dass die Seite echt ist und TrueCrypt wirklich von den Machern eingestellt wurde.

Zu dieser Erkenntnis kam auch Matthew Green, Assistenz-Professor am Johns Hopkins University Information Security Institute. Green war im letzten Jahr maßgeblich an der Ausrichtung eines Code-Review für TrueCrypt beteiligt, um lange bestehende Gerüchte über eine Hintertür in der weit verbreiteten Software zu beenden. Eine Crowdfunding-Kampagne und eine zusätzliche Spendensammlung hatten insgesamt rund 70.000 US-Dollar für dieses Unterfangen eingebracht.

Nachdem im Oktober 2013 ein kanadischer Student einen Audit ohne entsprechenden Befund durchgeführt hatte, wurde dies im April 2014 von der Firma iSEC in einem unabhängigen Audit des Bootloaders von TrueCrypt bestätigt (PDF). Ein weiterer Audit sowie eine juristische Prüfung der Lizenz stehen noch aus. Green will das Vorhaben in jedem Fall abschließen – allein schon weil er noch 30.000 US-Dollar treuhänderisch verwaltet.

Er hofft, dass Entwickler aus der Community sich des Codes annehmen, nachdem dessen Sicherheit durch den abschließenden Audit geklärt ist. Diesem Wunsch könnte jedoch die Lizenz im Wege stehen, bei der derzeit nicht klar ist, ob der Code von Dritten geändert werden darf.

Green zeigt sich enttäuscht über die Art und Weise, wie die anonymen Entwickler das Projekt beendet haben. Die Entwickler hätten es für Kollegen, die das Projekt weiterführen möchten, einfacher machen können indem sie die Lizenz geändert hätten. Das jetzige Vorgehen erlaube dagegen allerlei Spekulationen über die Integrität der Entwickler selbst sowie der Software und lasse es fraglich erscheinen, ob dem Code jemals wieder vertraut wird.

Update

Mittlerweile hatte laut diesem Tweet Sicherheitsexperte Green über einen Mittelsmann E-Mail-Kontakt mit einem der Entwickler, der David genannt wird. Aus dem dort übermittelten Austausch geht hervor, dass die Entwickler kein Interesse mehr an einer Weiterentwicklung haben, angeblich sei BitLocker gut genug. Greens Frage nach der Möglichkeit einer Lizenzänderung, sodass andere das Projekt weiterführen können, wurde als unwahrscheinlich angesehen. Zudem hält David einen Fork von TrueCrypt für gefährlich, da sich nur das Entwicklerteam wirklich gut im Code der Software auskennen würde. Nach seiner Meinung solle der Code lediglich als Referenz erhalten bleiben. Warum das Projekt auf so merkwürdige Art und Weise beendet wurde, wird nicht erläutert.

Aus einem Tweet des OpenCryptoAudit-Projekts, das mit Green zusammen die Audits koordiniert, geht hervor, dass der noch ausstehende zweite Audit stattfinden wird und das Projekt erwägt, danach einen Fork des Programms vorzunehmen.

Update

Obwohl die Situation um das plötzliche Ende von TrueCrypt unter merkwürdigen Umständen weiterhin ungeklärt ist, haben die beiden Entwickler Thomas Bruderer und Joseph Doekbrijder dem Projekt TrueCrypt eine zukünftige Heimat in der Schweiz verschafft. Sie betonen, dies sei noch kein Fork, man bündele lediglich Ressourcen und schaffe eine Anlaufstelle für interessierte Mitstreiter auf einer in der Schweiz registrierten Webseite. Neben dem neutralen Grund wird eine offene, nicht wie bisher anonyme Entwicklung angestrebt, die alle anderen Initiativen mit dem gleichen Ziel ebenfalls unterstützt und gegebenenfalls bündelt. Die Entwickler haben bereits den Sourcecode auf GitHub zur Verfügung gestellt und bieten TrueCrypt 7.1a sowie ältere Versionen zum Download an. Entscheidungen über das weitere Vorgehen hängen von der weiteren Klärung der Situation ab.

Update

Der Beginn des zweiten Teils des Audits für TrueCrypt war bereits für Juni festgelegt, als am Mittwoch die Einstellung des Projekts bekannt wurde. Er findet termingerecht statt, soll im September abgeschlossen sein und wird sich intensiv der Verschlüsselungsmethodik sowie dem Zufallsgenerator widmen, um auszuschließen dass dort Hintertüren versteckt sind oder kritische Fehler im Code stecken. Kenn White vom Open Crypto Audit Project, der Teil zwei des Audits organisiert, sagte, jetzt sei es wichtiger denn je, den Audit abzuschließen, da jetzt viele Anwender Vermutungen hegen, die entweder bestätigt oder widerlegt werden sollten. Technischer Leiter des Audits ist der respektierte Sicherheitsexperte Thomas Ptacek vom unabhängigen Sicherheitsunternehmen Matasano. Unterstützt wird er von renomierten Experten wie dem Kryptographen Nate Lawson, der bei Root Labs forscht.

Wir danken unseren Lesern für den Hinweis zu dieser Meldung!