TrueCrypt-Ende immer noch mysteriös – Audit wird fortgesetzt
Nach der Veröffentlichung über das Ende von TrueCrypt kursierten diverse Theorien über das Warum und Weshalb; bis heute bleibt es ein Rätsel. Nutzer sind ratlos und stehen nun vor der Frage, welche Alternative sie nutzen sollen.
Krypto-Guru Bruce Schneier wechselte zu Symantecs PGPDisk zurück, um seine Daten zu verschlüsseln.
„Ich habe keine Ahnung, was bei TrueCrypt los ist“,
schreibt er auf seinem Blog.
„Die Spekulationen beinhalten einen schwerwiegenden Hackerangriff, einen erzwungenen Shutdown wie bei Lavabit oder einen internen Machtkampf. Ich vermute, wir müssen einfach abwarten und sehen, was kommt.“
Nutzer von TrueCrypt werden weiterhin auf die Seite umgeleitet, auf der die ominöse Warnung zu lesen ist, dass TrueCrypt nicht mehr sicher sei. Auch im neuesten Update der Software findet sich der Hinweis, einschließlich einer Anleitung, wie die verschlüsselten Daten zu einem anderen Anbieter übertragen werden können. Weitere Daten können nicht mehr mit TrueCrypt verschlüsselt werden.
Ein Hackerangriff wird inzwischen ausgeschlossen. Matthew Green von der Johns Hopkins University in Maryland dazu:
„Meiner Meinung nach ist es sehr unwahrscheinlich, dass ein unbekannter Hacker die TrueCrypt-Entwickler identifiziert, ihren Schlüssel gestohlen und ihre Seite gehackt hat.“
Green leitet gemeinsam mit dem Cloud-Sicherheitsexperten Kenn White die Kampagne zur eingehenden Überprüfung der Software. Die erste Runde der Analysen ist bereits abgeschlossen und
„fand keine Hinweise auf Hintertüren [z.B. durch die NSA] oder absichtliche Fehler“.
Insgesamt kamen in einer Crowdfunding-Kampagne mehr als 70.000 US-Dollar zusammen, um TrueCrypt zu prüfen. Jetzt wurde beschlossen, die Analysen fortzusetzen – eventuell findet sich ein neues Team von Entwicklern, welches den TrueCrypt-Code übernimmt.
Das ehemalige LulzSec-Mitglied Jake Davis kommentiert:
„Best Case Szenario: ein bisschen Entwickler-Knatsch. Worst Case Szenario: Jedes verschlüsselte Volumen ist dem Untergang geweiht.“
Sicherheitsexperten versuchen bisher vergeblich, Kontakt zu dem TrueCrypt-Team aufzunehmen. Doch egal, was nun zu dem abrupten Ende von TrueCrypt geführt hat, eines ist sicher: Sicherheitsbewusste Nutzer haben ein gutes Stück Vertrauen in TrueCrypt verloren und suchen nun nach Alternativen.
Johannes Ullrich vom SANS Technology Institute empfiehlt FileVault und LUKS für Mac OS X und Linux-Nutzer.
„Leider sind diese nicht miteinander kompatibel. Für tragbare Medien, die auf mehreren Systemen genutzt werden, sind PGP/GnuPG eine Option.“
Thomas Bruderer und Jos Doekbrijder organisieren mittlerweile unter https://truecrypt.ch das Projekt neu:
„However the first 36 hours showed clearly that TrueCrypt is a fragile product and must be based on more solid ground. We start with offering a download of the TrueCrypt file as is, and we hope we can organize a solid base for the future.
There are no signs that there is any known security problem within TrueCrypt 7.1a and the audit will go on uninterrupted. Even though the trust into the developer team has diminished drastically, we believe that there needs to be an Open Source, Cross-plattform full-disk encryption option.“
Und weiter:
TrueCrypt must not die. TrueCrypt.ch is the gathering place for all up-to-date information. If TrueCrypt.org really is dead, we will try to organize a future.
Artikel von darkreading.com, 03.05.2014: The Mystery Of The TrueCrypt Encryption Software Shutdown
Artikel von theregister.co.uk, 29.05.2014: TrueCrypt turmoil latest: Bruce Schneier reveals what he’ll use instead
Artikel von faz.net, 23.06.2014: Der NSA-Code – Truecrypt sei nicht so sicher, wie Experten bislang dachten.