Die anonymen Entwickler hinter der Software TrueCrypt haben das Handtuch geworfen. In einer offiziellen Meldung geben sie an, dass die Nutzung der Verschlüsselungssuite seit dem Ende des Supports für Microsoft XP nicht mehr sicher ist.

Nutzer werden derzeit auf die sourceforge.net Seite des Projekts weitergeleitet, wo sie die entsprechende Meldung finden. Das Team von TrueCrypt empfiehlt, zu dem Windows-eigenen Programm BitLocker zu wechseln, welches seit Vista inklusive ist. Die Warnung auf der Seite lautet wie folgt:

„WARNUNG: Die Nutzung von TrueCrypt ist nicht sicher, da es ungelöste Sicherheitsprobleme enthalten kann.“
„Diese Seite existiert nur um die Übertragung bestehender und mit TrueCrypt verschlüsselter Daten zu unterstützen.“

„Die Entwicklung von TrueCrypt wurde im Mai 2014 eingestellt, nachdem Microsoft den Support für Windows XP beendete. Windows 8, 7 und Vista sowie spätere Versionen bieten einen integrierten Support für verschlüsselte Festplatten und virtuelle Laufwerke. Auch für andere Systeme ist derartiger integrierter Support verfügbar. Sie sollten jegliche mit TrueCrypt verschlüsselten Daten auf verschlüsselte Festplatten oder virtuelle Laufwerke übertragen, die von Ihrem System unterstützt werden.“

Schnell wurden Zweifel laut, ob es sich hier um einen Hoax oder einen Hackerangriff auf TrueCrypt handelt. Eine Überprüfung des Hosting-Verlaufs der Seite und der WHOIS- und DNS-Aufzeichnungen zeigt jedoch, dass keine Änderungen in letzter Zeit stattfanden. Auch die Schlüssel, die bei bisherigen Versionen von den Entwicklern genutzt wurden, sind identisch mit den hier genutzten. Diese beiden Fakten unterstützen die Vermutung, dass TrueCrypt tatsächlich einfach die Aktivitäten eingestellt hat.

Auch Matthew Green, ein Kryptograph und Professor am Johns Hopkins University Information Security Institute, vermutet dies. Vor allem wegen ihres Bestrebens, ihre Identitäten um jeden Preis geheim zu halten, war er dem Programm gegenüber eher skeptisch eingestellt. Insgesamt haben die anonymen Entwickler 10 Jahre an TrueCrypt gearbeitet. Green:

„Ich denke, das TrueCrypt-Team steckt dahinter. Sie haben beschlossen aufzuhören und das ist ihr Weg, es zu tun.“

Green unterstützte letztes Jahr eine Crowdfunding-Kampagne, mit der TrueCrypt professionell analysiert und geprüft werden sollte, um jegliche Zweifel auszuschließen. Insgesamt kamen mehr als 70.000 US-Dollar zusammen, mehr als erwartet. Eine erste Analyserunde zeigte keinerlei Hinweise auf Probleme – oder auch Hintertürchen für die NSA.

Dies ist ein weiteres Gerücht, welches sich bisher hält. Möglicherweise wurden die Entwickler von der NSA dazu aufgefordert, Schnittstellen zur Verfügung zu stellen, um Nutzerdaten auszuspionieren. Eventuell wurde auch damit gedroht, die Identitäten der Entwickler zu enthüllen. Unterstützung findet diese Theorie darin, dass die veröffentlichte Warnung vielen merkwürdig erscheint. Viele vermuten, dass etwas viel Größeres im Hintergrund abläuft – deswegen auch die vielen Verschwörungstheorien.

Eine letzte Theorie besteht darin, dass die Entwickler ein Problem gefunden haben, das schlichtweg zu groß war, um es zu beheben. Zwar ist es durchaus plausibel, dass sie dann lieber alle Nutzer von vornherein warnen und zum Wechsel aufrufen, aber auch dies ist weiterhin nur Spekulation.

Artikel von krebsonsecurity.com, 29.05.2014: True Goodbye: ‘Using TrueCrypt Is Not Secure’
Artikel von arstechnica.com, 29.05.2014: Bombshell TrueCrypt advisory: Backdoor? Hack? Hoax? None of the above?