TrueCrypt 7.1a als verifizierter Download
Während die Hintergründe um das Aus der beliebten Verschlüsselungssoftware TrueCrypt weiter im Dunkeln bleiben, hat das Open Crypto Audit Project (OCAP), das seit längerem mit dem Audit der Software befasst ist, ein verifiziertes Repository der letzten kompletten Version auf GitHub angelegt.
Vor knapp 2 Wochen wurde das TrueCrypt-Projekt unter recht mysteriösen Umständen für tot erklärt. Daraufhin schossen Theorien ins Kraut, was hinter dem Ende des Projekts der seit 10 Jahren anonym gebliebenen Entwickler steckt. Bisher hat sich der Schleier noch nicht gelüftet. Außer einem angeblichen Kontakt zu einem der Entwickler über Dritte, der aber auch keine neuen belegbaren Erkenntnisse brachte, gibt es keine verlässlichen Aussagen.
Matthew Green, Assistenz-Professor am Johns Hopkins University Information Security Institute und Mitbegründer von OCAP ließ daraufhin verlauten, der zweite Teil des Audits, der schon vor dem Ende von TrueCrypt für Juni angesetzt war, solle planmäßig stattfinden und im September abgeschlossen sein. Danach könne man eventuell über einen Fork der Software nachdenken. Kurz darauf verkündeten zwei Schweizer Entwickler, TrueCrypt eine Heimat geben zu wollen. Eine Webseite wurde geschaltet und auf GitHub der Quellcode von TrueCrypt 7.1a samt Instruktionen zum Kompilieren für verschiedene Plattformen eingestellt. Zudem stehen dort, mit dem Hinweis auf eventuell vorhandene Sicherheitslücken versehen, auch Binärpakete für Linux, Windows und Mac OS samt der jeweiligen Signaturen zur Verfügung. Zu einem Fork wollten sich die Schweizer zu diesem frühen Zeitpunkt auch nicht bekennen, da Probleme mit der Lizenz von TrueCrypt ausgeräumt werden müssen. Kein einfaches Unterfangen, da die Entwickler kaum erreichbar sind und Forks angeblich ablehnen.
Jetzt hat OCAP als Auftakt zum zweiten Teil des Audits ebenfalls ein Repository auf GitHub eingerichtet. Es enthält ebenfalls Binärpakete für alle drei Betriebsysteme mitsamt der zugehörigen Signaturen, Für OCAP versichert Ken White, der den zweiten Teil des Audits überwacht, dass die Hashes der Dateien in diesem Repository mit dem kompilierten Code übereinstimmen, dessen Sourcen für den Audit vorliegen. Die Dateien sind seit November in Händen von OCAP und stimmen mit den Hashes überein, die im Abschlussbericht von iSEC (PDF) zum ersten Teil des Audits stehen.
Auch OCAP kann derzeit nicht dafür gerade stehen, dass TrueCrypt keine Sicherheitsprobleme über die im ersten Teil des Audits gefundenen kleineren Fehler hat. Dies wird erst nach dem Abschluss der Untersuchungen im September möglich sein. Allerdings stellt dieses Repository derzeit vermutlich die vertrauenswürdigste Quelle für den Download von TrueCrypt 7.1a dar.